News

Altre news

M&A: Chiomenti e Mainini & Associati con il fondo di investimento ISQ e CubeCold

Andrea Filippo Mainini nominato membro effettivo del collegio sindacale di Metamorphosis

Avvicendamento nel Collegio dei Revisori dei conti della Federazione Italiana Pesistica:

Eredità digitale, accesso degli eredi ai dati personali dell’account del defunto

Eredità digitale, accesso degli eredi ai dati personali dell’account del defunto

di Alessandro Zaninelli e Pier Angelo Mainini, Mainini & Associati

Il decreto legislativo 10 agosto 2018, n. 101 ha introdotto all’art. 2-terdecies (Diritti riguardanti le persone decedute) una significativa disposizione nel Codice in materia di protezione dei dati (meglio noto come “Codice della Privacy”), relativa alla delicata – e quanto mai attuale – tematica della tutela post-mortem ed alla cosiddetta eredità digitale del defunto.

In particolare, la tutela in questione attiene alla possibilità di accesso ai dati personali del de cuius, che anche in una era altamente digitale come la nostra rischiano di poter andare definitivamente persi, senza (paradossalmente) possibilità di recupero. Recupero, tuttavia, non sempre inattuabile, laddove, da un lato, la perseveranza di chi rivendica il legittimo esercizio di un diritto a tutela dell’“interessato” e, dall’altro, provvedimenti giudiziali “illuminati” riescano ad “aprire una breccia” in ambiti lasciati (ancora?) colpevolmente inesplorati. Basti pensare, infatti, che il nostro ordinamento non conosce una specifica normativa in materia di eredità digitale e che il GDPR (i.e. acronimo di “General Data Protection Regulation”, che designa il Regolamento UE 2016/679, che stabilisce le regole valide e uguali in materia di privacy nei 28 stati membri) non si occupa dei dati personali delle persone decedute, rimettendone la relativa disciplina ai singoli Stati.

Premesso ciò, la citata previsione 2-terdecies del “nuovo” Codice della Privacy stabilisce, al primo comma, che “…I diritti di cui agli articoli da 15 a 22 del Regolamento riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione…”, fermo restando quanto espresso al secondo comma, a norma del quale “…l’esercizio dei diritti di cui al comma 1 non è ammesso nei casi previsti dalla legge o quando, limitatamente all’offerta diretta di servizi della società dell’informazione, l’interessato lo ha espressamente vietato con dichiarazione scritta presentata al titolare del trattamento o a quest’ultimo comunicata…”.

Il terzo comma, poi, prevede requisiti sostanziali e formali per la manifestazione di volontà dell’interessato (“La volontà dell’interessato di vietare l’esercizio dei diritti di cui al comma 1 deve risultare in modo non equivoco e deve essere specifica, libera e informata; il divieto può riguardare l’esercizio soltanto di alcuni dei diritti di cui al predetto comma”), il quarto facoltizza l’interessato a revocare il divieto (“L’interessato ha in ogni momento il diritto di revocare o modificare il divieto di cui ai commi 2 e 3”), il quinto comma precisa, comunque, che il divieto in oggetto non possa “…produrre effetti pregiudizievoli per l’esercizio da parte dei terzi dei diritti patrimoniali che derivano dalla morte dell’interessato nonché del diritto di difendere in giudizio i propri interessi”.

Sebbene il nostro legislatore non abbia chiarito se l’acquisto dei diritti dell’interessato deceduto sia mortis causa o rappresenti una legittimazione iure proprio, la disposizione in commento risulta coerente (anche) con quel concetto di inviolabilità dei diritti della persona e della personalità di carattere costituzionale, sancito in modo granitico dall’articolo 2 della Costituzione Italiana.

Nel contesto normativo riferito, risulta di interessante attualità l’ordinanza emessa dalla Prima Sezione Civile del Tribunale di Milano il 10 febbraio 2021, a tutela di due genitori, determinati a non disperdere il patrimonio di ricordi e di emozioni legate al proprio giovane figlio scomparso, dunque legittimati in toto, in qualità di suoi unici eredi, ad agire a sua esclusiva tutela per ragioni familiari meritevoli di protezione.

In particolare, questi genitori adivano il Tribunale di Milano, presentando ricorso d’urgenza nei confronti di Apple Italia S.r.l. – società del Gruppo Apple – chiedendo, in via cautelare, di emettere i provvedimenti ad hoc, finalizzati ad ordinare alla società statunitense, con sede anche in Italia, di fornire l’assistenza necessaria volta al recupero dei dati personali dagli account del figlio scomparso.

A sostegno delle proprie domande, i ricorrenti deducevano che: (i) il ragazzo, vittima di un fatale incidente stradale, possedeva un telefonino, modello I phone X, nel quale era inserito un dispositivo caratterizzato da un sistema di sincronizzazione online, capace di conservare i contenuti digitali e di renderli accessibili – in tempo reale – tramite i vari dispositivi eventualmente posseduti; (ii) l’apparecchio era andato distrutto nell’incidente, al punto da essere stato impossibile recuperarlo o accedere ai dati in esso contenuti; (iii) i genitori avevano espresso l’intendimento di voler recuperare i dati contenuti nel telefonino, costituiti da fotografie e video registrati dal figlio, promettente chef, il quale amava “salvare” su file del cellulare le proprie ricette, che madre e padre avrebbero voluto pubblicare in un libro; e (iv) i ricorrenti si erano attivati tempestivamente per l’effettivo recupero delle credenziali di accesso al “servizio”, ma il procedimento si era rivelato estremamente arduo, tanto che la società, più volte contattata, aveva subordinato l’accesso ai dati contenuti nell’ID Apple all’ottenimento di un ordine del tribunale che contenesse, peraltro, elementi estranei all’ordinamento italiano. In relazione a quest’ultimo aspetto, va segnalato che Apple, pur avendo una stabile organizzazione in Italia, pretendeva l’applicazione della normativa statunitense, onde permettere ai genitori richiedenti l’accesso al Cloud del figlio.

In un contesto simile, poi rappresentato in atti, risultava, dunque, necessario percorrere la “strada” del giudizio civile, con tutte le conseguenze ed incognite del caso.

Ferme le deduzioni preliminari, il provvedimento cautelare (ed anticipatorio) richiesto ha trovato ex post ragione nella sussistenza sia del fumus boni iuris (i.e. l’esistenza in concreto del diritto vantato), sia nel periculum in mora, stante il pericolo serio e irreparabile del diritto fatto valere che, nel caso di specie, appariva in re ipsa. La società, infatti, specificando (essa stessa) che i propri sistemi, dopo un periodo di inattività dell’account i-cloud, sarebbero stati automaticamente “distrutti”, ebbe a prospettare per tabulas ai genitori del giovane un pregiudizio grave ed irreparabile all’esercizio dei diritti connessi al possibile recupero dei dati personali del figlio, contenuti nel telefonino andato distrutto. Già per tali ragioni, la cautela richiesta poteva ben dirsi fondata.

Con riferimento, poi, al requisito del fumus – che più del periculum merita attenzione, nel caso di specie – si fa rilevare come il giudice milanese, ai sensi e per gli effetti di cui l’art. 2-terdecies, comma 1, Codice della Privacy, abbia, inter alia:

  • statuito la sopravvivenza dei diritti dell’interessato post mortem, da parte di “determinati soggetti” legittimati all’esercizio dei diritti stessi, applicando quindi la regola generale prevista dal nostro ordinamento;
  • valorizzato espressamente l’autonomia dell’individuo, lasciando agli eredi/legittimati la facoltà di accedere ai suoi dati personali (ed esercitare tutti o parte dei diritti connessi) e/o di sottrarre all’accesso di terzi tali informazioni;
  • interpretato in modo autentico il legame esistente tra genitori e figlio, ravvisando così l’esistenza delle “ragioni familiari meritevoli di protezione” richieste dalla norma;
  • riscontrato la possibilità di esercizio, da parte degli eredi, dei diritti connessi ai dati personali post mortem, non avendo, peraltro, la società/titolare del trattamento fatto alcun riferimento a dichiarazioni impeditive in tal senso; e
  • ritenuto le già citate “ragioni familiari meritevoli di protezione” non subordinabili alla previsione di requisiti che, con riferimento ad istituti di un ordinamento giuridico di diverso da quello italiano (dinanzi al quale il diritto era stato azionato), avrebbero introdotto condizioni diverse da quelle indicate dal legislatore.

In accoglimento del ricorso, pertanto, la società, dichiarata contumace (poiché non costituitasi) veniva condannata a <<…fornire assistenza (…) nel recupero dei dati dagli account (…) nella procedura denominata “trasferimento” volta a consentire ai ricorrenti l’acquisizione delle credenziali d’accesso all’ID Apple…>>.

Rebus sic stantibus, la vicenda in esame – che ha visto contrapposti una parte ricorrente italiana ed una parte statunitense, seppur assente dal giudizio – apre certamente nuovi scenari sull’esercizio di diritti meritevoli di tutela, ma, al contempo, pone anche nuovi inevitabili interrogativi legati, da un lato, alla privacy e, dall’altro, alla protezione dei dati personali. E detti concetti, seppur interconnessi, tanto da esser considerati spesso sinonimi anche se fondamentalmente diversi, sono la “cartina tornasole” di due culture oggettivamente differenti, quella europea e quella americana.

Il concetto di privacy fa riferimento al diritto alla riservatezza delle informazioni personali e della vita privata, volto a tutelare la sfera intima del singolo individuo, onde impedire che le informazioni siano divulgate in assenza di specifica autorizzazione e di chiedere la non intromissione nella sfera privata da parte di soggetti terzi.

Il secondo concetto è, invece, (rappresentativo di) un sistema di trattamento dei dati, identificativi direttamente o indirettamente di una persona e costituenti la sua identità, inclusivo dei principi di riservatezza, nonché di disponibilità e integrità dei dati personali.

Mentre il concetto americano di privacy nasce da un’esigenza di sicurezza personale legata alla proprietà, quello europeo della protezione dei dati personali proviene dal timore che una profilazione dell’individuo possa essere potenzialmente discriminatoria.

In Italia, il concetto di privacy nasce nel momento in cui la sfera privata appare minacciata dalla crescente capacità di intrusione di chi osserva o ascolta e riporta al pubblico ciò che accade in ambito domestico. Tuttavia, bisogna attendere la fine del ’96 perché venga emanata una legge che garantisca il trattamento dei dati personali nel rispetto dei diritti, delle libertà fondamentali e della dignità delle persone fisiche con particolare riferimento alla riservatezza ed all’identità personale, nonché l’istituzione di un’Autorità amministrativa indipendente.

Tornando agli States, le leggi, in questo paese, perseguono l’obiettivo di regolamentare il trattamento dei dati in ambiti specifici di attività economica, nella misura in cui vi possano essere rischi per le persone intese però come consumatori. Ne consegue che, a differenza dall’Europa, la privacy “americana” si configura non come un diritto fondamentale dell’individuo, ma come un diritto del “consumatore”, da bilanciare con le esigenze delle imprese. È indubbia, pertanto, la differenza significativa rispetto alla norma europea, posto che il Regolamento UE sulla protezione dei dati personali mette sempre al centro la persona fisica, la quale può esercitare un diritto di libertà a prescindere dal suo ruolo sul mercato.

La protezione dei dati personali, secondo la concezione europea, è, quindi, un sistema di trattamento degli stessi che identifica direttamente o indirettamente una persona e, come detto, la sua definizione accoglie, oltre al principio di riservatezza, quelli inerenti alla disponibilità ed all’integrità dei dati personali.

Il differente significato, rispetto alla concezione statunitense, comincia ad emergere chiaramente dalla lettura degli artt. 7 ed 8 della Carta dei diritti fondamentali dell’Unione Europea 2012/C 326/02, riferiti al rispetto per la vita privata e familiare (Art. 7, “Tutti hanno il diritto al rispetto della propria vita privata e familiare, della propria casa e delle comunicazioni”) ed alla protezione dei dati personali (Art. 8, “1. Ogni individuo ha diritto alla protezione dei dati personali che lo riguardano. 2. Tali dati devono essere trattati equamente per scopi specifici e sulla base del consenso dell’interessato o di altre legittime basi stabilite dalla legge. Ognuno ha il diritto di accedere ai dati che sono stati raccolti riguardo a lui o lei, e il diritto di farlo rettificare. 3. Il rispetto di queste regole è soggetto al controllo di un’autorità indipendente”).

Dunque, può ben dirsi che mentre la privacy sia stata costruita come un “dispositivo” volto ad allontanare lo sguardo indesiderato, la protezione dei dati personali pone al centro la persona, in riferimento ai suoi dati, essendo questi costitutivi un’identità.

Ed è, quindi, da questo concetto di identità digitale, da tutelare anche post mortem, che viene avanzata una ulteriore riflessione.

Il provvedimento emesso dal Tribunale di Milano, seppur anticipatorio e, comunque, inaudita altera parte, rappresenta un precedente certamente significativo in tema di “eredità digitale”, atteso che tra le future sfide normative vi è certamente la necessità di garantire in modo granitico il trasferimento mortis causa del patrimonio digitale, laddove esso non sia oggetto di richiesta di cancellazione, onde, in tal caso, assicurare all’interessato un (legittimo) diritto all’oblio.

Quanto al patrimonio digitale, esso, come nella vicenda che ci occupa, può essere certamente costituito da contenuti meramente personali, intimi ed affettivi, lungi da essere suscettibili di valutazione economica, fermo restando la possibilità che – in assoluto – le due classi di beni siano sovrapponibili, laddove aventi contemporaneamente contenuto patrimoniale e personale.

Dunque, proprio perché la cosiddetta “morte digitale”, da non sovrapporre a quella biologica, si lega inevitabilmente al fenomeno della permanenza dei dati in rete, anche post mortem, ed alla relativa cancellazione degli stessi (quale unica operazione in grado di garantire “l’oblio”), va doverosamente rammentato che già nei primi anni 2000, il Prof. Stefano Rodotà parlò per la prima volta in Italia di “corpo elettronico”, guardando a determinate prospettive come ai confini di un mondo futuribile, ma soltanto ipotizzabile, interrogandosi sulle trasformazioni di un’identità umana che vivesse la realtà attraverso un corpo dotato di potenziamenti tecnologici applicati direttamente su di esso.

E analizzando oggi considerazioni di tale profondità se ne riscontra la “drammatica” attualità e la lungimiranza dell’illustre giurista, nel contesto di un mondo virtuale, nel quale la persona non è rappresentata dalla sua fisicità, ma da quell’infinità di dati che, nel corso della vita, (la persona) abbia immesso in rete e che permangono anche dopo la morte fisica.

A tal fine, alcuni “passaggi”, davvero attualissimi, dell’intervento dell’Illustre Maestro al convegno su “Trasformazioni del corpo e dignità della persona” nel maggio 2005 meritano di essere riportati, anche per inquadrare l’impatto che la tecnologia sta determinando, anche giuridicamente, a tutti i livelli.

Così, il Prof. Rodotà:

  • interrogandosi sulla “proprietà” del corpo dell’“ometto della contesa”, concludeva che esso <<…si moltiplica e si scompone, cerca unità e conosce divisioni, in vertiginosi giochi di specchi si fronteggiano corpo fisico e corpo elettronico, corpo materiale e corpo virtuale, corpo biologico e corpo politico. Un corpo sempre più inteso come insieme di parti separate ripropone l’ipotesi dell’“homme machine”…>>;
  • richiamandosi alle norme in quanto tali, affermava che <<…I grandi codici ottocenteschi come quello francese, italiano e tedesco, pur aprendosi tutti con una parte dedicata alle “persone”, ne ignorano del tutto la fisicità, limitandosi poi ad essenziali accenni sul nascere e sul morire. Di questi punti estremi del ciclo vitale ci si limitava a registrare la naturalità…>>;
  • citando Voltaire e Foucault, sulle <<…immagini che inducono a riflettere sul corpo, “docile” o “analizzabile” o “manipolabile” …>> ricordava che <<…quelle immagini oggi si moltiplicano, e presentano il corpo in mille sfaccettature e scomposizioni. (…) un doppio corpo, fisico ed elettronico, che modifica la percezione del sé ed il rapporto con gli altri…>>, specificando, altresì, che <<…Per il corpo fisico il caso è quello della clonazione. Per il corpo elettronico, cioè l’insieme delle informazioni raccolte sul nostro conto e il modo in cui possiamo presentarci in rete, si parla appunto di clonazione delle carte di credito e di “furto di identità”: si sostituisce a noi chi si è impadronito di un nostro codice segreto, della password…>>; e
  • in relazione a internet, sottolineando che, effettivamente, tutti noi possiamo assumere identità molteplici, richiamava il desiderio dello Zelig di Woody Allen, sintetizzato nella frase “Vorrei essere tante persone. Forse un giorno questo si avvererà”.

Con ciò, l’insigne giurista, primo Garante per la protezione dei dati personali in Italia, ebbe a definire meglio di chiunque altro il concetto di “corpo elettronico”, atteso che – già allora e, più che mai oggi – i <<…pezzi di ciascuno di noi sono conservati nelle numerosissime banche dati dove la nostra identità è sezionata e scomposta, dove compariamo ora come consumatori, ora come elettori, debitori, lavoratori, utenti dell’autostrada…>>.

In estrema sintesi, quindi, un “corpo” può significativamente ritenersi “distribuito” (<<…banche dove si depositano parti o prodotti del corpo: gameti, sangue, tessuti, cellule, Dna…>>), “modificato” (<<…la crescente possibilità di trapianti e sostituzione di parti può creare seri problemi d’identità. Un corpo incessantemente modificato, come la nave di Teseo nel suo lunghissimo viaggio…>>), “controllato” (<<…Il trascorrere dal passato a un presente che è già futuro si può cogliere nel fatto che i collaudati controlli e condizionamenti esterni sono ormai accompagnati da una costruzione del corpo stesso in forme che possano renderlo compatibile con la società della sorveglianza…>>), “falsificato” (<<…Se portiamo sotto la pelle un chip elettronico con dati sulla nostra identità, salute, situazione finanziaria qualcuno potrebbe modificarne il contenuto a nostra insaputa. E su Internet possono circolare nostre biografie immaginarie di cui neppure conosciamo l’esistenza…>>), “socializzato” (<<…quando lo spirito di solidarietà fa crescere la propensione a consentire la donazione di organi per i trapianti. Ma se gli organi diventano una merce, ci troviamo davanti ad un corpo cannibalizzato dagli abbienti che possono comprare gli organi dei poveri…>>), “escluso” (<<…Le ricerche le sperimentazioni sull’ectogenesi, sulla gestazione fuori dal corpo femminile, fanno parlare di un “madre superflua”. E cosi il “potere di generare”, attributo essenziale del genere femminile, sarebbe trasferito dalla donna alla scienza…>>), “espropriato” (<<…non solo il corpo diviene lo strumento per collegare direttamente una serie di apparati portatili (…), dal telefono cellulare al computer palmare, al lettore di musica, superando le tecnologie attuali e creando, al posto delle reti oggi operanti, una rete personale tenuta insieme dalla nostra pelle. Diviene uno strumento di cui ci viene sottratta la libera disponibilità, poiché questa nuova forma della sua utilizzazione é subordinata ai diritti di brevetto..>>), “ridotto” (<<…Si cede così alla mistica del Dna e dell’elettronica, si ignora che la biografia é più forte della biologia, si trascura il contesto in cui viviamo e dobbiamo essere valutati…>>) e, da ultimo, “liberato” (<<…Siamo di fronte a nuovi intrecci tra natura e cultura, che non prospettano soltanto rischi, ma offrono opportunità. Servono nuove regole, ma soprattutto adeguata consapevolezza sociale. Guai a confidare in un uso autoritario del diritto…>>).

In conclusione, fermo l’auspicio che un “corpo”, nella sua unità, possa essere consegnato alla libertà ed all’autonomia della persona, la vicenda processuale in commento rievoca, nella sua drammaticità, un concetto di disarmante purezza, che, quasi un secolo fa, Fernando Pessoa così sintetizzò: “…Se dopo la mia morte volessero scrivere la mia biografia, non c’è niente di più semplice. Ci sono solo due date, quella della mia nascita e quella della mia morte. Tutti i giorni fra l’una e l’altra sono miei…”. Anche per questo, riteniamo di dover sottolineare un aspetto che, superando i “cieli stellati” del diritto, induce ad una riflessione naturale: due genitori innamorati del proprio figlio sono riusciti a dimostrare che l’amore è – e rimane – uno scampolo mortale di immortalità.


di Alessandro Zaninelli e Pier Angelo Mainini, Mainini & Associati