Il Tribunale di Milano con ordinanza del 10 febbraio 2021 ha riconosciuto ai genitori del figlio defunto il diritto di accedere ai contenuti del suo smartphone archiviati su iCloud. Il nostro approfondimento giuridico sulla vicenda.
A cura di Marco Bassini, Giovanni De Gregorio, Oreste Pollicino
Il ruolo dei dati nella società dell’informazione ha sollevato diversi interrogativi anche in relazione all’accesso e all’utilizzo delle informazioni di carattere personale post mortem (tema sul quale cfr. O. Pollicino – V. Lubello – M. Bassini, Identità ed eredità digitali, Aracne, 2016). Ad esempio, possono i genitori rivendicare un interesse meritevole di tutela ad accedere ai dati del figlio defunto? Si può obbligare un soggetto privato che raccoglie e archivia informazioni in uno spazio cloud a fornire assistenza per il recupero dei dati personali del defunto? Sono tutti interrogativi, questi, al centro della vicenda in cui ha avuto modo di pronunciarsi il Tribunale di Milano, accogliendo il ricorso proposto in via cautelare dai genitori del figlio scomparso a venticinque anni, lo scorso marzo, per ottenere un provvedimento che obbligasse Apple Italia a prestare la propria assistenza per il recupero dei contenuti archiviati sui suoi account.
La vicenda sembra mettere in luce ancora una volta la centralità del ruolo che i prestatori di servizi rivestono nella società dell’informazione, e in particolare in quell’opera delicata di bilanciamento tradizionalmente affidata a poteri pubblici (le autorità amministrative o giurisdizionali) che conosce tuttavia un esercizio sempre più “paragiurisdizionale” da parte di intermediari, nati per perseguire finalità di business. La scelta di tutelare il diritto alla privacy (ancorché di una persona defunta) o l’aspettativa, giuridicamente rilevante, di poter coltivare il ricordo dei propri cari può essere affidata a un soggetto che è avvinto a una relazione contrattuale con l’utente cui eroga i propri servizi?
E, ancora, dalla vicenda riaffiora, seppure superficialmente, il tema assai dibattuto della sovranità digitale: quali tutele si applicano ai dati di cittadini europei trattati da fornitori di servizi con sede negli Stati Uniti, ma con business senz’altro esteso anche in Europa? Si può ritenere ancora valida l’aspettativa di un provider statunitense di soggiacere solo e soltanto alle regole dell’ordinamento in cui si è radicato originariamente, per poi raggiungere, nell’ecosistema digitale, una dimensione globale?
Non è un caso che questi temi, ben visibili nella vicenda in esame, intercettino alcuni dei nodi al centro delle proposte di riforma delle istituzioni dell’Unione europea, da ultima quella relativa al Digital Services Act.
I fatti
Un giovane chef, coinvolto in un incidente stradale costatogli la vita, era proprietario di uno smartphone prodotto da Apple andato distrutto in conseguenza del sinistro. Nonostante l’impossibilità di recuperare i dati salvati sull’unità locale, il telefono risultava connesso al sistema di sincronizzazione online fornito da Apple, ossia iCloud. Tale sistema permette di archiviare contenuti digitali e renderli disponibili attraverso altri dispositivi in dotazione dell’utente, che vi può accedere utilizzando le proprie credenziali. Considerata la possibilità di recuperare i contenuti ospitati su iCloud, i genitori del defunto manifestavano la volontà di acquisire le fotografie e i video eventualmente registrati “in modo da potere cercare di colmare – almeno in parte – quel senso di vuoto e l’immenso dolore che si accompagna alla prematura perdita di un proprio caro”. Tutto ciò anche al fine di realizzare un progetto dedicato alla memoria del figlio. I vari tentavi intrapresi dai ricorrenti per ottenere le credenziali di accesso al servizio di cloud fornito da Apple si erano rivelati vani: Apple pretendeva un ordine del tribunale le cui caratteristiche erano in parte estranee all’ordinamento italiano.
La decisione
Adito il Tribunale in sede cautelare, i genitori-ricorrenti sostenevano la sussistenza del fumus boni iuris sulla base dell’art. 2-terdecies dal Codice della privacy, come novellato dal d.lgs. 101/2018, che riconosce la possibilità di esercitare i diritti delle persone decedute per “ragioni familiari meritevoli di protezione”. Sul punto, come osservato dal giudice, il considerando 27 del regolamento (UE) 2016/679 (GDPR) stabilisce che l’ambito di applicazione soggettivo della disciplina sulla protezione dei dati non si estende ai dati personali delle persone decedute. Tuttavia, il GDPR prevede la possibilità che gli Stati membri istituiscano norme volte a regolare il trattamento dei dati personali delle persone decedute. Sul punto proprio l’art. 2-terdecies, introdotto dal d.lgs. 101/2018, prevede che “i diritti di cui agli articoli da 15 a 22 del Regolamento riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione”. Riferendosi espressamente alla tesi della dottrina sulla “persistenza” dei diritti oltre la vita della persona fisica (per una efficace panoramica del dibattito, cfr. M. Tescaro, La tutela postmortale della personalità morale e specialmente dell’identità personale, in Jus Civile, 2014, p. 316 ss.), il Tribunale ha osservato che un tale inquadramento permette ai soggetti che hanno un interesse proprio o dell’interessato di esercitare i diritti dell’interessato medesimo previsti dal GDPR quale, ad esempio, l’accesso di cui all’art. 15.
Tuttavia, sussistono dei limiti e delle condizioni che si impongono rispetto a un tale surrogazione nell’esercizio dei diritti conferiti alla persona deceduta dal GDPR. L’art. 2-terdecies prevede un duplice limite all’operatività di questo meccanismo, che può darsi entro precisi scenari: in primo luogo, nei casi previsti dalla legge; oppure, in secondo luogo, quando, in relazione all’offerta diretta di servizi della società dell’informazione, l’interessato abbia espressamente vietato tale esercizio con dichiarazione scritta presentata al titolare del trattamento o a quest’ultimo comunicata. Inoltre, la volontà dell’interessato di vietare l’esercizio dei diritti in questione da parte di terzi deve risultare in modo non equivoco e deve essere specifica, libera e informata e può anche riguardare l’esercizio soltanto di alcuni dei diritti. La volontà espressa dall’interessato può essere sempre revocata o modificata e, in ogni caso, “non può produrre effetti pregiudizievoli per l’esercizio da parte dei terzi dei diritti patrimoniali che derivano dalla morte dell’interessato nonché del diritto di difendere in giudizio i propri interessi”.
Il quadro giuridico d’insieme ha portato il Tribunale a ritenere che i genitori siano senz’altro legittimati ad esercitare il diritto di accesso ai dati personali del proprio figlio improvvisamente deceduto. L’intenzione di recuperare le immagini anche in relazione alla creazione di un progetto in memoria del figlio, e più in generale il legame tra genitori e figli, costituiscono “ragioni familiari meritevoli di protezione” come previsto dall’art. 2-terdecies. Inoltre, il figlio deceduto non aveva espressamente vietato l’esercizio dei diritti connessi ai suoi dati personali post mortem. La rilevanza della normativa interna costituisce anche un limite ai requisiti richiesti da Apple per l’accesso da parte dei genitori all’account iCloud del defunto. Il Tribunale osserva che la tutela di una ragione familiare meritevole di protezione prevista dall’ordinamento italiano non può essere subordinata al rispetto di condizioni stabilite da un ordinamento straniero. Allo stesso modo, non possono essere considerate rilevanti per l’ordinamento italiano le altre condizioni che nella fattispecie erano state imposte da Apple quale, ad esempio, la necessità che il richiedente sia l’amministratore o rappresentante legale del defunto o che la sua autorizzazione costituisca un “consenso legittimo”, secondo le definizioni contenute nell’Electronic Communications Privacy Act.
Con riguardo al diniego di accesso da parte di Apple per tutelare la sicurezza dei clienti, il Tribunale sottolinea che l’art. 6, par. 1, lettera f) del GDPR autorizza il trattamento dei dati personali necessario per il “perseguimento del legittimo interesse” del titolare o di terzi. Secondo il Tribunale, “ragioni familiari meritevoli di protezione”, costituiscono legittimo interesse dei genitori e rappresentano pertanto la condizione di liceità del trattamento.
Infine, con riguardo all’ulteriore requisito del periculum in mora, parte ricorrente aveva riferito che, dopo un periodo di inattività dell’account iCloud, i dati sarebbero stati cancellati. Ne consegue che il pericolo di un pregiudizio grave e irreparabile all’esercizio dei diritti connessi è in re ipsa, derivando dall’impossibilità di poter accedere ai dati personali del figlio defunto.
La persistenza dei dati in una dimensione transnazionale
Il provvedimento del Tribunale di Milano che qui si commenta costituisce un’occasione per riflettere su come le informazioni che vengono accumulate ogni giorno non siano rilevanti soltanto per il soggetto proprietario dell’account o il provider dei sistemi di cloud ma anche per eredi e terze parti che possano vantare un interesse ad avervi accesso.
Sul punto il Tribunale ha riconosciuto un interesse meritevole di tutela nella richiesta dei genitori di accedere alle informazioni del figlio defunto. Tutto ciò sulla base di una cornice normativa nazionale che regola il trattamento dei dati personali post mortem seppur, a livello europeo, tali informazioni non siano tutelate come dati personali. In un tale contesto, l’approccio italiano mostra ancora una volta la centralità dell’individuo anche in relazione al trattamento dei dati personali. Pur prevedendo, infatti, la possibilità che familiari e terze parti possano essere portatori di un interesse ad accedere e utilizzare i dati personali del defunto, ciò non elimina la possibilità che il soggetto esprima previamente il proprio diniego al trattamento post mortem. Tale approccio, anche in continuità con l’art. 9, co. 3, del d.lgs. 196/2003 costituisce un esempio di come la dignità e l’autodeterminazione, espressione dell’autonomia individuale, costituiscano due pilastri centrali del sistema di tutela dei dati personali, a dispetto dell’impronta marcatamente economica con cui la protezione dati era originariamente concepita a livello dell’Unione europea all’epoca della direttiva 95/46/CE.
La rilevanza di tale regime nazionale può essere considerata anche in relazione alle condizioni imposte da Apple per accedere al servizio nella sua veste di operatore privato di un servizio offerto su base contrattuale nei confronti di un utente. Non è la prima volta che Apple pone al centro delle proprie policies la tutela della privacy degli utenti. Gli eventi seguiti alla strage di San Bernardino nel 2015 (su cui cfr. G.E. Vigevani, Apple v. FBI: i valori costituzionali in gioco, in DPCE Online, 10 febbraio 2017 e M. Orofino, FBI v. Apple: il caso è (forse) chiuso, ma le questioni di fondo rimangono apertissime, ibidem) o le recenti modifiche al sistema iOS volte a introdurre un’opzione per limitare l’estrazione di dati dalla porta lightning dei dispositivi mobili costituiscono soltanto due esempi di come la società di Cupertino sia focalizzata nell’assicurare la tutela dei propri sistemi e la privacy dei propri utenti, che rivestono senza dubbio una rilevanza crescente anche come valori reputazionali.
Ciò, tuttavia, non è sufficiente quando si opera in un contesto globale che intreccia diversi sistemi giuridici. Vale la pena ricordare che il GDPR ha voluto espressamente fare tabula rasa di quelle obiezioni già ampiamente superate dalla giurisprudenza della Corte di giustizia, come per esempio nel caso Google Spain, relative alla pretesa estraneità dei “giganti del web” alle regole a tutela della privacy stabilite dall’ordinamento europeo. Recependo forse l’influenza dell’adagio ubi commoda ibi et incommoda, il regolamento, con l’art. 3, par. 2, ha stabilito che chiunque effettui, ancorché stabilito in paesi terzi, il trattamento di dati personali di soggetti che risiedono nell’Unione europea, nell’ambito della prestazione di servizi o dell’offerta di beni, rientra nell’ambito di applicazione della normativa continentale. È questo, del resto, un costo necessario per poter ampliare la portata del proprio business al di fuori dei confini statunitensi e fare business “sulla pelle” dei cittadini europei.
Sebbene, dunque, molti dei tech giants ricorrano ad argomentazioni proprie di un diritto straniero, essi sono poi inevitabilmente ricondotti al rispetto delle regole dell’ordinamento nel quale i cittadini chiedono tutela. È questo uno dei temi al centro del dibattito che verte sulla c.d. sovranità digitale; una questione particolarmente cara alle istituzioni dell’Unione europea e alla Commissione guidata da Ursula von der Leyen, sulla quale già la Corte di giustizia ha “mostrato i muscoli” nella saga Schrems sul trasferimento di dati personali ma vi è da scommettere altre importanti tappe saranno segnate a breve.
Rimane tuttavia aperto il primo degli interrogativi di cui si discuteva in apertura, ossia se possa competere davvero a un operatore privato il compito assai difficile di compiere un bilanciamento di interessi, soprattutto nell’ambito di vicende connotate da irripetibili peculiarità come quella in esame. Sotto questo profilo, è inevitabile che il ruolo delle autorità di protezione dei dati ed eventualmente delle autorità giurisdizionali riguadagni in questa prospettiva assoluta centralità, alla luce non solo delle differenze ordinamentali di cui si è detto ma anche delle diverse sensibilità che sul valore costituzionale della tutela della privacy e dei dati personali si esercitano, con implicazioni anche pratiche di grande momento.
AUTORE
La Redazione di Federnotizie è composta da notai di tutta Italia, specializzati in differenti discipline e coordinati dalla direzione della testata, composta dai notai Arrigo Roveda e Domenico Cambareri.