Trib. Milano, sez. I civ., ord. 10 febbraio 2021
Partendo da una recente pronuncia cautelare del Tribunale di Milano, con cui è stato concesso ai genitori di un giovane prematuramente scomparso l’accesso ai dati dello smartphone del figlio conservati in iCloud, si esamina la disciplina sul trattamento dei dati personali delle persone decedute e, in particolare, le condizioni previste dalla legge per l’esercizio dei diritti sui relativi dati personali. Inoltre, il contributo illustra la difficile applicazione di detta normativa nell’ambito dei servizi della società dell’informazione nonché una serie di precedenti del Garante Privacy da cui si evince una particolare esigenza di tutela alla riservatezza dei terzi che hanno interagito col defunto, elemento del tutto disatteso dall’ordinanza in commento.
Sommario: 1. Il caso. – 2. Le questioni. – 2.1 La normativa applicabile ai dati personali delle persone decedute: l’art. 2-terdecies del Codice Privacy. – 2.2. Segue: la difficile applicazione della normativa ai servizi della società dell’informazione. – 3. I precedenti del Garante Privacy e la tutela posta alla riservatezza dei terzi. – 4. Conclusioni.
- Il caso
L’ordinanza in commento affronta la difficile questione dell’accesso ai dati personali di una persona deceduta e, nello specifico, di quelli contenuti in un dispositivo come lo smartphone.
Nel dicembre 2020 il giovane A. veniva coinvolto in un grave incidente stradale e perdeva la vita di lì a poco. I genitori venivano a conoscenza del fatto che sullo smartphone del figlio, un Apple iPhone X andato distrutto nell’incidente, era attivo il servizio di sincronizzazione automatica denominato iCloud. Quest’ultimo, come il nome suggerisce, è un servizio che consente di salvare sui server di Apple, in via continuativa e automatica, tutti i contenuti digitali presenti nello smartphone, così che essi possano essere recuperati tramite altri dispositivi registrati dallo stesso utente o tramite accesso con credenziali al portale iCloud. Essendo sprovvisti delle credenziali, i genitori di A. chiedevano all’assistenza clienti Apple di poter ottenere l’accesso ai dati contenuti nell’account iCloud del figlio. Dopo il sostanziale rifiuto opposto dall’assistenza clienti in virtù dell’assenza di un provvedimento giurisdizionale a garanzia della liceità del trasferimento, questi promuovevano ricorso ex artt. 669-bis e 700 c.p.c. avverso la Apple Italia S.r.l. chiedendo in via cautelare l’emissione di un ordine volto ad ottenere l’accesso dei dati personali contenuti nell’account.
Nel ricorso, in particolare, i ricorrenti dichiaravano di voler accedere all’account iCloud per recuperare le fotografie e i video registrati dal figlio per «poter cercare di colmare – almeno in parte – quel senso di vuoto e l’immenso dolore che si accompagna alla prematura perdita di un proprio caro». Inoltre, i ricorrenti dichiaravano di voler accedere alle eventuali ricette del figlio, chef di professione, possibilmente conservate nel dispositivo e dunque nell’account iCloud, al fine di realizzare un libro di ricette commemorativo. In punto di diritto, i ricorrenti motivavano la richiesta ai sensi dell’art. 2-terdecies del Codice della protezione dei dati personali (di seguito, il «Codice Privacy»), il quale stabilisce le condizioni che consentono l’esercizio dei diritti che sarebbero spettati all’interessato. Tra le condizioni-presupposto stabilite dalla norma in questione, che operano alternativamente, i ricorrenti ritenevano di poter esercitare il diritto di accesso in virtù dell’esistenza di «ragioni familiari meritevoli di protezione» (su cui si dirà infra). Quanto al requisito del periculum in mora, invece, i ricorrenti giustificavano l’esigenza di un giudizio cautelare rappresentando che i dati contenuti nell’account iCloud sarebbero andati irrimediabilmente persi dopo un certo periodo di inattività dello stesso, come previsto dai termini e condizioni del servizio.
Apple Italia S.r.l., ritualmente citata, non si costituiva in giudizio e veniva dichiarata contumace.
Il Giudice, ritenuti preliminarmente sussistenti gli estremi per il giudizio cautelare, accoglieva il ricorso e condannava Apple Italia S.r.l. a fornire assistenza ai ricorrenti nel recupero dei dati contenuti nell’account iCloud del defunto.
- Le questioni
Il caso in esame ha sollevato dinanzi il Tribunale di Milano un tema che, alla luce dei vari interessi in gioco, risulta di difficile interpretazione e applicazione pratica, anche stante l’assenza di precedenti simili nella giurisprudenza nostrana. Ciononostante, pure se in ambiti diversi, il tema dell’accesso ai dati di una persona deceduta è stato oggetto di un discreto numero di decisioni del Garante per la protezione dei dati personali (di seguito, il «Garante Privacy»), delle quali non vi è traccia alcuna nell’ordinanza commentata. Probabilmente complice la contumacia di Apple, infatti, l’ordinanza meneghina omette di considerare aspetti cruciali e meritevoli di approfondimento quali, su tutti, il principio di proporzionalità e di tutela della riservatezza dei terzi che col defunto hanno interagito per il tramite di un dispositivo personalissimo come lo smartphone. Ci arriveremo nel proseguo, dopo aver però fornito un inquadramento sistematico della disciplina.
2.1 La normativa applicabile ai dati personali delle persone decedute: l’art. 2-terdecies del Codice Privacy
L’ordinanza affronta preliminarmente il tema dell’individuazione della normativa applicabile al trattamento dei dati personali delle persone decedute. Essa richiama, in particolare, il considerando 27 del Regolamento (UE) 2016/679 (di seguito, il «GDPR»), il quale esclude espressamente dall’ambito di applicazione del Regolamento i trattamenti di dati di persone decedute, lasciando la disciplina di tale peculiare aspetto interamente alla legislazione degli Stati membri.[1] L’impostazione del GDPR ha infatti recepito le indicazioni fornite in passato dal Gruppo di lavoro per la protezione dei dati personali dell’Unione Europea[2] rispetto all’ambito di applicazione della abrogata direttiva 95/46/CE[3], che nulla aveva disposto sul punto.[4] In particolare, con un parere del 2007 sul concetto di dati personali, il Gruppo di lavoro aveva avuto modo di precisare come le informazioni relative alle persone decedute non potessero considerarsi, in linea di principio, dati personali soggetti alle norme della direttiva 95/46/CE [oggi del GDPR]poiché, per il diritto civile, i defunti non sono più persone fisiche. Tuttavia, lo stesso parere non aveva escluso che i dati personali dei defunti potessero in alcuni casi beneficiare indirettamente di una protezione, lasciando appunto agli Stati membri la facoltà di disciplinare tale aspetto sussistendo un interesse particolare in tal senso e dando dunque vita a una sorte di «persistenza» dei diritti privacy dopo la morte.[5]
Ebbene, il nostro legislatore aveva già da tempo affrontato la questione con la l. 675/1996, che aveva individuato le condizioni necessarie a giustificare l’esercizio, da parte di terzi, dei diritti del defunto. Molto succintamente, essa prevedeva all’art. 13, c. 3, che i diritti in materia di protezione dei dati personali spettanti in genere alle persone fisiche ma riferiti ai dati personali concernenti persone decedute potessero essere esercitati «da chiunque vi avesse interesse».
Successivamente, il Codice Privacy del 2003, all’art. 9, c. 3, aveva precisato che l’esercizio dei diritti relativi ai dati del defunto potesse essere esperito da chi avesse un «interesse proprio [cioè autonomo da quello del defunto, ndr], o agis[sse]a tutela dell’interessato o per ragioni familiari meritevoli di protezione».
Infine, l’art. 2-terdecies del Codice Privacy oggi vigente, introdotto dal d.lgs. 101/2018 nel contesto del generale riordinamento della normativa interna a seguito dell’entrata in vigore del GDPR, ha confermato e ampliato quanto previsto dal Codice Privacy del 2003, disponendo che «I diritti di cui agli articoli da 15 a 22 del [GDPR] riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi [1] ha un interesse proprio, o [2] agisce a tutela dell’interessato, in qualità di suo mandatario, o [3] per ragioni familiari meritevoli di protezione».[6]
La disposizione introduce inoltre alcune novità. Tra queste vi sono due limitazioni all’esercizio dei diritti che sarebbero spettati al defunto. Infatti, non è possibile esercitare detti diritti: (a) nel caso in cui vi sia una limitazione di legge all’accesso alle informazioni (si pensi all’ipotesi di alcune normative specifiche, come quella sul whistleblowing)[7] e (b) nel caso in cui l’interessato abbia in vita espressamente vietato l’esercizio dei diritti da parte di terzi, ma limitatamente ai soli servizi della società dell’informazione (come è peraltro il caso di iCloud). L’eventuale divieto deve esprimersi con dichiarazione al Titolare del trattamento, dimostrando una volontà specifica, libera e informata. A parziale deroga di tale divieto, il c. 5 dell’art. 2-terdecies prevede che questo non possa produrre effetti pregiudizievoli per l’esercizio dei diritti patrimoniali di terzi derivanti dalla morte dell’interessato o per la difesa in giudizio dei propri interessi. Trattasi di una previsione chiaramente finalizzata ad assicurare la facile ricostruzione del patrimonio del defunto e evitare che il divieto posto da quest’ultimo possa bloccare qualsivoglia azione da parte degli aventi diritto. Si pensi, ad esempio, al legittimario pretermesso che in virtù del generale divieto all’accesso disposto dal de cuius si ritroverebbe impossibilitato ad esperire le azioni previste a sua tutela, non avendo egli modo di ricostruire il patrimonio effettivamente esistente (ad esempio, l’ammontare della giacenza su di un portafoglio elettronico o i documenti contabili salvati in un archivio in cloud). Infine, si noti come con l’art. 2-terdecies il legislatore non abbia voluto attribuire alcun valore all’eventuale qualifica giuridica del soggetto che intende esercitare i diritti del defunto (quale, ad esempio, potrebbe essere stata l’indicazione dell’erede, del congiunto, dell’unito civilmente, etc.), lasciando invece al caso concreto la valutazione sull’effettiva esistenza di un rapporto meritevole di tutela. Una impostazione figlia del progresso e del riconoscimento di una dimensione naturalistica degli affetti dell’individuo.[8]
2.2 Segue: la difficile applicazione della normativa ai servizi della società dell’informazione
La normativa in questione si scontra con una difficile applicazione pratica nell’ambito dei servizi della società dell’informazione (come per l’appunto il servizio di sincronizzazione iCloud di Apple, ma anche altri servizi, ad esempio di posta elettronica come Gmail o Yahoo! o di social network come Facebook e Instagram). In tutti questi casi, infatti, non possono ignorarsi talune peculiarità, come: (1) la difficoltà, per i fornitori, di strutturare un’unica soluzione capace di declinare le diverse scelte normative adottate nel mondo; (2) l’esistenza di un rapporto contrattuale tra utente e fornitore e l’atteggiarsi di tale rapporto in relazione alla normativa interna (talvolta inderogabile); e, soprattutto, (3) l’impatto che l’esercizio del diritto di accesso può avere sulle aspettative di riservatezza dei terzi che hanno interagito col defunto tramite quello stesso servizio (si pensi, ad esempio, all’impatto sui terzi nei casi di accesso alla cartella «posta ricevuta» di un account di posta elettronica, ai messaggi ricevuti su WhatsApp o persino in App per incontri come Tinder o Grindr).
Partendo dalla prima delle questioni richiamate, negli anni recenti si è via via sempre più diffusa, nel mercato dei servizi della società dell’informazione, l’abitudine di concedere agli utenti la facoltà di indicare un cd. «contatto erede». Si tratta, in sostanza, di un terzo utente cui può essere riconosciuto dopo il proprio decesso l’accesso a tutti i, o parte dei, dati contenuti nell’account. Viceversa, si è anche diffusa la pratica di consentire all’utente di impostare la cancellazione automatica di tutti i, o parte dei, dati conservati nell’account al momento del decesso (notificato da un terzo o presunto per decorrenza di un determinato periodo di inattività).[9] È proprio con riferimento all’insorgenza dell’opzione di selezione di un cd. “contatto erede” che deve probabilmente assumere significato l’inciso, aggiunto dal d.lgs. 101/2018 all’art. 2-terdecies, che specifica che per soggetto che «agisce a tutela dell’interessato [defunto]» deve intendersi un soggetto che agisce «in qualità di suo mandatario». Come ha sostenuto la dottrina, infatti, il legislatore ha così voluto recepire la forte spinta all’autonomia privata intrapresa dalle big tech, dopo averla ritenuta compatibile con i principi nostrani del diritto delle successioni e, nello specifico, con il generale divieto di patti successori. Questi strumenti, infatti, non si porrebbero in contrasto col divieto di patti successori in quanto essi consentono di regolare rapporti che afferiscono alla mera sfera della personalità, e non alla sfera patrimoniale, circostanza che sì invece avrebbe sollevato dubbi di compatibilità con i principi del del nostro ordinamento.[10] Infine, la mancata apposizione di requisiti di forma per l’espressione di detto mandato costituirebbe ulteriore conferma della volontà di riconoscere l’utilità e la legittimità di tali strumenti, semplificando le modalità di svolgimento dell’autonomia privata.
Dubbi, invece, emergono in relazione al requisito di forma scritta previsto dal c. 2 dell’art. 2-terdecies per l’espressione della volontà dell’interessato di vietare a terzi l’esercizio dei diritti sui propri dati dopo la morte. Se da un lato, infatti, l’assenza di requisiti di forma per l’indicazione del cd. «contatto erede» sembrerebbe voler dimostrare un’apertura del legislatore in termini di progresso, d’altro lato il requisito della forma scritta per l’espressione del divieto sembrerebbe voler ostacolare qualsiasi semplificazione. Ad ogni modo, nonostante il dato letterale della disposizione, è opinione di chi scrive che, ispirandosi al pensiero dalla giurisprudenza più progressista sull’interpretazione da attribuire, nel contesto online, al requisito di forma scritta per la sottoscrizione delle clausole vessatorie di cui all’art. 1341 c.c., può ritenersi che la forma scritta per l’espressione del divieto di cui all’art. 2-terdecies possa ritenersi soddisfatto laddove l’espressione avvenga mediante la tecnica del “point & click” (cioè, con l’apposizione di una mera spunta su di un’opzione di divieto preimpostata dal fornitore del servizio all’interno dell’area riservata dell’account) o altra tecnica analoga, secondo il grado di evoluzione della tecnica informatica.[11]
Muovendo invece al secondo degli aspetti segnalati, ovvero le questioni attinenti al rapporto contrattuale tra fornitore e utente e al suo atteggiarsi rispetto alla normativa interna, val la pena evidenziare come l’art. 2-terdecies non faccia menzione alcuna al contratto con l’utente. Eppure, l’esistenza di tale rapporto contrattuale è stato più volte posto al centro dell’attenzione dalla giurisprudenza straniera che si è trovata ad affrontare casi simili a quello in commento.[12] Altrettanta rilevanza al tema del rapporto contrattuale esistente tra utente e fornitore del servizio è stata riservata da parte della dottrina nostrana, la quale ha peraltro mosso critiche per il fatto che molto spesso trattasi di contratti standardizzati e per mera adesione.[13] In sostanza, secondo tale giurisprudenza e dottrina il mandato conferito dal defunto a un terzo al di fuori dell’ambito della piattaforma (ad esempio, in un testamento) non potrebbe che esplicarsi nei limiti posti dalle condizioni contrattuali precedentemente sottoscritte tra defunto e fornitore del servizio. Un simile mandato, dunque, troverebbe un ostacolo insormontabile nelle clausole di intrasferibilità che sono spesso previste nei termini e condizioni di detti servizi, vanificando dunque l’esperibilità del mandato.[14] È peraltro questo il caso anche del servizio iCloud, secondo i cui termini «Se non diversamente previsto dalla legge, accettate che il Vostro Account non è trasferibile e che qualsiasi diritto verso il Vostro ID Apple o Contenuto nell’Account si estingue con la Vostra morte […]».[15] L’incipit della clausola, pensata per essere applicata in più giurisdizioni, lascia volutamente impregiudicata la normativa inderogabile eventualmente applicabile nel Paese del contraente, come deve ritenersi sia il caso della disciplina italiana contenuta nell’art. 2-terdecies del Codice Privacy. Infatti, si ritiene di poter aderire alla tesi della migliore dottrina, secondo cui la scelta del legislatore italiano sia stata quella di rimarcare il massimo potere di controllo e autodeterminazione dell’interessato sui propri dati; conseguentemente, l’intervento del terzo mandatario designato dovrebbe essere assicurato, dopo la morte del mandate, al di là di qualsivoglia contrasto con le condizioni poste dal fornitore del servizio.[16] In tale ottica, dunque, in presenza di un mandato chiaro e documentato (ad es., una nomina a esecutore testamentario in relazione alla gestione di taluni dati personali), il fornitore del servizio non potrebbe opporre alcunché, e dovrebbe piuttosto aderire alla volontà del defunto, proprio rivitalizzando quell’autonomia privata che i fornitori stessi hanno, per primi, valorizzato.
Rimane da affrontare la terza questione sopra richiamata, ovvero l’impatto che l’esercizio dei diritti in luogo del defunto – e, specialmente, del diritto di accesso – può avere sulle aspettative di riservatezza tanto del defunto che dei terzi che con questo hanno interagito. Come si vedrà nel paragrafo che segue, il diritto alla riservatezza del defunto e dei terzi è stato oggetto di analisi in alcune interessanti decisioni del Garante Privacy, che hanno cercato di individuare un bilanciamento tra il diritto alla riservatezza e il diritto del terzo istante a esercitare i diritti previsti dalla normativa sui dati del defunto, con risultati che sembrano del tutto in controtendenza rispetto all’ordinanza in commento.
- I precedenti del Garante Privacy e la tutela posta alla riservatezza dei terzi
Come si è detto, la l. 675/1996 già consentiva di esercitare i diritti sui dati personali di persone decedute, possibilità poi mantenuta (ed ampliata) dal Codice Privacy. Ciò ha consentito di sedimentare nel tempo un discreto numero di decisioni dinanzi il Garante Privacy, che vale la pena analizzare.
Le decisioni del Garante Privacy possono dividersi in due principali categorie: da un lato le decisioni sulle richieste presentate sulla base di un interesse proprio dell’istante, per lo più finalizzate all’accesso ai dati per interessi di natura patrimoniale); dall’altro lato le (più rare) decisioni sulle richieste presentate per «ragioni familiari meritevoli di protezione», per lo più finalizzate alla cancellazione o alla rettifica. Ad ogni modo, come si vedrà, tutte le decisioni passate in rassegna affrontano il tema della tutela dei terzi.
In una prima nota del 22 maggio 2000 il Garante Privacy ha reso noto di aver rigettato un ricorso presentato nei confronti di una banca con cui il figlio di una signora defunta aveva chiesto di accedere all’identità di una persona che aveva prelevato alcune somme da un deposito al portatore intestato alla signora. In particolare, il Garante Privacy, nel respingere il ricorso, motivava che l’interesse proprio del richiedente non potesse che intendersi limitato alle sole informazioni concernenti la posizione della de cuius (quali, ad esempio, quelle sull’esistenza di un conto e del relativo saldo), non potendo però estendersi sino a consentire l’accesso ai dati personali di terzi, seppure indirettamente beneficiari delle somme connesse al rapporto intestato alla signora.[17] Dello stesso indirizzo sono la decisione del 27 ottobre 2000 con cui il Garante ha dichiarato inammissibile una richiesta volta a conoscere il nominativo del terzo possessore di un titolo al portatore menzionato nella documentazione del defunto[18], nonché la decisione del 22 settembre 2003 con cui, accogliendo la richiesta di un erede ad accedere ai dati del defunto in relazione ad alcune polizze assicurative, il Garante ha escluso la possibilità di accedere agli estremi identificativi dei terzi beneficiari della polizza stipulata dal de cuius.[19] In un altro caso del 2014 concernente la richiesta di accesso alla cartella clinica di un soggetto deceduto in ambito ospedaliero, inoltre, il Garante si è riservato di verificare con un autonomo procedimento l´eventuale illiceità della comunicazione fatta dall’ospedale all’istante ad esito della richiesta, posto che la cartella clinica consegnata conteneva anche dati di terzi non strettamente connessi alla vicenda della defunta.[20] Ancora, nel 2017, decidendo su un ricorso di una signora intentata ad accedere alla cartella clinica della madre deceduta in una casa di cura, nonché all’elenco delle visite alla madre avvenute nel giorno in cui la de cuius aveva revocato precedenti disposizioni testamentarie in suo favore, il Garante, pur riconoscendo il diritto della ricorrente ad accedere alla cartella clinica e all’indicazione delle eventuali visite alla madre, ha ritenuto il ricorso inammissibile in ordine alla richiesta di ottenere altresì le generalità dei visitatori. Conseguentemente, la casa di cura ha potuto fornire all’istante esclusivamente conferma o meno delle visite effettuate alla madre in tale giorno, inclusiva degli orari di ingresso ed uscita, ma non anche alle generalità dei visitatori, proprio in virtù del fatto che la legge consente l’accesso ai soli dati del de cuius, e non di terzi.[21]
Fuori dall’ambito patrimoniale, invece, e in assenza di decisioni più aderenti al caso in commento, si ritiene estremamente significativa la dichiarazione che fece nel 2006 Mauro Paissan, membro del collegio del Garante, in relazione alla notizia, riportata su diversi giornali, di una donna che aveva chiesto al fornitore del servizio email Yahoo! l’accesso alla casella email del padre defunto.[22] Le dichiarazioni dell’allora membro del Collegio al Corriere della Sera sembrano essere in linea con la forte tutela alla riservatezza dimostrata nelle decisioni passate in rassegna. Egli, infatti, dichiarò: «Non si può consegnare a nessuno, nemmeno agli eredi, una casella di posta elettronica, perché può contenere dati personali non soltanto del defunto ma di tutti i suoi interlocutori. L’accesso va proibito nel modo più assoluto».[23] L’insieme delle decisioni sopra richiamate fanno emergere chiaramente come l’approccio al tema della privacy sia nel tempo mutato, uscendo da una logica unidirezionale focalizzata sul rapporto tra Titolare del trattamento e singolo interessato, emergendo piuttosto la necessità ricorrere a una nozione di ambito più ampio, che comprenda anche quelli che sono stati definiti «i flussi dall’esterno verso l’interno».[24]
Venendo alle decisioni su ricorsi fondati sull’esercizio dei diritti per «ragioni familiari meritevoli di protezione», invece, va innanzitutto chiarito che queste rappresentano un numero estremamente esiguo e si caratterizzano per un esame particolarmente scrupoloso.[25] Queste, infatti, sembrano aver trovato accoglimento esclusivamente in quei casi in cui fosse effettivamente possibile individuare la coesistenza di un duplice interesse, tanto dell’istante quanto del defunto. Conseguentemente, l’immagine che se ne trae è di una tutela normativa offerta non tanto ai superstiti in sé quanto piuttosto alla più ampia formazione sociale di cui era parte il defunto – la famiglia, appunto – quale centro di interessi collettivo e autonomo.
In un provvedimento del 11 ottobre 2006, ad esempio, il Garante è stato chiamato a decidere su alcuni articoli contenenti i dati personali relativi ad un minore che si era tolto la vita «nonché [i dati personali relativi]al padre dello stesso […] e, più in generale, al contesto familiare e sociale nel quale viveva il minore». Il padre ricorreva dunque al Garante per vedere tutelato l’onore e la riservatezza della famiglia quale centro di interessi autonomo, inclusivo sia degli interessi del minore defunto sia di quelli dei familiari superstiti. In particolare, il ricorrente chiedeva di vietare la diffusione di talune informazioni familiari nonché quanto lasciato scritto dal minore nell’ultimo tema svolto in classe prima del tragico evento, che era stato ripreso in stralci nei medesimi articoli. Il Garante, conclusa l’istruttoria, accoglieva il ricorso riconoscendo l’esistenza di un interesse familiare sotteso alla richiesta, vietando la diffusione ulteriore del quotidiano contenente le informazioni familiari e ordinando all’editore di allegare copia della decisione a tutti gli esemplari del quotidiano conservati in magazzino, a futuro monito.[26]
Infine, in un ultimo caso connesso alla pubblicazione su un giornale locale di informazioni relative alla morte di un uomo per overdose, il Garante ha riconosciuto le ragioni familiari addotte dai ricorrenti, i quali avevano sostenuto vi fosse stata una lesione del diritto alla solidarietà e all’onore familiare, oltre che un’offesa alla memoria del defunto.[27] Anche qui, in sostanza, un interesse duplice, tanto degli istanti quanto del defunto.
- Conclusioni
Alla luce delle considerazioni svolte, l’ordinanza in commento non convince per una serie di motivi.
Preliminarmente, il Tribunale di Milano omette del tutto l’accertamento del ruolo della contumace Apple Italia S.r.l. rispetto al servizio iCloud. Pur volendo disapplicare i termini di servizio nella parte in cui richiamano istituti giuridici inesistenti nel nostro ordinamento, infatti, i termini contrattuali avrebbero potuto (e dovuto) assumere rilevanza ai fini dell’individuazione del soggetto legittimato passivo. Il contratto di servizi iCloud non menziona mai la Apple Italia S.r.l., bensì indica chiaramente la Apple Distribution International Ltd. (con sede in Irlanda) quale controparte contrattuale – e dunque Titolare del trattamento – per gli utenti italiani. La questione rimane irrisolta, posto che la motivazione si occupa del tema soltanto en passant, assumendo la Apple Italia S.r.l. legittimata passiva semplicemente perché «appartenente al gruppo Apple (tramite cui opera la Apple Distribution International LTD)». La motivazione manca dunque, in fatto e in diritto, di fornire prova di una connessione tra le tue persone giuridiche capace di generare una responsabilità dell’una per l’altra, o comunque di provare un rapporto tra la società italiana e quella irlandese in relazione alla gestione del servizio iCloud che risulti sufficiente a qualificare la legittimazione passiva della Apple Italia S.r.l.[28] Preme rilevare, inoltre, come tale elemento rappresentasse un interesse degli stessi ricorrenti, ai quali l’ordinanza offre ora un titolo presumibilmente incapace di produrre effetti nei confronti della Apple Distribution International LTD, titolare dei rapporti connessi ad iCloud.
Quanto al merito, l’ordinanza premette una descrizione della normativa esistente, richiamando ampi stralci dell’art. 2-terdecies del Codice Privacy ed evidenziando come l’espressione del divieto di esercizio dei diritti da parte di terzi dopo la propria morte, esperibile nei confronti dei fornitori di servizi online, risulti in qualche modo di ispirazione comune al principio di autodeterminazione previsto dalla recente l. 219/2017 in materia di disposizioni anticipate di trattamento. Accertata dunque l’assenza in atti di una qualsivoglia espressione di divieto esercitata dal defunto nei confronti dei dati contenuti in iCloud, la motivazione passa alla disamina delle «ragioni familiari meritevoli di protezione» addotte dai ricorrenti, quale requisito di cui all’art. 2-terdecies del Codice Privacy. A tal proposito, l’ordinanza omette sia l’accertamento di quell’interesse duplice (tanto dei ricorrenti tanto del defunto) che ha caratterizzato le decisioni passate del Garante, sia l’accertamento della sussistenza di una base giuridica idonea a consentire l’accesso dei ricorrenti ai dati personali di terzi che hanno interagito col defunto tramite lo smartphone – anch’essi conservati nell’iCloud. Assume dunque valore assoluto, agli occhi del giudice meneghino, il solo interesse dei ricorrenti – umanamente più che comprensibile – al ricordo e alla commemorazione, con totale disinteressamento per le legittime aspettative di riservatezza dei terzi, le cui foto, i cui messaggi, le cui voci e confidenze sono verosimilmente conservate nel medesimo account iCloud e potrebbero essere violate. Il risultato che ne esce è una ordinanza che, oltre a non tenere conto dei principi di proporzionalità, manca di assoluta coerenza con le commentate decisioni Garante e con la sensibilità che oggi accompagna l’utilizzo accorto dello smartphone, quale contenitore delle nostre vite.[29]
Al di là della critica in punto di diritto, che all’ordinanza è esclusivamente rivolta, resta ovviamente sottratto a qualsiasi giudizio il dramma umano vissuto dai ricorrenti, a cui nessun giudice potrà dare cura.
[1] Tra le più esaustive riflessioni sull’ambito di applicazione del GDPR si veda C. Colapietro-A. Iannuzzi, I principi generali del trattamento dei dati personali e i diritti dell’interessato, in L. Califano-C. Colapietro (a cura di), Innovazione tecnologica e valore della persona. Il diritto alla protezione dei dati personali nel Regolamento UE 2016/679, Napoli, 2017, 85 ss.
[2] Trattasi del gruppo di lavoro (anche noto come Article 29 Working Party) previsto dall’art. 29 della direttiva 95/46/CE, ovvero un organismo consultivo e indipendente composto da un rappresentante della o delle autorità di controllo designate da ciascuno Stato membro e da un rappresentante della o delle autorità create per le istituzioni e gli organismi comunitari, nonché da un rappresentante della Commissione UE.
[3] Direttiva 95/46/CE relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, abrogata a decorrere dal 25 maggio 2018 per effetto dell’art. 94 del GDPR.
[4] In verità, dagli atti del Consiglio dell’Unione europea emerge una posizione congiunta di Consiglio e Commissione volta a lasciare libertà agli Stati membri in relazione alle disposizioni applicabili alle persone decedute (verbale del Consiglio dell’Unione europea del 8 febbraio 1995, documento 4730/95).
[5] Parere 4/2007 sul concetto di dati personali adottato il 20 giugno 2017 (documento 01248/07/IT WP 136). Il parere richiama altresì la sentenza della CGUE, C-101/2001, Lindqvist, secondo cui le «possibilità [di manovra riservate agli Stati Membri in relazione ad aspetti non coperti dalla direttiva 95/46/CE]devono essere usate nel modo previsto dalla direttiva 95/46 ed in conformità del suo obiettivo, che consiste nel mantenere un equilibrio tra la libera circolazione dei dati personali e la tutela della vita privata» (§ 97).
[6] Il lettore più attento non mancherà di notare l’aggiunta, alla seconda ipotesi, rispetto al testo previgente, dell’inciso «in qualità di suo mandatario», su cui si tornerà più avanti. Per un approfondimento sulla fase attuativa del GDPR negli Stati membri si veda C. Colapietro, I principi ispiratori del Regolamento UE2016/679 sulla protezione dei dati personali e la loro incidenza sul contesto normativo nazionale, Federalismi.it, 22, 2018.
[7] L’art. 23 del GDPR consente al diritto dell’Unione e degli Stati membri di limitare, mediante misure legislative, la portata degli obblighi e dei diritti degli interessati. Nel nostro ordinamento l’art. 2-undecies del Codice Privacy si preoccupa di individuare un elenco di ipotesi per le quali i diritti di cui agli artt. da 15 a 22 non possono essere esercitati. In taluni di questi casi, comunque, l’ordinamento consente un esercizio mediato dei diritti per il tramite del Garante, il quale poi provvede a informare l’interessato rispetto all’esito (cfr. artt. 58 e 160 del Codice Privacy).
[8] Tale condivisibile impostazione segue l’impianto originario già contenuto nella l. 675/1996; si veda sul punto in dottrina G. Buttarelli, Banche dati e tutela della riservatezza. La privacy nella società dell’informazione: commento analitico alle leggi 31 dicembre 1996, nn. 675 e 676 in materia di trattamento dei dati personali e alla normativa comunitaria ed internazionale, Milano, 1997, 321 e Garante Privacy, 17 luglio 2009 (doc. web. 1656642) con cui è stato riconosciuto al convivente di una donna deceduta, in assenza di un rapporto coniugale, l’accesso alla sua cartella clinica, il cui diritto di accesso era stato precedentemente rifiutato dalla struttura sanitaria in quanto non ritenuto un di lei «prossimo congiunto».
[9] Prendendo in esame lo strumento «Gestione account inattivo» di Google, ad esempio, l’utente può indicare un periodo di tempo oltre il quale Google deve considerare inattivo l’account (al momento, da 3 a 18 mesi di inattività). Oltre tale periodo, nel corso del quale Google prova a contattare il titolare dell’account tramite SMS e email ad un altro indirizzo indicato dallo stesso, è possibile disporre l’eliminazione automatica dell’account e di tutti i dati oppure autorizzare in via automatica l’accesso a massimo 10 persone di fiducia, da indicare tramite indirizzo email, i quali potranno accedere, secondo l’opzione selezionata, a tutti i dati o soltanto parte di essi, individuabili per servizio (ad es. soltanto Gmail, o Drive, o Calendar, etc.). La scelta tra l’eliminazione e la designazione di uno o più contatti autorizzati, infine, può anche sovrapporsi, posto che se l’utente decide di consentire a un terzo di scaricare i propri contenuti dell’account inattivo e al contempo dispone la cancellazione automatica dei dati, tale terzo avrà tre mesi di tempo per farlo prima che l’account venga eliminato definitivamente. La dottrina non ha mancato di passare in rassegna le varie soluzioni adottate e, per una ricostruzione anche cronologica delle soluzioni succedutesi, si rimanda alle opere di G. Resta, La morte digitale, in Il diritto dell’informazione e dell’informatica, 2014, 896 ss. e A. Magnani, L’eredità digitale, in Notariato, 5, 2014, 519 ss.
[10] Si veda in particolare G. Resta, Chi controlla la nostra identità digitale dopo la morte?, in Giustiziacivile.com, 9 ottobre 2003, 5, secondo la cui ricostruzione la dottrina prevalente avrebbe ben accolto tale autonomia negoziale ritenendola non in conflitto con il generale divieto di patti successori e riconducendo la libertà di scelta concessa dalle piattaforme agli interessati nella fattispecie del mandato post mortem exequendum.
[11] Sul punto, è particolarmente esaustiva la motivazione offerta dalla sentenza del Trib. Napoli, 13 marzo 2018, n. 2508 che ha ritenuto soddisfatto il requisito di accettazione per iscritto delle clausole vessatorie mediante “point & click”: «[…] gli strumenti tecnologici impiegati per la stipula del contratto telematico ontologicamente non si prestano ad assecondare le previsioni dell’art. 1341 c.c. in tema di specifica sottoscrizione delle clausole vessatorie presupponendo tale norma l’esistenza di un modulo a stampa sottoposto alla firma del contraente che, in ambito telematico, viene sostituita dalla compilazione online di un formulario […] e dalla presa visione e accettazione con la tecnica del point & click delle condizioni contrattuali a cui rimanda con un link (c.d. collegamento ipertestuale) e dalla definitiva conferma della propria volontà negoziale attraverso la medesima tecnica». È spesso richiamata nella dottrina anche un precedente apparentemente conforme risalente al 2002 del G.d.P. Pantanna (cit. in G. Cassano-P. Cimino, Contratto via Internet e tutela della parte debole, in I Contratti, 10, 2002, 869 ss.). In contrasto con le precedenti pronunce dei giudici di Napoli e Pantanna, invece, si veda Trib. Catanzaro, ord. 30 aprile 2012, secondo cui «con riguardo alle clausole vessatorie on line, l’opinione dottrinale prevalente – alla quale il Tribunale aderisce – ritiene che non sia sufficiente la sottoscrizione del testo contrattuale, ma sia necessaria la specifica sottoscrizione delle singole clausole, che deve essere assolta con la firma digitale. Dunque, nei contratti telematici a forma libera il contratto si perfeziona mediante il tasto negoziale virtuale, ma le clausole vessatorie saranno efficaci e vincolanti solo se specificamente approvate con la firma digitale[!]». Una lettura, quest’ultima, che applicata alla manifestazione di divieto di cui all’art. 2-terdecies, finirebbe per azzerarne l’uso concreto e dunque la funzione di tutela per l’interessato.
[12] Per un approfondimento della giurisprudenza straniera si veda I. Maspes, Successione digitale, trasmissione dell’account e condizioni generali di contratto predisposte dagli internet services providers in I Contratti, Milano, 2020, 5, 583 e ss.
[13] Tra le innumerevoli pubblicazione che affrontano il tema, si vedano G. Resta, La morte digitale, cit., 907 ss., F. Padovini, Rapporto contrattuale e successione per causa di morte, 1990, 35 ss.; S. Deplano, La successione a causa di morte nel patrimonio digitale, in C. Perlingieri -L. Ruggeri (a cura di), Internet e diritto civile,, Napoli, 2015, 427 ss., nonché A. Zoppini, Le «nuove» proprietà nella trasmissione ereditaria della ricchezza (note a margine della teoria dei beni), in Riv. dir. civ., 1, 2000, 185 ss.
[14] G. Finocchiaro, La protezione dei dati personali in Italia. Regolamento UE n. 2016/679 e d.lgs. 10 agosto 2018, n. 101, Bologna, 2019, 469.
[15] Termini e condizioni del servizio iCloud, Sezione IV, paragrafo «D. Nessun diritto di successione», disponibile all’indirizzo apple.com.
[16] G. Finocchiaro, La protezione dei dati personali in Italia. Regolamento UE n. 2016/679 e d.lgs. 10 agosto 2018, n. 101, cit., 470.
[17] Garante Privacy, 22 maggio 2000 (doc. web. 1163550)
[18] Il provvedimento, non immediatamente disponibile sul sito del Garante, è richiamato in Garante Privacy, 3 aprile 2002 (doc. web. 1065256).
[19] Garante Privacy, 22 settembre 2003 (doc. web. 1053716 sul sito www.garanteprivacy.it).
[20] Garante Privacy, 6 febbraio 2014 (doc. web. 3039504).
[21] Garante Privacy, 15 giugno 2017 (doc. web. 6697731). Per una panoramica della normativa specifica in materia di trattamento di dati personali in ambito sanitario si veda C. Colapietro-F. Laviola, I trattamenti di dati personali in ambito sanitario, in Dirittifondamentali.it, 2, 2019, 1 ss.
[22] Per tutti, si veda A. Lisi, L’insostenibile riservatezza di un’email, in punto-informatico.it, 30 gennaio 2007.
[23] Corriere della Sera, 26 settembre 2006, 31.
[24] C. Colapietro-A. Iannuzzi, I principi generali del trattamento dei dati personali e i diritti dell’interessato, in L. Califano-C. Colapietro (a cura di), Innovazione tecnologica e valore della persona. Il diritto alla protezione dei dati personali nel Regolamento UE 2016/679, Napoli, 2017. Sul tema, non può non rimandarsi anche alle primissime riflessioni sul tema di S. Rodotà, La «privacy» tra individuo e collettività, in Pol. Dir., 1974, 552 ss.
[25] Alla data del 1° aprile 2021 risultano sul sito del Garante n. 106 provvedimenti nella categoria “persone defunte”.
[26] Garante Privacy, 11 ottobre 2006, non più disponibile sul sito del Garante ma reperibile a questo link.
[27] Il caso, non più disponibile in rete, è riportato in G. Finocchiaro, Privacy e protezione dei dati personali. Disciplina e strumenti operativi, Bologna, 2012, 247. Sul tema, si vedano anche le interessanti riflessioni di F. Laviola, Il diritto all’oblio in Italia dalle origini alla «codificazione» in Studi parlamentari e di politica costituzionale, 2018, spec. 85, secondo cui le richieste di cancellazione post mortem possono di fatto qualificarsi quali forme di esercizio di un diritto all’oblio ultra-attivo rispetto alla durata della vita del soggetto interessato.
[28] Ad avviso di chi scrive trattasi di un grave vizio di motivazione, posto che non esiste nell’ordinamento italiano alcuna disposizione secondo cui le persone giuridiche costituite in Italia e afferenti a un gruppo societario straniero possano essere ritenute responsabili per le attività svolte in via esclusiva da altre persone giuridiche del medesimo gruppo costituite e aventi sede in altri ordinamenti. Peraltro, dalla visura camerale della Apple Italia S.r.l. risulta che questa si occupi prevalentemente di attività di supporto alla vendita e che essa non è sede secondaria della Apple Distribution International Ltd., circostanza che avrebbe trovato menzione nella visura ai sensi dell’art. 2197, c. 2 e 3, c.c.). A scanso di equivoci, preme sottolineare che non avrebbe neppure potuto assumere alcun valore una eventuale partecipazione sociale della Apple Distribution International Ltd. nella Apple Italia S.r.l., posto che «l’art. 2497 cod. civ., che disciplina la responsabilità delle società e degli enti che esercitano attività di direzione e coordinamento di altre società, consente ai soci e ai creditori sociali di agire direttamente contro la società o l’ente che esercita l’attività di direzione e coordinamento ove non siano stati soddisfatti dalla società controllata, ma non viceversa, ossia che le società partecipate o controllate possano essere chiamate a rispondere civilmente per attività poste in essere dalla partecipante o dalla controllante» (Trib. Torino, ord. 16 febbraio 2021, in un caso che vedeva erroneamente chiamata in giudizio la Google Italy S.r.l. per fatti concernenti un’altra società del gruppo).
[29] In ossequio al principio di proporzionalità, l’ordinanza in commento avrebbe eventualmente potuto garantire l’accesso limitatamente ai dati di talune applicazioni, circostanziando temporalmente i dati oggetto di tutela, sulla base delle precise richieste formulate dai ricorrenti.