Ricordo che un paio di anni fa mi venne chiesto un parere sul caso di Dama, quel ragazzo minorenne precocemente scomparso il cui padre richiedeva l’accesso all’iPhone per visualizzzare le immagini degli ultimi istanti di vita del figlio. Eravamo reduci dal due di picche di Tim Cook che vietava la creazione di una backdoor nel cellulare dell’attentatore di San Bernardino e l’ipotesi che qualcuno potesse toccare i nostri dispositivi allo scoccare del rigor mortis già allora aveva dato adito a riflessioni personali non solo sui profili di diritto, quanto piuttosto sulle questioni etiche della vicenda e sulla tutela dell’identità digitale post mortem.

Un anno dopo Dama il capitolo si è riaperto in Germania, dove una decisione della Corte federale di giustizia di Karlsruhe ha stabilito il diritto dei genitori di gestire il profilo della figlia, deceduta a seguito di un incidente ferroviario nel 2012. I genitori della ragazza avevano fatto richiesta di poter accedere all’account Facebook della minorenne, ma la richiesta era stata respinta in appello e l’account della ragazza era stato bloccato. Tuttavia, nel luglio del 2018 la Corte federale ha sancito il diritto per i genitori di accedere all’account della figlia scomparsa, reputandolo come parte dell’eredità della quindicenne.

La vicenda mi è tornata in mente perché è di questi giorni il parere su un’istanza per l’accesso civico adottato dal Garante privacy [1], che ha ridestato l’interesse per la questione dell’eredità digitale, soprattutto alla luce del D. Lgs. 101/2018.

Il Garante ha infatti rilevato che il Regolamento europeo sulla protezione dati (GDPR), pur escludendo l’applicazione della normativa ai dati delle persone decedute (cfr. Considerando 27), stabilisce, la cd. “clausola di salvaguardia”, che permette agli Stati membri di prevedere norme che riguardano il trattamento dei dati personali dei defunti. E in effetti il legislatore italiano, con il d. lgs. n.101/2018, ha sancito proprio che «I diritti di cui agli articoli da 15 a 22 del Regolamento», laddove «riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione» (art. 2-terdecies, comma 1, del Codice, introdotto dall’art. 2, comma 1, lett. f, del d. lgs. n. 101/2018). Da tale riconoscimento derivano quindi due conseguenze:

– Da un lato, ai dati delle persone decedute continuano ad applicarsi i diritti di cui agli articoli da 15 a 22 del Regolamento – fra cui il diritto di accesso ai dati personali, i diritti di rettifica e cancellazione dei dati, il diritto alla limitazione del trattamento, il diritto di opposizione al trattamento, il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato;

– Dall’altro, i summenzionati diritti e il loro esercizio prescindono dalla configurazione in capo all’interessato all’esercizio dei diritti della nozione tecnica di erede, così come individuato nel Provvedimento del Garante n. 268 del 3 maggio 2018.

Così, se da un lato vengono stabilite dal d. lgs. n. 101/2018 le condizioni per le quali i terzi possono esercitare i diritti dell’interessato con riferimento ai dati delle persone defunte, dall’altro bisogna sottolineare che la stessa disciplina stabilisce la facoltà di opporsi preventivamente a tale esercizio.

In particolare, l’esercizio dei diritti da parte di «chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione» è precluso laddove una norma di legge vieti espressamente a terzi di esercitare i diritti relativi ai dati personali del defunto, come ad esempio il caso esaminato dal Garante, che ha precluso l’accesso civico alla documentazione richiesta poiché tale accesso comporterebbe la conoscenza di “dati relativi alla salute”, per i quali è previsto un espresso divieto di diffusione ex art. 7-bis, comma 6, del d. lgs. n. 33/2013.

In secondo luogo, limitatamente all’offerta diretta di servizi della società di informazione, è precluso l’esercizio di diritti da parte di «chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione» laddove l’interessato abbia vietato espressamente l’esercizio dei diritti relativi ai propri dati personali da parte di terzi che potrebbero averne titolo. Tale volontà, al pari di un consenso prestato ex art. 7, GDPR deve essere espressa mediante dichiarazione scritta presentata al titolare del trattamento e deve essere specifica, non equivoca, libera e informata. Ovviamente, l’interessato ha in ogni momento il diritto di revocare o modificare il divieto espresso nelle modalità di cui sopra.

Così, ad esempio, Google [2] e Facebook [3], con una funzione che in realtà in pochi conoscono, hanno entrambi previsto la possibilità di stabilire un piano di gestione del proprio account in caso di decesso: nominare una persona che eredita l’account al posto del defunto o eliminare l’account dopo un periodo di inattività, una sorta di oblìo post mortem. Nella vicenda svoltasi in Germania, cui si faceva riferimento, Facebook aveva negato ai genitori ogni accesso anche perché la ragazza non aveva potuto impostare alcun “contatto erede”, non essendo ancora disponibile questa opzione. Eppure, per i giudici federali tedeschi, il profilo social della ragazza è da ritenere ereditabile, al pari delle lettere cartacee e dei diari, con la conseguenza che i genitori siano a tutti gli effetti “eredi” dei contenuti condivisi, scritti, postati o commentati dalla ragazza.

E qui subentra un ulteriore aspetto da valutare. Si tratta del bilanciamento tra il diritto di accesso ai dati personali del defunto e l’accesso ai dati personali non riferiti al defunto. L’esempio più semplice nel mondo offline è quello relativo ai dati dei terzi beneficiari di assicurazioni sulla vita per cui, in effetti, la Cassazione aveva già adottato il seguente orientamento: «in tema di trattamento dei dati personali, tra i dati concernenti persone decedute, ai quali hanno diritto di accesso gli eredi non rientrano quelli identificativi di terze persone, quali, ad esempio, sono i beneficiari della polizza sulla vita stipulata dal de cuius (defunto), ma soltanto quelli riconducibili alla sfera personale di quest’ultimo» (Cass. civ., n. 17790/2015).

Eppure, quando si parla di social network è piuttosto complesso definire in che termini l’accesso al profilo del defunto possa essere scevro dall’accesso anche a dati riferibili a terzi con cui il defunto era in contatto. Per questa ragione, nel caso di Facebook è esplicitamente escluso l’accesso ai messaggi dell’account della persona defunta, il cui profilo diviene meramente commemorativo. Più critico, da questo punto di vista, l’approccio di Google che demanda al titolare dell’account la possibilità di conferire all’erede un link con i dati scaricabili relativi all’indirizzo Gmail, compresa la posta elettronica. Si tratta senz’altro di un accesso parziale alle informazioni che esclude l’utilizzo diretto dell’account, tuttavia non appare di facile gestione la tutela dei soggetti terzi che hanno avuto contatti con il titolare defunto.

Comunque, ciò che appare evidente è la portata innovativa del d. lgs. 101/2018 che permette a ciascun soggetto di disporre post mortem dell’utilizzo dei propri dati digitali nei servizi della società dell’informazione, riconoscendo a livello normativo la rilevanza dei dati digitali come un bene di cui ogni interessato, cui i dati si riferiscono, può liberamente disporre secondo le proprie volontà.

Chiaramente, il divieto posto dall’interessato non potrà produrre effetti pregiudizievoli per l’esercizio da parte di terzi dei diritti patrimoniali che derivano dalla morte dello stesso, tantomeno del diritto di difendere in giudizio i propri interessi. Ciò significa che il titolare del trattamento, anche nei servizi della società dell’informazione, non potrà rifiutare al terzo l’accesso ai dati del defunto qualora questi agisca a tutela dei suoi diritti patrimoniali o per far valere in giudizio i suoi interessi.

Diciamo che dalla vicenda di Dama sono stati fatti molti passi avanti. La normativa attuale ha reintrodotto il tema, già da tempo ‘chiacchierato’, dell’eredità digitale anche se sono ancora numerose le questioni irrisolte. Saranno il Garante per la privacy e i Tribunali nazionali a spiegarci come gestire l’immortalità digitale e una sfera privata sempre più social e meno propensa all’oblio.

Note

[1] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9084520.

[2] https://myaccount.google.com/u/0/inactive?pli=1.

[3] https://www.facebook.com/help/991335594313139/?helpref=hc_fnav.

Articolo a cura di Camilla Bistolfi

Autore

Autore Bio Specializzata cum laude in Scienze di governo e della comunicazione pubblica alla LUISS Guido Carli. Attualmente ricopre la posizione di Associate nel dipartimento TMT presso lo studio legale Hogan Lovells ed è Privacy Officer e Consulente della Privacy certificato dal TÜV. Dopo un tirocinio presso il Garante Privacy (Dipartimento attivià ispettive e sanzioni), ha ottenuto nel 2014 l’incarico di Research Fellow dell’Istituto Italiano per la Privacy e la Valorizzazione dei Dati – di cui è diventata nel 2017 componente del Consiglio di Amministrazione – e per il quale ha seguito progetti di advocacy nazionali ed europei nonché quelli di ricerca e innovazione Horizon2020, finanziati dalla Commissione Europea. Camilla ha fondato e diretto il Centro Nazionale Anti-Cyberbullismo (CNAC) sino a dicembre 2018 e continua a occuparsi delle tematiche relative a minori e genitorialità digitale. È coautrice nella raccolta “Privacy Technologies and Policies” (Springer, 2016) di uno studio in tema di IoT e 3D privacy e di una pubblicazione su pseudonimizzazione, privacy e Big Data sulla Computer Law & Security Review. Ha scritto, in questi anni, anche di social network, minori e abusi online, digital parenting, identità digitali e portabilità dei dati. È autrice con Luca Bolognini ed Enrico Pelino del volume “Il Regolamento Privacy Europeo”, il primo commentario italiano sulla materia pubblicato nel 2016 da Giuffrè.