Il tema dell’accesso da parte di familiari, eredi o soggetti in qualche modo interessati al “patrimonio digitale” di persone decedute è estremamente suggestivo e affascinante. Si tratta di un argomento che ha manifestato, in particolare, un’evoluzione interpretativa costante che ha comportato, in tutto il mondo, il ripensamento dei termini contrattuali tra utenti e provider, delle normative sulla protezione dei dati, dei “tradizionali” diritti successori e delle prassi (più o meno corrette) in ambito assicurativo, postale e bancario (tre settori nei quali, come prevedibile, simili richieste sono sempre state molto comuni).
Il fascino del “patrimonio digitale” dei defunti
I motivi per cui una persona possa essere interessata ad accedere ai dati di un soggetto deceduto sono tra i più vari: la volontà di recuperare elementi per ricordarlo al meglio, la necessità di investigare o di domandare chiarimenti sulle ragioni della sua morte (si pensi al recupero di messaggi, conversazioni, immagini o video legati a episodi cyberbullismo, di molestie, di revenge porn o d’istigazione al suicidio), a pure questioni patrimoniali, alla gestione di segreti industriali, alla protezione della proprietà intellettuale e di inediti artistici, al recupero di “tesoretti” in criptovalute).
Sono tre le fasi principali, nell’era digitale, che hanno scandito un tale tipo di richieste alle piattaforme: la prima fase ha avuto a oggetto l’accesso ai messaggi nelle caselle di posta elettronica, la seconda l’ingresso nel dispositivo (smartphone o tablet che fosse), e la terza il recupero di dati da spazi sul cloud.
L’evoluzione delle richieste di accesso ai dati post-mortem
Ricordo molto bene che diversi anni or sono, quando iniziai a lavorare sul mio “Libro digitale dei morti”, affrontai, per prime, proprio le accese questioni che erano sorte negli Stati Uniti d’America in periodo di guerra: parenti di soldati americani morti durante le guerre del Golfo iniziarono a domandare ai provider di poter accedere a caselle di posta elettronica dei soldati stessi per recuperare conversazioni da mantenere per ricordo o, ancora, per indagare sulle motivazioni della morte.
Proprio negli Stati Uniti d’America si manifestò, sin dai primi tempi, un’interpretazione che potremmo definire molto rigida e che consentiva la comunicazione di tali dati, e l’accesso agli account dei soldati deceduti, solo a seguito di un ordine specifico da parte di un giudice.
Indispensabile era, quindi, a parte casi eccezionali, passare dalle aule di un tribunale, con relativi tempi, costi e necessità di motivare con cura (e credibilmente) le richieste. In tutti gli altri casi, le richieste inoltrate informalmente per “semplici” motivi familiari, d’affetto o di ricordo venivano sistematicamente respinte.
La posizione delle piattaforme digitali
Con il passare del tempo, però, anche le piattaforme iniziarono ad adeguarsi a una nuova, evidente situazione che si era venuta a delineare: anche i “digital assets” – ossia i beni ereditari digitali – avevano assunto un valore cospicuo, tanto che numerosi Stati avevano iniziato a prevedere norme specifiche.
Si cominciava a considerare corretto, pertanto, che l’utente potesse disporre, “dentro” alla piattaforma stessa e operando con i suoi pannelli di configurazione, cosa voleva che fosse fatto dei suoi dati.
Si poteva, così, domandare ai propri “eredi digitali” di cancellare tutti i dati (portandoseli nella tomba) o, al contrario, di prenderli in gestione, o di comunicarli a terzi o, ancora di selezionarli, sino alla possibilità di creare profili commemorativi.
Si tratta, questo, di un momento tecnico “importante”: si sposta “dentro al sistema” la possibilità di disporre dei propri beni e contenuti anche dopo la morte, manifestando una volontà chiara mentre si è in vita per evitare, poi, possibili violazioni della privacy, o della reputazione, dopo.
La regolamentazione del “patrimonio digitale”
Anche la normativa sulla protezione dei dati personali, dal canto suo, ha sempre dimostrato interesse per questo tema e, in particolare, per la tutela dei dati e dei diritti delle persone decedute, prevedendo all’interno del quadro normativo di singoli Stati – ad esempio nel codice italiano – disposizioni specifiche sul diritto all’accesso di tali dati.
La sentenza del Tribunale di Milano
Nel febbraio del 2021 il Tribunale di Milano si è occupato, in un caso molto noto, di garantire l’accesso ai familiari di un giovane chef a contenuti sul cloud.
Le indicazioni dei giudici sono state rivolte al gestore di un servizio di cloud (in questo caso: la Apple) intimando in via d’urgenza di collaborare per fornire ai genitori della persona deceduta le credenziali d’accesso agli account della stessa per recuperare i dati di loro interesse.
Al centro dell’attenzione dei giudici, in questo caso, vi era la comprensione corretta del senso dell’art. 2-terdecies (rubricato “Diritti riguardanti le persone decedute”) del cosiddetto “Codice Privacy”, ossia di “ciò che è rimasto” del decreto legislativo n. 196 del 2003 dopo l’avvento del GDPR.
È chiara l’indicazione, nel testo, del fatto che i diritti (soprattutto d’accesso) previsti dal GDPR, nel caso si riferiscano a dati personali concernenti persone decedute, possano essere esercitati da tre categorie, o “famiglie”, di soggetti: i) chi ha un interesse proprio, ii) chi agisce a tutela dell’interessato, in qualità di suo mandatario, o iii) chi opera per ragioni familiari meritevoli di protezione.
Il tutto è da coordinarsi, però, con la possibilità da parte di un utente dei servizi della società dell’informazione di vietare espressamente tale possibilità, sempre che il divieto non pregiudichi diritti patrimoniali di terzi.
La sentenza del Tribunale di Bologna
Il tribunale di Bologna, il 25 novembre 2021, è tornato sul tema dell’accesso ai dati personali di persona deceduta (sempre conservati nel servizio cloud del sistema Apple) con riferimento a un iPhone e alla possibilità per gli eredi di accedere a dati conservati nel cloud.
Anche in questo caso, in applicazione dell’art. 2-terdecies del Codice in materia di protezione dei dati personali che abbiamo ricordato poco sopra, si è consentito alla madre di un ragazzo defunto di richiedere legittimamente l’accesso ai dati del cellulare del figlio, conservati su iCloud. Nel caso di specie, la madre voleva indagare sulle cause correlate al suicidio del figlio e, al contempo, recuperare dati da custodire come ricordo.
Cinque aspetti per inquadrare la questione dell’accesso ai dati post-mortem
Un’analisi parallela dell’ordinanza del tribunale di Milano e del provvedimento bolognese ci permettono di individuare almeno cinque punti di discussione molto utili che possono concludere queste rapide considerazioni.
Il “disinteresse” del GDPR sul tema, che porta all’intervento del diritto statale
Il primo aspetto interessante è la scelta chiara fatta dagli ideatori del GDPR di non occuparsi di dati di persone decedute e di lasciare, invece, alla sensibilità, e alle norme, di ogni singolo stato di occuparsi di questa materia.
Il considerando 27, infatti, da un lato esclude l’applicabilità della norma europea ai dati delle persone decedute e, dall’altro, permette ai singoli Stati di farlo (“Il presente regolamento non si applica ai dati personali delle persone decedute. Gli Stati membri possono prevedere norme riguardanti il trattamento dei dati personali delle persone decedute”).
Lo trovo un punto molto interessante perché, a mio avviso, simili richieste basate su questa specifica disposizione del Codice Privacy avranno, negli anni a venire, un sensibile incremento.
Il legame genitori-figli
I giudici hanno ritenuto come “sufficiente” un legame tra genitore e figlio quel requisito di “esigenze familiari meritevoli di protezione” che apre una possibilità di intervento nei confronti della piattaforma nei numerosi casi nei quali non vi è, da parte del figlio, un divieto espresso di accedere a quei.
Urgenza dell’accesso
Siamo in presenza, in molti casi, di un intervento che non può che essere portato con urgenza. In altre parole: in molti casi si ha la necessità di intervenire sui dati prima che gli stessi scompaiano, o che un account sia rimosso con tutti i suoi contenuti. In questo caso, le procedure d’urgenza nei tribunali, unite all’esercizio del diritto di limitazione/blocco (o “congelamento” dei dati) possono essere un’arma molto interessante.
Cooperazione e assistenza da parte del provider
Molto interessante, nelle pronunce cui abbiamo fatto cenno poco sopra, la richiesta di cooperazione e assistenza da parte del provider perché agevoli il recupero dei dati eventualmente richiesti dai parenti. In questo caso potrebbe essere utile anche una diminuzione dei vincoli “burocratici” (soprattutto la richiesta di attestazioni e documenti con un approccio tipicamente nordamericano) a volte alzati dalle piattaforme anche solo per istruire la pratica.
Attenzione allo smartphone
I giudici hanno da tempo individuato due casi che si possono porre di fronte a un tribunale, con implicazioni completamente differenti. Nel primo caso i parenti non riescono ad accedere a uno smartphone o a un tablet “semplicemente” perché non conoscono i codici di accesso. In tal caso, Apple ha chiaramente ricordato, davanti ai giudici bolognesi, come non sia in grado di sbloccare un iPhone e, quindi, di accedere ai contenuti dei telefoni ma di poter operare unicamente sui dati che sono trasferiti su iCloud.
Il secondo caso, quello dell’accesso a dati presenti sul cloud, è fattibile, ma può porre un problema di “sincronizzazione” dei dati presenti sul cloud e sul dispositivo e, quindi, di generazione di un problema di differenza nei contenuti (sappiamo benissimo che spesso ci sono più dati personali sul telefono che nel cloud).
