Sentenza

L'eredità digitale. Chi può avere accesso ai dati personali del defunto?

Trib. Bologna, sez. I, ord., 25 novembre 2021

Presidente Neri

Con ricorso ex art. 700 c.p.c. depositato il 5-8-2021, (omissis) ha allegato: che in data (omissis) 2020 il sig. S., nato il ad (omissis), figlio della ricorrente, decedeva improvvisamente in (omissis) per "cause accidentali/violente (suicidio)" così come risulta dal certificato di morte e dal provvedimento della Polizia di Stato – Compartimento Polizia Ferroviaria per l'Emilia Romagna;

–che il telefono cellulare (omissis), marca (omissis), Codice IMEI (omissis), ID (omissis) e (omissis) è stato riconsegnato dalle Autorità alla madre insieme agli altri effetti personali del ragazzo;

–che il defunto era utilizzatore di tutti gli account associati all'ID (omissis) indicato;

–che il dispositivo cellulare sopra indicato era protetto da password di accesso, che la madre, odierna ricorrente, non ricorda;

–che, di conseguenza, il dispositivo risulta bloccato e l'accesso ai dati in esso contenuti non è stato possibile;

–che la ricorrente, in veste di erede legittima del defunto (doc. n.3) ha richiesto ad (omissis) l'accesso agli account (omissis) del familiare deceduto, ricevendo peraltro un rifiuto in mancanza di un provvedimento del tribunale che ingiunga ad (omissis) s.r.l., quale società appartenente al gruppo (omissis), corrente in 20122 Milano – Piazza S., in persona del legale rappresentante, di fornire assistenza nell'acceso ai predetti dati, (doc. n.4).

La ricorrente allegava di avere interesse all'accesso ai suddetti dati, al fine di recuperare fotografie, video e quant'altro possa essere contenuto nel predetto dispositivo, in modo tale da poter colmare, almeno in in parte, il senso di vuoto, le domande senza risposta e il dolore immenso causati dalla prematura e tragica scomparsa del proprio figlio; con successiva memoria autorizzata, in relazione all'eventuale instaurando giudizio di merito allegava: esso avrà ad oggetto la conferma del provvedimento ivi invocato e la richiesta di risarcimento dei danni subiti e subendi da parte ricorrente, nella misura che risulterà provata in corso di causa e ritenuta di giustizia; con riguardo alle "ragioni familiari meritevoli di protezione", soggiungeva che esisteva un preponderante

interesse della ricorrente, in quanto madre del compianto S., a recuperare ogni materiale contenuto nel telefono in modo tale da poter colmare almeno in parte il senso di vuoto e le domande rimaste senza risposta; precisava che tenuto conto che purtroppo S. era ancora un adolescente nel momento in cui parrebbe essersi tolto la vita, è comprensibile che la famiglia si chieda quali siano state le ragioni di questo drammatico gesto e se si possano rinvenire tracce nei suoi ultimi scritti che diano conto delle motivazioni e delle eventuali implicazioni sottostanti. Inoltre, avendo l'avvenimento colpito in maniera devastante anche gli amici ed i compagni di scuola e di sport di S., è intenzione dei genitori recuperare fotografie, scritti, video e ogni quant'altro contenuto nel cellulare del giovane, al fine di realizzare un progetto che ne mantenga vivo il ricordo e funga, ove possibile, da conforto ed aiuto per tutti coloro che a lui erano legati.

La ricorrente allegava e documentava di essersi già rivolta direttamente alla (omissis) per ottenere l'accesso ai dati di cui trattasi, e depositava la risposta della Società, nella quale erano indicati i requisiti del provvedimento giudiziale che (omissis) richiedeva, al fine di soddisfare la domanda della ricorrente; ella chiedeva, pertanto, al Tribunale di emettere un provvedimento conforme ai requisiti specificati.

Instaurato il contraddittorio, si costituiva (omissis) S.r.l., e allegava, in particolare:

Come ribadito, (omissis) non intende opporsi all'emissione di un provvedimento da parte dell'Ill.mo Tribunale adito, ma chiede che esso venga indirizzato alla corretta società del gruppo (omissis) che possa concretamente e tecnicamente eseguirlo, ossia (omissis).

Formulava, pertanto, le seguenti conclusioni:

in via preliminare:

- dichiarare il difetto di legittimazione passiva di (omissis) s.r.l. e, per l'effetto, estrometterla dal presente giudizio;

nel merito:

- si rimette circa l'emissione di un ordine nei confronti di (omissis) questa fornisca assistenza nel fornire l'accesso alla ricorrente, in qualità di erede del sig. S. e che presta il consenso necessario ai fini della normativa applicabile sulla tutela dei dati personali, ai dati dell'ID (omissis) (omissis), (omissis), di cui il sig. S. era l'utilizzatore, anche creando un nuovo account (omissis) ID e trasferendo su questo nuovo account i dati del sig. S. disponibili su (omissis), fornendo le password di questo nuovo account alla odierna ricorrente.

in ogni caso:

- con compensazione delle spese di lite

Disposta dal Tribunale l'integrazione del contraddittorio nei confronti di (omissis), si costituiva detta società e formulava le seguenti conclusioni:

nel merito:

- si rimette circa l'emissione nei propri confronti di un ordine a fornire assistenza alla ricorrente ai fini dell'accesso, in qualità di erede del sig. S. e che presta il consenso necessario ai fini della normativa applicabile sulla tutela dei dati personali, al contenuto dell'ID (omissis) (omissis), (omissis), di cui il sig. S. era l'utilizzatore, anche creando un nuovo account (omissis) ID e trasferendo su questo nuovo account i contenuti del sig. S. disponibili su (omissis), fornendo le password di questo nuovo account alla odierna ricorrente.

in ogni caso:

- con compensazione delle spese di lite.

Sottolineava in particolare di non essere a conoscenza dei codici di sicurezza e delle password di sblocco del dispositivo di proprietà del sig S. e che fermo restando che (omissis) non ha modo di ottenere i dati memorizzati su un dispositivo fisico, ciò che (omissis) sarebbe in grado di fare è di fornire l'accesso al contenuto dell'account del sig. S. ; evidenziava che il defunto non aveva mai conferito alcuna autorizzazione ad (omissis) per dare ad altri soggetti l'accesso al suo account; ne discendeva che: Poiché (omissis), dunque, non è in grado di stabilire se e a chi il cliente avrebbe voluto rendere accessibili i propri dati, chiede che chi ne fa richiesta presenti un ordine del Giudice che indichi:

il nome e l'ID (omissis) del defunto;

il nome del congiunto che richiede l'accesso all'account del defunto;

conferma che il defunto era l'utilizzatore di tutti gli account associati all'ID (omissis) indicato;

conferma che il richiedente è il fiduciario legale, il rappresentante o l'erede del defunto e che l'autorizzazione del richiedente costituisce consenso legale;

conferma che il tribunale richiede ad (omissis) di fornire assistenza nell'accesso ai dati degli account del defunto.

Osserva il Tribunale che, con ordinanza del 10-2-2021, in un caso assolutamente analogo - con la differenza, però, che in quella sede (omissis) s.r.l. era rimasta contumace e pertanto non era stata sollevata alcuna questione relativamente alla sua legittimazione passiva e il provvedimento era stato pronunciato nei suoi confronti, senza integrare il contraddittorio nei confronti di (omissis) - il Tribunale di Milano aveva formulato le considerazioni che di seguito integralmente si riportano:

Tanto premesso, alla luce delle considerazioni che precedono, deve ritenersi ammissibile la domanda cautelare volta ad ottenere un ordine alla (omissis) S.r.l. di fornire assistenza ai ricorrenti nel recupero dei dati personali dagli account del figlio deceduto, atteso che la stessa è volta ad ottenere un provvedimento idoneo a garantire la conservazione dell'utilità pratica che la decisione nel merito attribuirà alla parte. Con riferimento al requisito del fumus boni iuris si osserva quanto segue. Il Considerando 27 del Reg. 2016/679 dispone che: "Il presente regolamento non si applica ai dati personali delle persone decedute. Gli Stati membri possono prevedere norme riguardanti il trattamento

dei dati personali delle persone decedute". Il decreto legislativo 10 agosto 2018, n. 101 ha introdotto una nuova disposizione nel Codice in materia di protezione dei dati, l'art. 2-terdecies, specificamente dedicata al tema della tutela post-mortem e dell'accesso ai dati personali del defunto. La citata disposizione (Diritti riguardanti le persone decedute) prevede che: "i diritti di cui agli articoli da 15 a 22 del Regolamento riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell'interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione". Come nella previgente disciplina, il legislatore non chiarisce se si tratti di una acquisto mortis causa o di una legittimazione iure proprio, limitandosi a prevedere quello che la più attenta dottrina ha qualificato in termini di "persistenza" dei diritti oltre la vita della persona fisica (diritti che prevedono il diritto di accesso, di rettifica, di limitazione di trattamento, di opposizione, ma anche il diritto alla cancellazione ed alla portabilità dei dati), persistenza che assume rilievo preminente a livello dei rimedi esperibili. La regola generale prevista dal nostro ordinamento (in linea di continuità con la disciplina contenuta nell'art. 9, comma 3, del D. Lgs. 196/2003), dunque, è quella della sopravvivenza dei diritti dell'interessato in seguito alla morte e della possibilità del loro esercizio, post mortem, da parte di determinati soggetti legittimati all'esercizio dei diritti stessi. Il secondo comma introduce un duplice limite alla possibilità di esercizio post mortem dei diritti dell'interessato: "L'esercizio dei diritti di cui al comma 1 non è ammesso nei casi previsti dalla legge o quando, limitatamente all'offerta diretta di servizi della società dell'informazione, l'interessato lo ha espressamente vietato con dichiarazione scritta presentata al titolare del trattamento o a quest'ultimo comunicata". Così come previsto dalla legge sulle direttive anticipate di trattamento (laddove, all'art. 4 della legge 22 dicembre 2017 n. 219, consente ad ogni persona – maggiorenne e capace di intendere e di volere – di "esprimere le proprie volontà in materia di trattamenti sanitari, nonché il consenso o il rifiuto rispetto ad accertamenti diagnostici o scelte terapeutiche e a singoli trattamenti sanitari"), anche nel caso in esame il legislatore – nell'ottica della tutela dei medesimi diritti alla dignità ed all'autodeterminazione (diritti che riguardano sia la dimensione fisica della persona che quella che attiene al rapporto con i dati personali che esprimono e realizzano una parte dell'identità della persona stessa) ha espressamente valorizzato l'autonomia dell'individuo, lasciandogli la scelta se lasciare agli eredi ed ai superstiti legittimati la facoltà di accedere ai propri dati personali (ed esercitare tutti o parte dei diritti connessi) oppure sottrarre all'accesso dei terzi tali informazioni. Il terzo comma prevede requisiti sostanziali e formali per la manifestazione di volontà dell'interessato ("La volontà dell'interessato di vietare l'esercizio dei diritti di cui al comma 1 deve risultare in modo non equivoco e deve essere specifica, libera e informata; il divieto può riguardare l'esercizio soltanto di alcuni dei diritti di cui al predetto comma"). Infine, mentre il quarto comma dispone che la volontà espressa dall'interessato è sempre suscettibile di revoca o modifica, il quinto comma, in un'evidente ottica di bilanciamento, precisa che il divieto in oggetto "non può produrre effetti pregiudizievoli per l'esercizio da parte dei terzi dei diritti patrimoniali che derivano dalla morte dell'interessato nonché del diritto di difendere in giudizio i propri interessi". Tanto premesso, con l'odierna domanda cautelare i ricorrenti, unici eredi di (omissis) (cfr. doc. 4), chiedono di poter avere accesso alle informazioni ed ai dati personali riferibili agli account del loro defunto figlio, per poter realizzare un progetto "che possa servire a mantenerne vivo il ricordo". Dal disposto dell'art. 2 terdecies appena citato appare evidente come i ricorrenti, genitori del defunto sig. (omissis), siano legittimati ad esercitare il diritto di accesso ai dati personali del proprio figlio improvvisamente deceduto. Il tenore delle allegazioni di parte attrice (la possibilità di recuperare parte delle immagini relative all'ultimo periodo di vita del giovane sig. (omissis) e la volontà di realizzare un progetto che, anche attraverso la raccolta delle sue

ricette, possa tenerne viva la memoria) e il legame esistente tra genitori e figli costituiscono elementi che portano a ravvisare l'esistenza delle "ragioni familiari meritevoli di protezione" richieste dalla norma. Dalla corrispondenza intervenuta tra i ricorrenti e la società resistente (doc. 2) emerge in modo chiaro come il sig. (omissis) non abbia espressamente vietato l'esercizio dei diritti connessi ai suoi dati personali post mortem. Il titolare del trattamento, infatti, nelle numerose comunicazioni inoltrate al difensore dei ricorrenti, non ha mai fatto riferimento all'esistenza di una dichiarazione scritta in tal senso. Per quanto attiene, infine, alle condizioni di esercizio richieste dalla (omissis) S.r.l., si osserva come il riconoscimento della persistenza dei diritti connessi ai dati personali in capo a chi vanti, come nel caso di specie, una ragione familiare meritevole di protezione non può essere subordinato alla previsione di requisiti che, peraltro, con riferimento ad istituti di un ordinamento giuridico diverso da quello italiano (dinanzi al quale il diritto è azionato), introducono condizioni diverse da quelle indicate dal legislatore. Nelle comunicazioni inviate dalla società resistente, infatti, si richiede: "un ordine del tribunale che specifichi: 1) Che il defunto era il proprietario di tutti gli account associati all'ID (omissis); 2) Che il richiedente è l'amministratore o il rappresentante legale del patrimonio del defunto; 3) Che, in qualità di amministratore o rappresentante legale, il richiedente agisce come "agente" del defunto e la sua autorizzazione costituisce un "consenso legittimo", secondo le definizioni date nell'Electronic Communications Privacy Act; 4) Che il tribunale ordina a (omissis) di fornire assistenza nel recupero dei dati personali dagli account del defunto, che potrebbero contenere anche informazioni o dati personali identificabili di terzi" (pag. 2 del doc. 3). Orbene, con riferimento alle richieste della società titolare del trattamento si osserva che: solo la società resistente è a conoscenza delle informazioni relative al punto 1); nell'ordinamento italiano non esiste la figura dell'"amministratore o rappresentante legale del patrimonio del defunto" né, tantomeno, quello di "agente" del de cuius; la disciplina legislativa italiana non richiede, in alcun modo, né l'autorizzazione di un "agente" del defunto all'accesso né la presenza di un "consenso legittimo" secondo un atto normativo di un ordinamento giuridico diverso. In conclusione, appare del tutto illegittima la pretesa avanzata dalla società resistente di subordinare l'esercizio di un diritto, riconosciuto dall'ordinamento giuridico italiano, alla previsione di requisiti del tutto estranei alle norme di legge che disciplinano la fattispecie in esame. Solo per completezza – con riferimento al diniego opposto da (omissis) S.r.l. per tutelare la "sicurezza dei clienti" (cfr. doc. 2 e 6) - e, dunque, per quanto attiene all'applicabilità del GDPR unicamente in relazione alla controparte della comunicazione, società odierna resistente (stante l'inapplicabilità del Regolamento ai dati di una persona defunta), si osserva come l'art. 6, par. 1, lettera f) del citato Regolamento autorizzi il trattamento dei dati personali necessario per il "perseguimento del legittimo interesse" del titolare o di terzi. Atteso che i ricorrenti, genitori del defunto sig. (omissis), intendono accedere agli account personali del defunto figlio per "ragioni familiari meritevoli di protezione", deve ritenersi sussistente il predetto legittimo interesse. Alla luce delle considerazioni che precedono – ritenuto che i ricorrenti, genitori del defunto sig. (omissis) siano titolari dei diritti relativi ai dati personali del figlio (nei limiti oggetto della presente domanda cautelare) - deve ritenersi sussistente il requisito del fumus boni iuris.

Con riferimento al periculum in mora, basti osservare che, come specificamente allegato da parte ricorrente (con riferimento a nozioni di comune esperienza), la (omissis) aveva fatto presente che i propri sistemi, dopo un periodo di inattività dell'account i-cloud sarebbero stati automaticamente "distrutti". Il pericolo di un pregiudizio grave ed irreparabile all'esercizio dei diritti connessi ai dati personali del figlio defunto dei ricorrenti appare, pertanto, in re ipsa. Si impone, pertanto, una

pronuncia di accoglimento della domanda cautelare spiegata dai ricorrenti ed una conseguente condanna della (omissis) S.r.l. a fornire assistenza nel recupero dei dati personali dagli account del sig. (omissis).

Con riferimento al caso di specie, si rileva che qui è la sola madre, qualificatasi altresì erede (ma forse non unica), in base al doc. 3, del figlio, ad agire in giudizio; cionondimeno, si ritiene, alla luce delle allegazioni contenute nel ricorso e nella memoria integrativa, e non contestate, che la stessa, agendo iure proprio, sia titolare di un interesse proprio ad esercitare i diritti già spettanti al figlio, o che comunque agisca per ragioni familiari meritevoli di protezione, circostanze tutte che inducono a ritenere sussistente il fumus boni iuris; pare utile richiamare l'intero testo dell'art. 2 terdecies d.lgs. 196/2003, aggiornato al d.lgs. 101/2018:

Diritti riguardanti le persone decedute

I diritti di cui agli articoli da 15 a 22 del Regolamento riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell'interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione.

L'esercizio dei diritti di cui al comma 1 non è ammesso nei casi previsti dalla legge o quando, limitatamente all'offerta diretta di servizi della società dell'informazione, l'interessato lo ha espressamente vietato con dichiarazione scritta presentata al titolare del trattamento o a quest'ultimo comunicata.

La volontà dell'interessato di vietare l'esercizio dei diritti di cui al comma 1 deve risultare in modo non equivoco e deve essere specifica, libera e informata; il divieto può riguardare l'esercizio soltanto di alcuni dei diritti di cui al predetto comma.

L'interessato ha in ogni momento il diritto di revocare o modificare il divieto di cui ai commi 2 e 3.

In ogni caso, il divieto non può produrre effetti pregiudizievoli per l'esercizio da parte dei terzi dei diritti patrimoniali che derivano dalla morte dell'interessato nonché del diritto di difendere in giudizio i propri interessi.

Non si ravvisano motivi per cui tale norma non dovrebbe applicarsi anche all'odierna chiamata in causa, che, peraltro, non si oppone all'adozione del provvedimento richiesto; è stato altresì chiarito che S. non ha mai espresso alcun divieto si sensi della norma citata.

Sul periculum in mora, si soggiunge che non è dato sapere per quanto tempo ancora (omissis) conserverà i dati, essendo cessata da oltre un anno l'attività dell'account (cfr. doc. 2 ricorrente).

Va, pertanto, dichiarata la carenza di legittimazione passiva di (omissis) s.r.l. (in conformità col precedente giurisprudenziale prodotto dalla parte sub doc. 2) e va accolta la domanda nei confronti di (omissis), con compensazione integrale delle spese, atteso che la necessità di un provvedimento giudiziale si ritiene giustificata dalla delicatezza della materia e dalla necessità di una valutazione dell'A.G. finalizzata al contemperamento dell'interesse della ricorrente con quello di (omissis) alla tutela della riservatezza dei dati dei propri clienti.

P.Q.M.

Visti gli artt. 669-bis ss. e 700 c.p.c.,

1 - dichiara il difetto di legittimazione passiva di (omissis) s.r.l.;

2 – ordina a (omissis) di fornire assistenza alla ricorrente, Sig.ra (omissis), prendendo contatti con la stessa e intraprendendo ogni azione necessaria per fornirle accesso a tutti i dati disponibili associati all'account (omissis) del sig. S.:

(omissis), (omissis), di cui il sig. S. era l'utilizzatore, anche creando un nuovo account (omissis) ID e trasferendo su questo nuovo account i dati del sig. S. disponibili su (omissis), fornendo le password di questo nuovo account alla odierna ricorrente; con la precisazione, per quanto occorrer possa, che ella agisce anche in qualità di erede del sig. S. , e che presta il consenso necessario ai fini della normativa applicabile sulla tutela dei dati personali, e che l'autorizzazione del richiedente costituisce consenso legale;

3 – compensa integralmente le spese legali.