Apple Inc. tenuta al rilascio di dati sensibili al coniuge superstite

Una recente ordinanza emessa al Tribunale di Roma, in data 10 febbraio 2022, ha accolto il ricorso ex art. 700 c.p.c., mediante il quale il coniuge superstite, in qualità di erede del marito titolare di un account, aveva richiesto di ordinare in via d’urgenza a Apple Inc. il recupero dei dati dell’account del defunto marito anche mediante consegna delle relative credenziali di accesso. Il coniuge, deceduto per un infarto del miocardio il 22 maggio 2021, era proprietario di un iPhone XR 128GB Blue, del quale l’istante aveva fornito il codice IMEI al quale era associato l’ID oggetto della richiesta, non potendo peraltro fornire il codice PIN del dispositivo né le credenziali di accesso dell’account mediante il quale avrebbe potuto recuperare il contenuto della memoria del telefono.

La richiesta era invece motivata sull’art. 2 terdecies del D.Lgs n. 101/2018, secondo il quale i diritti riferiti ai dati personali di persone decedute possono essere esercitati da soggetti portatori di «ragioni familiari meritevoli di tutela», riconducibili, nel caso esaminato, al recupero di fotografie, video memorizzati nel dispositivo mobile del de cuius fotografie ed i video aventi un rilevante contenuto affettivo, in special modo per le figlie del defunto, in tenera età e pertanto portatrici di uno speciale interesse all’accesso ai dati che, in caso contrario, non lo sarebbero stati neppure in futuro, ossia quando, con il trascorrere degli anni, quelle stesse immagini sarebbero dovute oggettivamente entrare nel patrimonio di memoria del genitore da parte dei figli.

D’altra parte il ricorso d’urgenza, oltre che dal fumus boni iuris, ossia la plausibile fondatezza della richiesta, era sostenuto anche dal periculum in mora, ossia dall’indifferibilità della concessione della tutela che, se avesse tardato anche solo sei mesi, avrebbe scontato le conseguenze dell’automatica disattivazione dei sistemi gestiti da Apple, con l'inevitabile perdita dei dati stessi.

Apple Inc. aveva inizialmente opposto un rifiuto motivato dall'assenza di un provvedimento giudiziario asserendo il necessario rispetto delle condizioni contrattuali che regolavano il rapporto con il cliente aggiungendo la Società Resistente «di avere regolato le modalità per accedere gli account e ai dispositivi di un cliente dopo il decesso, prevedendo che la valutazione delle ‘ragioni familiari meritevoli di protezione» fosse demandata al giudice.

La Ricorrente, dal canto suo, ha correttamente invocato la disciplina del codice della protezione dei dati personali dettata dall’art. 2 terdecies del decreto legislativo n.101/2018. E’ opportuno aggiungere anche il riferimento al considerando 27 del Regolamento europeo sulla protezione dei dati personali n. 2016/679, vigente dal 25.05.2018, in base al quale il regolamento non si applica ai dati personali delle persone decedute, «demandandosi agli Stati membri la possibilità di introdurre norme riguardanti il trattamento dei dati personali delle persone defunte». Inoltre, a questo proposito, il decreto legislativo 10 agosto 2018, n. 101, all'art. 2-terdecies, specificamente dedicato ai temi della tutela post-mortem e dell'accesso ai dati personali del defunto, prevede che «i diritti di cui agli articoli da 15 a 22 del Regolamento riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell'interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione».

Esiste una regola di ordine generale in base alla quale (ex art. 9, comma 3, del D.Lgs. 196/2003 per il quale «I diritti di cui all'articolo 7 riferiti a dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell'interessato o per ragioni familiari meritevoli di protezione») sopravvivono i diritti dell'interessato in seguito alla morte e la possibilità del loro esercizio, post mortem, da parte di determinati soggetti legittimati all'esercizio dei diritti stessi (cfr Tribunale Milano ordinanza 2.03.2021): l’art. 2-terdecies
Diritti riguardanti le persone decedute (1) del Codice della Privacy coordinato ed aggiornato, da ultimo, con le modifiche apportate dalla L. 27 dicembre 2019, n. 160, dal D.L. 14 giugno 2019, n. 53, dal D.M. 15 marzo 2019 e dal Decreto di adeguamento al GDPR (Decreto Legislativo 10 agosto 2018, n. 101) ove è espressamente stabilito che «1. I diritti di cui agli articoli da 15 a 22 del Regolamento riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell'interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione» e che «2. L'esercizio dei diritti di cui al comma 1 non è ammesso nei casi previsti dalla legge o quando, limitatamente all'offerta diretta di servizi della società dell'informazione, l'interessato lo ha espressamente vietato con dichiarazione scritta presentata al titolare del trattamento o a quest'ultimo comunicata.»

Tutto ciò evidentemente a presidio del diritto all’autodeterminazione del soggetto, lasciandogli la possibilità di scegliere se lasciare o meno agli eredi ed ai superstiti legittimati la facoltà di accedere ai propri dati personali.

Una possibilità di scelta la cui consapevolezza è garantita dai due commi seguenti laddove è stabilito che «3. La volontà dell'interessato di vietare l'esercizio dei diritti di cui al comma 1 deve risultare in modo non equivoco e deve essere specifica, libera e informata; il divieto può riguardare l'esercizio soltanto di alcuni dei diritti di cui al predetto comma. 4. L'interessato ha in ogni momento il diritto di revocare o modificare il divieto di cui ai commi 2 e 3».

Il caso deciso dal Tribunale di Roma (che segue ad un anno esatto l’ordinanza del Tribunale di Milano, sez. I civile, 10 febbraio 2021) risulta interessante anzitutto in quanto ricorda come il ricorrente agisca iure proprio ossia in esercizio di un proprio diritto (non derivante dalla successione) oltre che sulla base di un interesse meritevole di protezione di natura familiare ad acquisire i dati riferibili al defunto: l’interesse viene descritto come il recupero di «foto e filmati di famiglia destinati a rafforzare la memoria del tempo vissuto insieme ed a conservare tali immagini a beneficio delle figlie in tenera età».

Nel caso di specie vi era stata «La mera adesione alle condizioni generali di contratto, in difetto di approvazione specifica delle clausole predisposte unilateralmente dal gestore» che, nella materia oggetto del procedimento deciso con il provvedimento che si commenta «non appare soddisfare i requisiti sostanziali e formali espressi dalla norma richiamata, tenuto conto che le pratiche negoziali dei gestori in cui le condizioni generali di contratto si radicano non valorizzano l’autonomia delle scelte dei destinatari».

Per tutti questi motivi il Tribunale di Roma ha ordinato a Apple Inc in persona del legale rappresentante di prestare assistenza per il recupero dei dati del coniuge defunto anche mediante consegna delle credenziali di accesso.