IL regolamento sulla protezione dei dati personali GDPR non si applica ai dati personali delle persone decedute, lasciando tuttavia agli Stati Membri dell’Unione la possibilità di prevedere delle norme interne riguardanti il trattamento dei dati personali delle stesse: in Italia, il decreto legislativo 10 agosto 2018, n. 101 ha introdotto una specifica disposizione nel Codice in materia di protezione dei dati, ossia l’art. 2-terdecies, la quale è dedicata al tema della tutela post-mortem e dell’accesso ai dati personali del defunto.
Gli eredi hanno diritto di accedere ai dati salvati in iCloud del defunto.
TRIBUNALE ORDINARIO di MILANO
PRIMA CIVILE
N. R.G. 2020/44578
Nella causa civile iscritta al n. r.g. 44578/2020 promossa da:
XXXXXXXXXXXXXXXXXXXXX, con il patrocinio dell’avv. PM e dell’avv. MMA, elettivamente domiciliati in MILANO; via **
Ricorrenti
contro APPLE ITALIA S.R.L. (C.F. 12036460157),
Resistente contumace
Il Giudice,
a scioglimento della riserva che precede, ha emesso la seguente
Fatto e Diritto
Con ricorso ex artt. 669 bis e 700 c.p.c., depositato il 14.12.2020, XXXXXXXXXXXX hanno evocato in giudizio la Apple Italia S.r.l., quale società appartenente al gruppo Apple (tramite cui opera la Apple Distribution International LTD), chiedendo, in via cautelare, di “emettere, con decreto inaudita altera parte, o con ordinanza, previa audizione delle parti, i provvedimenti necessari ed idonei a tutelare i diritti dei ricorrenti e, segnatamente, voglia ordinare alla Apple di fornire assistenza nel recupero dei dati personali dagli account del defunto sig. XXXXXXXXXXXXXX”. A sostegno delle domande formulate, hanno dedotto: che il figlio dei ricorrenti, XXXXXXXXXX, nato XXXXXXXXXXXX, si era trasferito a Milano per svolgere la propria attività lavorativa nel settore della ristorazione come chef; che il 29.2.2020 XXXXXXXXXXX era rimasto coinvolto in un grave incidente stradale in esito al quale, dopo pochi giorni, era deceduto; che il giovane era proprietario di un telefono, prodotto dalla società resistente, modello I phone X, nel quale era inserito un dispositivo caratterizzato da un sistema di sincronizzazione online (cd. iCloud) che permetteva di conservare i contenuti digitali e di renderli accessibili - in tempo reale - tramite i vari dispositivi eventualmente posseduti dall’utente; che il telefono cellulare era andato distrutto in conseguenza del violentissimo impatto verificatosi a causa del sinistro ed era stato pertanto impossibile recuperarlo o accedere ai dati in esso contenuti; che i ricorrenti, distrutti dal dolore per la tragica perdita del loro unico figlio, avevano espresso la volontà di voler recuperare i dati contenuti all’interno del telefono: in particolare, le fotografie e i video eventualmente registrati da XXXXXXXX nel periodo recente, “in modo da potere cercare di colmare - almeno in parte - quel senso di vuoto e l’immenso dolore che si accompagna alla prematura perdita di un proprio caro”; che il figlio dei ricorrenti era solito scrivere sui predetti dispositivi le ricette dallo stesso sperimentate e che i genitori avevano interesse a recuperare le ricette allo scopo di realizzare un progetto dedicato alla sua memoria (ad esempio, un libro di ricette); che i ricorrenti avevano provato ad attivarsi per il recupero delle credenziali di accesso al servizio, ma il procedimento si era rivelato particolarmente difficoltoso; che, per tale ragione, avevano più volte contattato la società resistente, la quale aveva, peraltro, preteso, per consentire l’accesso ai dati contenuti dell’ID Apple, un ordine del Tribunale contenente determinati requisiti; che alcuni degli elementi indicati dalla Apple come contenuto dell’ordine del Tribunale erano estranei all’ordinamento italiano.
Tanto premesso, parte ricorrente, dopo aver prospettato la possibile proposizione di una futura azione di merito (avente ad oggetto il risarcimento dei danni subiti), ha allegato la sussistenza del fumus boni iuris – evidenziando come, ai sensi dell’art. 2 terdecies dal Nuovo Codice della Privacy, i diritti riguardanti le persone decedute potevano essere esercitati per “ragioni familiari meritevoli di protezione” – e del periculum in mora, atteso che la Apple aveva fatto presente che i propri sistemi, dopo un periodo di inattività dell’account i-cloud sarebbero stati automaticamente distrutti.
Apple Italia S.r.l., ritualmente citata, non si è costituita ed è stata dichiarata contumace. All’udienza del 3 febbraio 2021 la difesa di parte ricorrente ha concluso insistendo per l’accoglimento del ricorso e il Giudice ha riservato la decisione.
Il ricorso è fondato e deve essere accolto per i motivi che seguono.
Il contenuto testuale dell’art. 700 c.p.c., come interpretato dalla giurisprudenza ormai unanime, pone in evidenza il carattere accessorio e temporaneo dei provvedimenti d’urgenza, diretti ad assicurare provvisoriamente, attraverso una tutela preventiva ed autonoma, gli effetti della futura decisione di merito. Tale tutela preventiva può essere accordata solo in quanto necessaria ad evitare che il diritto azionato venga, in modo irreparabile, pregiudicato nelle more del giudizio di merito. Pertanto, il provvedimento cautelare per cui si ricorre in via d’urgenza deve essere 1) ammissibile; 2) sorretto dal c.d. fumus boni iuris; 3) caratterizzato da un periculum in mora.
In via generale, occorre premettere che, nel caso di procedimenti anticipatori, il periculum si identifica in una lesione irreversibile del diritto da tutelare, che verrebbe irrimediabilmente compromesso in caso di mancata anticipazione della sua soddisfazione rispetto al momento dell'emissione della sentenza che definisce il giudizio.
La riforma attuata con la legge n. 80/2005 ha eliminato la necessità di instaurare un successivo giudizio di merito nel caso di provvedimenti di natura anticipatoria per evidenti esigenze di economia processuale, riservando, in definitiva, al destinatario del provvedimento cautelare l’onere della contestazione del diritto tutelato in tale sede nelle forme di un giudizio a cognizione ordinaria. In tal modo si evita a chi abbia ottenuto, in sede cautelare, un provvedimento anticipatorio, con il quale viene data immediata realizzazione al proprio diritto, di dover procedere ad instaurare un giudizio di merito anche nell'ipotesi di mancata contestazione della pretesa fatta valere in giudizio.
Tale meccanismo processuale implica un'attenuazione del legame di strumentalità tra il procedimento cautelare ed il giudizio di merito, anche se solo da un punto di vista strutturale. L'assetto della res in iudicium deducta può essere dato in via definitiva anche dal giudice del cautelare, ma ciò non determina il venir meno del legame funzionale tra tutela cautelare e tutela ordinaria.
La funzione della tutela cautelare resta infatti tutta e sola quella di ovviare ai pregiudizi che un diritto potrebbe subire durante il tempo necessario all'instaurazione ed alla definizione del giudizio di merito, ed è proprio tale assetto funzionale a renderla costituzionalmente necessaria ai sensi dell'art. 24 Cost.: il diritto di agire in giudizio per la tutela dei propri diritti non potrebbe avere il rango di un diritto fondamentale della persona (come riconosciuto, da ultimo, anche dalla stessa Carta dei diritti fondamentali dell'Unione Europea) nelle ipotesi nelle quali il provvedimento, che riconosce la fondatezza della pretesa sostanziale dedotta in giudizio, intervenisse quando la stessa è stata ormai irrimediabilmente pregiudicata.
Tale ratio costituisce il fondamento, la funzione, ma al contempo anche il limite posto alla tutela cautelare.
La stessa si pone, infatti, in una relazione di evidente strumentalità (sia pur soltanto eventuale) rispetto alla tutela di merito e tale carattere non viene meno per il fatto che il legislatore, con la riforma attuata con la legge n. 80/2005, abbia rimesso, di fatto, al destinatario passivo del provvedimento cautelare la scelta di instaurare il successivo giudizio di merito, in caso di contestazione dell'altrui pretesa.
Tale conclusione vale a maggior ragione per l'ipotesi della norma di chiusura di cui all'art. 700 c.p.c..
Tanto premesso, alla luce delle considerazioni che precedono, deve ritenersi ammissibile la domanda cautelare volta ad ottenere un ordine alla Apple Italia S.r.l. di fornire assistenza ai ricorrenti nel recupero dei dati personali dagli account del figlio deceduto, atteso che la stessa è volta ad ottenere un provvedimento idoneo a garantire la conservazione dell’utilità pratica che la decisione nel merito attribuirà alla parte.
Con riferimento al requisito del fumus boni iuris si osserva quanto segue.
Il Considerando 27 del Reg. 2016/679 dispone che: “Il presente regolamento non si applica ai dati personali delle persone decedute. Gli Stati membri possono prevedere norme riguardanti il trattamento dei dati personali delle persone decedute”.
Il decreto legislativo 10 agosto 2018, n. 101 ha introdotto una nuova disposizione nel Codice in materia di protezione dei dati, l’art. 2-terdecies, specificamente dedicata al tema della tutela post-mortem e dell’accesso ai dati personali del defunto. La citata disposizione (Diritti riguardanti le persone decedute) prevede che: “i diritti di cui agli articoli da 15 a 22 del Regolamento riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell'interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione”.
Come nella previgente disciplina, il legislatore non chiarisce se si tratti di una acquisto mortis causa o di una legittimazione iure proprio, limitandosi a prevedere quello che la più attenta dottrina ha qualificato in termini di “persistenza” dei diritti oltre la vita della persona fisica (diritti che prevedono il diritto di accesso, di rettifica, di limitazione di trattamento, di opposizione, ma anche il diritto alla cancellazione ed alla portabilità dei dati), persistenza che assume rilievo preminente a livello dei rimedi esperibili.
La regola generale prevista dal nostro ordinamento (in linea di continuità con la disciplina contenuta nell’art. 9, comma 3, del D.Lgs. 196/2003), dunque, è quella della sopravvivenza dei diritti dell’interessato in seguito alla morte e della possibilità del loro esercizio, post mortem, da parte di determinati soggetti legittimati all’esercizio dei diritti stessi.
Il secondo comma introduce un duplice limite alla possibilità di esercizio post mortem dei diritti dell’interessato: “L'esercizio dei diritti di cui al comma 1 non è ammesso nei casi previsti dalla legge o quando, limitatamente all'offerta diretta di servizi della società dell'informazione, l'interessato lo ha espressamente vietato con dichiarazione scritta presentata al titolare del trattamento o a quest'ultimo comunicata”.
Così come previsto dalla legge sulle direttive anticipate di trattamento (laddove, all’art. 4 della legge 22 dicembre 2017 n. 219, consente ad ogni persona – maggiorenne e capace di intendere e di volere – di “esprimere le proprie volontà in materia di trattamenti sanitari, nonché il consenso o il rifiuto rispetto ad accertamenti diagnostici o scelte terapeutiche e a singoli trattamenti sanitari”), anche nel caso in esame il legislatore – nell’ottica della tutela dei medesimi diritti alla dignità ed all’autodeterminazione (diritti che riguardano sia la dimensione fisica della persona che quella che attiene al rapporto con i dati personali che esprimono e realizzano una parte dell’identità della persona stessa) ha espressamente valorizzato l’autonomia dell’individuo, lasciandogli la scelta se lasciare agli eredi ed ai superstiti legittimati la facoltà di accedere ai propri dati personali (ed esercitare tutti o parte dei diritti connessi) oppure sottrarre all’accesso dei terzi tali informazioni.
Il terzo comma prevede requisiti sostanziali e formali per la manifestazione di volontà dell’interessato (“La volontà dell’interessato di vietare l’esercizio dei diritti di cui al comma 1 deve risultare in modo non equivoco e deve essere specifica, libera e informata; il divieto può riguardare l'esercizio soltanto di alcuni dei diritti di cui al predetto comma”).
Infine, mentre il quarto comma dispone che la volontà espressa dall’interessato è sempre suscettibile di revoca o modifica, il quinto comma, in un’evidente ottica di bilanciamento, precisa che il divieto in oggetto «non può produrre effetti pregiudizievoli per l’esercizio da parte dei terzi dei diritti patrimoniali che derivano dalla morte dell’interessato nonché del diritto di difendere in giudizio i propri interessi”.
Tanto premesso, con l’odierna domanda cautelare i ricorrenti, unici eredi di XXXXX (cfr. doc. 4), chiedono di poter avere accesso alle informazioni ed ai dati personali riferibili agli account del loro defunto figlio, per poter realizzare un progetto “che possa servire a mantenerne vivo il ricordo”.
Dal disposto dell’art. 2 terdecies appena citato appare evidente come i ricorrenti, genitori del defunto sig. XXXXXXXX, siano legittimati ad esercitare il diritto di accesso ai dati personali del proprio figlio improvvisamente deceduto. Il tenore delle allegazioni di parte attrice (la possibilità di recuperare parte delle immagini relative all’ultimo periodo di vita del giovane sig. XXXX e la volontà di realizzare un progetto che, anche attraverso la raccolta delle sue ricette, possa tenerne viva la memoria) e il legame esistente tra genitori e figli costituiscono elementi che portano a ravvisare l’esistenza delle “ragioni familiari meritevoli di protezione” richieste dalla norma.
Dalla corrispondenza intervenuta tra i ricorrenti e la società resistente (doc.2) emerge in modo chiaro come il sig. XXXXXXXXXXX non abbia espressamente vietato l’esercizio dei diritti connessi ai suoi dati personali post mortem. Il titolare del trattamento, infatti, nelle numerose comunicazioni inoltrate al difensore dei ricorrenti, non ha mai fatto riferimento all’esistenza di una dichiarazione scritta in tal senso.
Per quanto attiene, infine, alle condizioni di esercizio richieste dalla Apple S.r.l., si osserva come il riconoscimento della persistenza dei diritti connessi ai dati personali in capo a chi vanti, come nel caso di specie, una ragione familiare meritevole di protezione non può essere subordinato alla previsione di requisiti che, peraltro, con riferimento ad istituti di un ordinamento giuridico diverso da quello italiano (dinanzi al quale il diritto è azionato), introducono condizioni diverse da quelle indicate dal legislatore. Nelle comunicazioni inviate dalla società resistente, infatti, si richiede: “un ordine del tribunale che specifichi: 1) Che il defunto era il proprietario di tutti gli account associati all’ID Apple; 2) Che il richiedente è l’amministratore o il rappresentante legale del patrimonio del defunto; 3) Che, in qualità di amministratore o rappresentante legale, il richiedente agisce come “agente” del defunto e la sua autorizzazione costituisce un “consenso legittimo”, secondo le definizioni date nell’Electronic Communications Privacy Act; 4) Che il tribunale ordina a Apple di fornire assistenza nel recupero dei dati personali dagli account del defunto, che potrebbero contenere anche informazioni o dati personali identificabili di terzi” (pag. 2 del doc. 3). Orbene, con riferimento alle richieste della società titolare del trattamento si osserva che: solo la società resistente è a conoscenza delle informazioni relative al punto 1); nell’ordinamento italiano non esiste la figura dell’“amministratore o rappresentante legale del patrimonio del defunto” né, tantomeno, quello di “agente” del de cuius; la disciplina legislativa italiana non richiede, in alcun modo, né l’autorizzazione di un “agente” del defunto all’accesso né la presenza di un “consenso legittimo” secondo un atto normativo di un ordinamento giuridico diverso. In conclusione, appare del tutto illegittima la pretesa avanzata dalla società resistente di subordinare l’esercizio di un diritto, riconosciuto dall’ordinamento giuridico italiano, alla previsione di requisiti del tutto estranei alle norme di legge che disciplinano la fattispecie in esame.
Solo per completezza – con riferimento al diniego opposto da Apple S.r.l. per tutelare la “sicurezza dei clienti” (cfr. doc. 2 e 6) - e, dunque, per quanto attiene all’applicabilità del GDPR unicamente in relazione alla controparte della comunicazione, società odierna resistente (stante l’inapplicabilità del Regolamento ai dati di una persona defunta), si osserva come l’art. 6, par. 1, lettera f) del citato Regolamento autorizzi il trattamento dei dati personali necessario per il “perseguimento del legittimo interesse” del titolare o di terzi. Atteso che i ricorrenti, genitori del defunto sig. XXXXXXXX, intendono accedere agli account personali del defunto figlio per “ragioni familiari meritevoli di protezione”, deve ritenersi sussistente il predetto legittimo interesse.
Alla luce delle considerazioni che precedono – ritenuto che i ricorrenti, genitori del defunto sig. XXXXXXXXXXX siano titolari dei diritti relativi ai dati personali del figlio (nei limiti oggetto della presente domanda cautelare) - deve ritenersi sussistente il requisito del fumus boni iuris.
Con riferimento al periculum in mora, basti osservare che, come specificamente allegato da parte ricorrente (con riferimento a nozioni di comune esperienza), la Apple aveva fatto presente che i propri sistemi, dopo un periodo di inattività dell’account i-cloud sarebbero stati automaticamente “distrutti”. Il pericolo di un pregiudizio grave ed irreparabile all’esercizio dei diritti connessi ai dati personali del figlio defunto dei ricorrenti appare, pertanto, in re ipsa.
Si impone, pertanto, una pronuncia di accoglimento della domanda cautelare spiegata dai ricorrenti ed una conseguente condanna della Apple S.r.l. a fornire assistenza nel recupero dei dati personali dagli account del sig. XXXXXXXXX.
Le spese di lite seguono la soccombenza e si liquidano come in dispositivo in applicazione del d.m. n. 55/2014 (e con riferimento allo scaglione dei giudizi di valore indeterminabile di complessità bassa).
P.Q.M.
Visti gli artt. 669-bis ss. e 700 c.p.c., rigettata ogni ulteriore domanda ed eccezione;
1) Accoglie il ricorso e, per l’effetto, condanna la Apple Italia S.r.l., quale società appartenente al gruppo Apple (tramite cui opera la Apple Distribution International LTD) a fornire assistenza a XXXXXXXXX nel recupero dei dati dagli account del sig. XXXXXXXXX nella procedura denominata “trasferimento” volta a consentire ai ricorrenti l’acquisizione delle credenziali d’accesso all’ID Apple del predetto sig. XXXXXX;
2) Condanna la Apple Italia S.r.l. al pagamento, in favore dei ricorrenti, delle spese di lite, che liquida in complessivi euro 3.060,00, oltre euro 49,00 titolo di contributo unificato, oltre spese generali al 15%, i.v.a. e c.p.a. come per legge.
Manda alla Cancelleria per le comunicazioni di Sua competenza. Milano, 10 febbraio 2021
Il Giudice
dott. Martina Flamini