Deceduto il figlio in incidente stradale e resosi inutilizzabile il suo iPhone, i genitori chiedono ad Apple Italia l’accesso ai dati memorizzati in cloud, facendo valere l’art. 2 terdecies cod. privacy. Secondo tale disposizioni, <<I diritti di cui agli articoli da 15 a 22 del Regolamento riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualita’ di suo mandatario, o per ragioni familiari meritevoli di protezione>> (c.1).
Come rileva l’ordinanza, non è chiaro se si tratti di pretesa iure proprio (come parrebbe) o iure hereditatis (trattandosi nel caso di successione separata).
I genitori avevano detto di volere l’accesso ai dati per ragioni generali di ricordo e per ragioni speciali consistenti nella intenzione di eventualmente raccogliere in una pubblicaizone le ricette create dal figlio, cuoco, annotate in cloud.
Apple oppone la necessità di rispettare la condizioni contrattiali regolanti la fattispecie: <<“un ordine del tribunale che specifichi: 1) Che il defunto era il proprietario di tutti gli account associati all’ID Apple; 2) Che il richiedente è l’amministratore o il rappresentante legale del patrimonio del defunto; 3) Che, in qualità di amministratore o rappresentante legale, il richiedente agisce come “agente” del defunto e la sua autorizzazione costituisce un “consenso legittimo”, secondo le definizioni date nell’Electronic Communications Privacy Act; 4) Che il tribunale ordina a Apple di fornire assistenza nel recupero dei dati personali dagli account del defunto, che potrebbero contenere anche informazioni o dati personali identificabili di terzi” >>.
Il giudice, condivisibilmente, ravvisa l’esistenza delle ragioni familiari meritevoli di protezione, e in via cautelare (art. 700 cpc) condanna Apple a <<fornire assistenza a XXXXXXXXX nel recupero dei dati dagli account del sig. XXXXXXXXX nella procedura denominata “trasferimento” volta a consentire ai ricorrenti l’acquisizione delle credenziali d’accesso all’ID Apple del predetto sig. XXXXXX>> (Trib. Milano sez. I civ., RG 2020/44578, 10.02.2021, giudice Martina Flamini).
Circa il periculum in mora, <<basti osservare che, come specificamente allegato da parte ricorrente (con riferimento a nozioni di comune esperienza), la Apple aveva fatto presente che i propri sistemi, dopo un periodo di inattività dell’account i-cloud sarebbero stati automaticamente “distrutti”. Il pericolo di un pregiudizio grave ed irreparabile all’esercizio dei diritti connessi ai dati personali del figlio defunto dei ricorrenti appare, pertanto, in re ipsa>>.
Il provvedimento è sostanzialmente condivisibile, anche se qualche perplessità suscita il modo sbrigativo con cui il giudce si è liberato dall’ostacolo delle clausole contrattuali .Sostanzialmente dice che si tratta o di dati già possesso di Apple (n. 1) o di elemeenti (esistenti probabilmetne in USa ma) non esistnti da noi: <<orbene, con riferimento alle richieste della società titolare del trattamento si osserva che: solo la società resistente è a conoscenza delle informazioni relative al punto 1); nell’ordinamento italiano non esiste la figura dell’“amministratore o rappresentante legale del patrimonio del defunto” né, tantomeno, quello di “agente” del de cuius; la disciplina legislativa italiana non richiede, in alcun modo, né l’autorizzazione di un “agente” del defunto all’accesso né la presenza di un “consenso legittimo” secondo un atto normativo di un ordinamento giuridico diverso. In conclusione, appare del tutto illegittima la pretesa avanzata dalla società resistente di subordinare l’esercizio di un diritto, riconosciuto dall’ordinamento giuridico italiano, alla previsione di requisiti del tutto estranei alle norme di legge che disciplinano la fattispecie in esame>>.
Profilo che andrebbe però coordinato con l’art. 3/2 GDPR, che impone il rispetto del GDPR medesimo anche agli operatori extra _UE se effettuano il trattamento dati dentro la UE.
Il passaggio è un pò sbrigativo dato che potrebbe trattarsi di rapporto con elementi di estraneità, per cui si sarebbe dovuto ragionare in termine di diritto intenazionale privato (però la controparte è società di diritto italiano e non risultano in sentenza scelte di legge straniera; comunque potrebbe trattarsi di <norma di applicazione necessaria>, prevalente sulla scelta di legge stranera); se non lo fosse, allora la cosa sarebbe più semplice, trattandosi di patto difforme dal cit. art. 2 terdecies, norma imperativa, quindi probabilmente nullo perchè aggravante la fattispecie che genera il diritto di accesso ai dati del deceduto.
Nulla in proposito osserva il giudice.
(segnalazione delle sentenza da parte di Antonio Iacono nella mailing list NEXA)
V.ne ora il commento di Bassini-De Gregorio-Pollicino su Federnotizie.it.