Giù le mani dal mio iPhone: verso il testamento digitale

Privacy e sicurezza - Paolo Ricchiuto* - 22 febbraio 2021

Ha fatto scalpore l'ordinanza del Tribunale di Milano, che ha riconosciuto agli eredi il diritto di accedere ai contenuti dello smartphone del defunto. Ma la notizia più importante è nel nucleo della motivazione: prende vita, finalmente, il testamento digitale.
I fatti. Un giovane muore in un incidente. I genitori ritengono di avere diritto a conoscere i contenuti del suo iPhone e si rivolgono alla Apple. Di fronte al rifiuto di Cupertino, promuovono un procedimento d'urgenza.

Ci sono alcune interessanti peculiarità da sottolineare.
1. Il dispositivo è rimasto distrutto nell'incidente: siamo quindi in un'area diversa da quella già esplorata in alcuni casi, nei quali gli eredi avevano tentato di convincere Apple a forzare le credenziali (numeriche o biometriche) di accesso ad uno smartphone. Si trattava di ipotesi in cui la privacy era stata utilizzata come una misura di marketing, e Apple si era presentata come il baluardo per la tutela della riservatezza delle persone decedute: è ancora forte, in questa direzione, l'eco delle parole di Tim Cook (il nuovo Steve Jobs) che, in occasione della strage di San Bernardino e dello scontro con l'FBI che voleva accedere ai contenuti degli smartphone degli attentatori, si era opposto con determinazione alla richiesta del Governo di creare una nuova versione del sistema operativo iOS, che contenesse una sorta di backdoor utilizzabile dalle forze di polizia per accedere ai contenuti.

Apple non si piega. E in alcuni casi si è arrivati ad un livello di scontro tale da condurre ad alcune soluzioni a dir poco inquietanti, come il tentativo di utilizzare l'impronta digitale di un cadavere per sbloccare il suo telefonino.
Diversa, quindi, la fattispecie esaminata dal Tribunale di Milano, al quale viene richiesto accesso non al cellulare distrutto nell'incidente, ma direttamente ai server di Apple presso i quali i dati vengono sincronizzati e salvati (o meglio, possono esserlo) grazie ad Icloud.

2. A fronte delle richieste avanzate a più riprese dagli eredi, Apple aveva opposto la più anglosassone delle procedure, autoinvestite di una autodichiarata cogenza para-normativa, indicando in particolare di esser disponibile ad estrarre i dati soltanto in presenza di una serie di caveat specifici.

3. Apple, chiamata in giudizio, ha deciso di non prendervi parte ed è rimasta contumace: una condotta processuale piuttosto originale per dei paladini della privacy, che come vedremo ha un effetto decisivo sulla definizione del caso.
Il Tribunale, per decidere la controversia, esamina ed applica una norma di eccezionale importanza, rimasta sotto traccia per anni, e tale da poter avere un impatto veramente rivoluzionario sulla materia.

Il Codice Privacy già conteneva una disposizione, sintetica e circoscritta, che permetteva di esercitare il diritto di accesso ai dati della persona deceduta, da parte di chi fosse portatore di un "interesse proprio", o agisse "a tutela dell'interessato" o "per ragioni familiari meritevoli di protezione" (art. 9 comma 3 d.lgsl. 196/03 nella sua originaria versione). Si trattava di un assetto, quindi, completamente sbilanciato sulla posizione di chi volesse accedere, e non era in nessun modo prevista la possibilità che quel diritto fosse impedito a monte dalla volontà dell'interessato morto.
Se quindi la moglie, superstite del marito presunto fedigrafo, avesse voluto accedere ai contenuti del suo smartphone, le sarebbe bastato addurre l'esistenza di un interesse proprio, anche in termini di mere ragioni familiari. E il marito defunto non avrebbe avuto nessuna possibilità di difendere un qualsiasi proprio, anche innocentissimo segreto.

Domanda: è giusto? Partendo dall'assunto che dentro i nostri smartphone galleggia tutta la nostra esistenza, è corretto eticamente, prima ancora che giuridicamente, che i nostri eredi possano entrare a gamba tesa sulle nostre più personali scelte, riflessioni, aspirazioni eccetera?
La risposta è venuta (piuttosto a sorpresa) con il DLGS 101/18: si tratta del famoso decreto di armonizzazione che, dopo la entrata in vigore del GDPR, aveva il compito di rendere compatibile il nostro Codice Privacy con le nuove disposizioni del Regolamento Europeo.

E' proprio con questo decreto, che è stata introdotta nel nostro ordinamento la disposizione dell'art. 2-terdecies del "nuovo" Codice Privacy , rubricato "Diritti riguardanti le persone decedute": dopo aver ribadito al comma 1 la esistenza dei diritti sui dati del defunto secondo gli stessi presupposti già previsti dal "vecchio" Codice, al comma 2 viene introdotta una disposizione bomba:
"L'esercizio dei diritti di cui al comma 1 non è ammesso nei casi previsti dalla legge o quando, limitatamente all'offerta diretta di servizi della società dell'informazione, l'interessato lo ha espressamente vietato con dichiarazione scritta presentata al titolare del trattamento o a quest'ultimo comunicata".

Eccolo, il testamento digitale: a partire dal 2018, ognuno di noi può erigere uno sbarramento a tutela della propria riservatezza post mortem, inibendo l'accesso dei propri eredi (e di tutti coloro che si assumono portatori di un interesse proprio) a tutti i servizi della società dell'informazione dei quali si è usufruito in vita (il mio cellulare, il mio profilo Facebook, Instagram, Twitter...).
Non solo. Il comma 3, prevede anche come fare: "La volontà dell'interessato di vietare l'esercizio dei diritti di cui al comma 1 deve risultare in modo non equivoco e deve essere specifica, libera e informata; il divieto può riguardare l'esercizio soltanto di alcuni dei diritti di cui al predetto comma"

La traduzione operativa è una semplicissima PEC, con una dichiarazione (magari sottoscritta con firma digitale) inviata ad esempio alla Apple: ed il sistema, nella sua interezza, trova un più equilibrato bilanciamento, che non lascia campo completamente libero per accedere ai dati di chi è defunto.

E' proprio su questo piano che si apprezza la pronuncia del Tribunale di Milano, che ruota intorno alla seguente, decisiva considerazione: "Dalla corrispondenza intervenuta tra i ricorrenti e la società resistente emerge in modo chiaro come il sig... non abbia espressamente vietato l'esercizio dei diritti connessi ai suoi dati personali post mortem. Il titolare del trattamento, infatti, nelle numerose comunicazioni inoltrate al difensore dei ricorrenti, non ha mai fatto riferimento all'esistenza di una dichiarazione scritta in tal senso"

La novità, quindi, non è affatto che un Giudice abbia ritenuto meritevole di tutela il diritto di un erede ad accedere ai dati digitali del defunto: lo avrebbe potuto fare anche prima della entrata in vigore del GDPR, nella vigenza del "vecchio" Codice Privacy.
La portata dirompente della pronuncia, invece, sta nella ragione addotta dal Giudice come cuore pulsante della motivazione: il diritto di accesso può esser riconosciuto, perché non vi è la prova dell'esistenza di un "testamento digitale": il che, indirettamente, equivale ad affermare che quel diritto non avrebbe potuto esser esercitato laddove quella prova fosse stata acquisita (e se Apple, invece di rimanere contumace, l'avesse fornita, ovviamente ove esistente).

E' su questa base, ripeto, misconosciuta negli ultimi anni, e sul presupposto di una lettura attenta dell'effettiva portata della ordinanza, che si potrà costruire un volano informativo intelligente, che metta le persone in condizioni di conoscere l'esistenza di un diritto rimasto finora inspiegabilmente inespresso.

* Avvocato in Roma