Social, privacy ed eredità digitale: la pronuncia della Corte tedesca fa scuola

di Anna Capoluongo


Vi siete mai chiesti che fine facciano i dati condivisi sui social in caso di morte dell’interessato?

Cosa é protetto da privacy?

Chi vi può accedere?

Quali diritti spettano agli eredi del defunto?

Per quanto riguarda l’Italia, in punto privacy bisogna, ad oggi, riferirsi a due normative distinte: il Codice Privacy ed il Regolamento Europeo 2016/679/UE (o GDPR), a cui, però, è bene affiancare quanto previsto – per ora in via non ufficiale – dallo schema di decreto legislativo di armonizzazione[1], attualmente al vaglio della Camera[2].

Ai sensi del Codice Privacy – di cui si attende un adeguamento alla luce del GDPR -, i dati relativi alle persone decedute vengono regolati dall’articolo 9 comma 3, intitolato “Modalità di esercizio”, che prevede che i diritti spettanti all’interessato[3] possano essere esercitati solo da chi abbia un interesse proprio, o agisca in tutela dell´interessato o per ragioni familiari meritevoli di protezione.

Prima ancora, ai sensi dell´art. 13, comma 3, la Legge 675/1996[4] aveva stabilito che i diritti dell’interessato riferiti a tali dati potevano essere esercitati da chiunque vi avesse interesse.

Il Regolamento europeo, invece, nel considerando 27[5] ha ritenuto di non applicare le norme dallo stesso contemplate con riferimento ai dati di persone decedute, lasciando però facoltà ai singoli Stati Membri di disciplinare la materia in questione.

Sul punto, infine, lo schema di decreto legislativo di armonizzazione, all’articolo 2-duodecies, sembra voler introdurre una disciplina simile a quella del D.lgs. 196/2003, seppur più specifica e meglio definita.

In particolare, i diritti di cui agli articoli da 15 a 22 del Regolamento[6] – sempre con riferimento a persone decedute – potrebbero essere esercitati da chi abbia un interesse proprio, da chi agisca in tutela dell’interessato in qualità di suo mandatario, oppure da chi agisca per ragioni familiari meritevoli di protezione, e la limitazione all’esercizio di tali diritti sarebbe giustificata nei soli casi espressamente previsti dalla legge.

Con riferimento, poi, ai servizi della società dell’informazione[7], lo schema di decreto sembrerebbe prevedere che l’interessato possa presentare al titolare del trattamento una dichiarazione scritta (revocabile in qualsiasi momento) di divieto di esercizio dei diritti da parte di altri, purché tale divieto non produca effetti pregiudizievoli sui diritti patrimoniali dei terzi derivanti dalla morte dell’interessato, nonché sul diritto di difesa in giudizio dei propri interessi.

Per completezza, sul punto nel parere del Garante[8] si legge quanto segue: “all’articolo 2-duodecies dello schema di decreto, si ritiene utile garantire che la volontà dell’interessato di vietare l’esercizio dei diritti di accesso ai dati che lo riguardano non sia condizionata da eventuali valutazioni predeterminate da terzi. Si suggerisce, pertanto, di inserire all’interno della norma un ulteriore comma dal seguente tenore:

“3-bis. Sono nulle le clausole contrattuali che prevedono disposizioni in contrasto con quanto stabilito dai commi 2 e 3”.

Si valuti, infine, l’opportunità di assicurare un migliore coordinamento della disposizione in esame con la disciplina civilistica rilevante, in particolare in ordine alle implicazioni del divieto di cui ai commi 2 e 3 sull’esercizio, da parte dei terzi, dei diritti patrimoniali derivanti dalla morte dell’interessato nonché del diritto di difesa in giudizio”.

In tale contesto, a quasi due mesi dal 25 maggio 2018, la Corte di Cassazione federale tedesca di Karlsruhe si é espressa sul punto con riferimento ad una vicenda occorsa nel 2012[9], dando vita ad un precedente sicuramente degno di nota.

Nel caso di specie, i genitori della vittima avevano chiesto al colosso di Zuckerberg – che aveva fatto orecchie da mercante[10]– di poter avere pieno accesso ai contenuti del profilo social (dati e messaggi) della figlia quindicenne. Non avendo ottenuto riscontro, si erano quindi rivolti al tribunale[11] che in prima istanza aveva statuito il loro diritto di accesso a tali dati, dal momento che – a parere del Tribunale – il contratto di utenza di Facebook era da intendersi coperto dalla legge sull’eredità, contenuti digitali dell’utente compresi. Il giudice di primo grado aveva altresì decretato il diritto spettante in ogni caso ai genitori di sapere quando e con chi abbia comunicato il proprio figlio minorenne.

La querelle legale, però, non si era fermata e nel 2017, in seconda istanza, la Corte d’Appello[12] di Berlino aveva capovolto l’esito giudiziale dando ragione a Facebook e accolto la tesi secondo cui la privacy nelle telecomunicazioni è garantita dalla legge e dalla Costituzione tedesca: il punto cruciale, quindi, diventava la tutela della privacy di tutti quegli utenti che avevano comunicato con la ragazza e il diritto alla privacy della defunta anche dopo la sua dipartita. Nello scontro tra diritto successorio e diritto alla privacy, la normativa sulla segretezza delle comunicazioni aveva, dunque, avuto la meglio.

La parola fine sulla vicenda, però, l’ha scritta di recente la Corte di Cassazione (BGH) di Karlsruhe che con sentenza del 12 luglio 2018[13], in aperto contrasto con la pronuncia della Corte d’Appello, ha statuito che “il contratto che riguarda l’account di un utente con un social network è trasferito agli eredi del detentore originario dell’account” e che gli eredi “hanno diritto a rivendicare dall’operatore l’accesso all’account, compresi i dati della comunicazione”.

E’ facile comprendere, quindi, la rilevanza della pronuncia che ha riconosciuto per la prima volta l’esistenza di una vera e propria “eredità digitale”, considerando la password, il profilo social, i post e i messaggi privati alla stregua di beni materiali quali le lettere e i diari del de cuius.

Fino ad oggi, infatti, le alternative su Facebook in caso di decesso erano solo tre: l’utente aveva la possibilità di identificare una persona specifica quale “contatto erede”; i parenti di una persona deceduta potevano comunicare alla piattaforma se chiudere il profilo oppure potevano renderlo un account commemorativo, ma di certo era negato qualsivoglia diritto ereditario.


[1] Lo schema di decreto legislativo A.G. n. 22, è stato adottato in attuazione della delega conferita al Governo dall’art. 13 della legge n. 163 del 2017, ed è volto ad adeguare l’ordinamento italiano alle previsioni del Regolamento (UE) 27 aprile 2016, n. 2016/679/UE.

[2] Il Governo ha trasmesso lo schema alle Camere il 10 maggio 2018. In applicazione di quanto previsto dall’articolo 31 della legge n. 234/2012 (richiamato dalla legge n. 163 del 2017), per effetto dello “scorrimento dei termini” necessario a consentire l’espressione del parere parlamentare, il nuovo termine per l’esercizio della delega è individuato nel 21 agosto 2018.

[3] Diritti di cui all’art. 7 del D.lgs. 196/2003: “ (…) L’interessato ha diritto di ottenere l’indicazione: a) dell’origine dei dati personali; b) delle finalità e modalità del trattamento; c) della logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici; d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell’articolo 5, comma 2; e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati.

(…) L’interessato ha diritto di ottenere: a) l’aggiornamento, la rettificazione ovvero, quando vi ha interesse, l’integrazione dei dati; b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati; c) l’attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato.

(…) L’interessato ha diritto di opporsi, in tutto o in parte a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorchè pertinenti allo scopo della raccolta; b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale”.

[4] Di recepimento interno della Direttiva comunitaria 95/46/UE o Direttiva madre, abrogata dal GDPR.

[5] “Il presente regolamento non si applica ai dati personali delle persone decedute. Gli Stati membri possono prevedere norme riguardanti il trattamento dei dati personali delle persone decedute”.

[6] Diritto di accesso (art. 15); diritto di rettifica (art. 16); diritto alla cancellazione (art. 17); diritto di limitazione di trattamento (art. 18); obbligo di notifica in caso di rettifica o canellazione dei dati personali o limitazione del trattamento (art. 19); diritto alla portabilità dei dati (art. 20); diritto di opposizione (art. 21); processo decisionale automatizzato (art. 22).

[7] I servizi della società dell’informazione indicano quei servizi prestati “dietro retribuzione a distanza, per via elettronica, mediante apparecchiature elettroniche di elaborazione e di memorizzazione di dati, e a richiesta individuale di un destinatario” (Direttiva 98/34/CE del Parlamento europeo e del Consiglio, del 22 giugno 1998).

[8] Parere sullo schema di decreto legislativo recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 – 22 maggio 2018 [9163359].

[9] Il caso, del 2012 appunto, riguardava la tragica morte di una ragazza di 15 anni travolta daun treno della metro a Berlino in circostanze poco chiare.

[10] Più specificamente, la richiesta veniva respinta da Facebook che provvedeva a bloccare l’account della ragazza per questioni di rispetto della privacy e di diritto all’oblio.

[11] LG Berlin – Decisione del 17.12.2015 – 20 O 172/15.

[12] KG Berlin – Decisione del 31.5.2017 – 21 U 9/16.

[13] III ZR 183/17 (Zugang von Erben auf das Konto eines verstorbenen Nutzers eines sozialen Netzwerks).


Autore