IT
Italiano
EN
English
  • Cerca
Home

DIRITTO ALL’OBLIO, IDENTITÀ DIGITALE E TUTELA DEI DATI PERSONALI POST MORTEM

  • martedì 09 novembre 2021
  • Italia
Cos’è l’identità digitale?
L’identità digitale è considerata come l’identità virtuale che ogni individuo si crea in rete ed indica “l'insieme delle informazioni e delle risorse concesse da un sistema informatico ad un utilizzatore del suddetto”; di conseguenza, l’identità digitale, risulta essere formata dall'insieme di due fattori: l’esistenza di un soggetto fisico; e l'attribuzione a tale soggetto fisico di un “insieme di codici elettronici tali che, una volta introdotti in uno o più calcolatori, singoli o in rete, la persona possa essere identificata, collegando i codici alla sua identità” (1).
Gli elementi informativi, detti attributi, sono gli elementi che rendono riconoscibile e identificabile un soggetto in rete, per cui, a più attributi corrisponderanno più “parti” di una uguale identità, che rendono l’identità digitale stessa frammentaria e perciò non unitaria; ciò ha come conseguenza una logica impossibilità da parte dell’individuo di esercitare un effettivo controllo su tutte le informazioni che sulla propria persona circolano in internet.
L’identità del singolo attraverso la rete può esser facilmente danneggiata in quanto, le informazioni vengono poste in rete senza filtri e controlli portando alla presenza di dati non necessariamente corrispondenti al vero, o, anche se veritieri, comunque distorsivi della percezione che si ha di un individuo, soprattutto nel momento in cui le informazioni risultano essere lontane dal rappresentare reale identità del singolo (2).  Attraverso la rete si ha la possibilità di diffondere molteplici informazioni potendo usufruire di un sistema di raccolta e archiviazione dalle elevate potenzialità, consentendo di fissare nel tempo le informazioni digitali. Ogni dato inserito è destinato a vagare a tempo indeterminato nell'universo immateriale dell’internet, potendo essere sempre recuperato anche se formalmente cancellato (3).
 
Diritto all’oblio
La permanenza dei dati in internet ha posto la necessità di dover tutelare maggiormente l’individuo e la sua identità digitale; per questo si prevede che, trascorso un lasso di tempo considerevole, ogni individuo è legittimato a richiedere la cancellazione delle informazioni che lo riguardano e che circolano in rete, e ciò anche a seguito della perdita di utilità sociale circa la divulgazione dell’informazione stessa. In questo contesto, il diritto all'oblio e quello all'identità personale tendono ad accumunarsi in quanto, il riemergere di vicende risalenti di una persona deve avvenire nel rispetto della identità del soggetto che spesso risulta essere danneggiato dalla diffusione di informazioni non veritiere o fuorvianti, contribuendo le stesse alla creazione di una identità non corrispondente alla realtà (4).
Il diritto all’oblio è inteso come il diritto di un soggetto di ottenere la rimozione di informazioni personali che lo riguardano, qualora la rilevanza pubblica alla diffusione dell’informazione sia venuta meno per il trascorrere del tempo o per altri motivi (5). 
Di fatto, il Regolamento UE 2016/679 nell’art. 17 (rubricato “Diritto alla cancellazione «diritto all’oblio) sancisce la sussistenza di un duplice diritto, prevendendo da una parte il diritto di ciascuno ad ottenere la cancellazione dei dati personali che lo riguardano e, conseguentemente, si prevede  l’obbligo per il titolare della conservazione dei dati di cancellare gli stessi (6). Il diritto all'oblio si concretizza, pertanto, nella pretesa di un individuo riuscire a controllare ancora una volta la propria storia personale, garantendo il rispetto del diritto alla propria autodeterminazione (7) e identità, assicurando l’eliminazione di quel che “non appartiene più all’identità dell’interessato”, ma, al tempo stesso, salvando ciò che risulta essere di forte interesse per la società.
Si può quindi sostenere che, il diritto all’oblio concerne la capacità di un soggetto di controllare i dati e le informazioni che lo riguardano, non trattandosi di una mera tutela della riservatezza, bensì di una volontà di esercitare controllo sull’uso dei propri dati e sulla durata della loro permanenza in rete (8). Di fatto, si afferma che il diritto all’oblio garantisce “una tutela dinamica dei dati personali, nel senso che la garanzia non può essere soltanto quella tradizionale e statica relativa alla riservatezza, ma deve divenire componente essenziale della cittadinanza digitale, e della libera costruzione dell’identità” (9).
 
Protezione dei dati personali post mortem
Nell’ambito del rapporto fra identità digitale e diritto all’oblio viene in rilievo un ulteriore problematica relativa all’eredità digitale, che consiste nella trasmissione a terzi del “patrimonio digitale” di una persona in seguito alla sua morte, patrimonio composto dall’insieme di attributi che in rete compongono l’identità digitale di un individuo (10).  
Il patrimonio digitale è costituito da una serie di beni, rapporti giuridici e informazioni diversi fra loro, potendosi trattare di beni con valore economico o anche affettivo, gestiti digitalmente ed anche protetti da password in quanto, ad esempio, risultano esser posti all’interno di una risorsa fisica come pc/tablet o cellulare, ma anche perché conservati in cloudcon accesso mediante credenziali private (11). Da ciò nasce la delicata questione relativa alla previsione di un diritto all’oblio per i defunti, inteso come diritto alla protezione dei dati personali anche post mortem.
Il Regolamento europeo sulla protezione dei dati personali (GDPR), al Considerando 27, esclude l’applicazione della normativa ai dati delle persone decedute, prevedendo, conseguentemente, la possibilità che siano gli Stati membri stessi a prevedere delle normative a livello interno poste a tutela del trattamento dei dati delle persone decedute (12).
Di fatto, l’Italia con l’art. 2-terdecies del d.lgs 101/2018 (decreto di armonizzazione del Codice Privacy) ha previsto l'estensione delle norme di cui al GDPR anche al trattamento dei dati personali di persone decedute, prevedendo che “i diritti relativi ai dati personali dei defunti possono essere esercitati da chi ha un interesse proprio, oppure agisce a tutela del defunto quale mandatario o per ragioni familiari meritevoli di protezione”  (13).
Il secondo comma del già menzionato articolo prevede che i diritti di protezione dei dati personali del defunto non possano essere esercitati da eredi o mandatari del de cuius nei casi previsti dalla legge o quando, in relazione ai servizi dell’informazione, il defunto ne abbia espressamente fatto divieto attraverso dichiarazione scritta presentata al titolare del trattamento.
Di conseguenza spetta al giudice il compito di tutelare i diritti del defunto anche in relazione alla protezione dei dati personali. Di fatto, spesso si sono presentate problematiche relative al diritto degli eredi di richiedere la cancellazione di dati ed informazioni poste in internet e ricollegabili al de cuius.
Recentemente il Garante per la privacy si è pronunciato sulla legittimità della richiesta del figlio del de cuius di cancellare un articolo che quest’ultimo aveva pubblicato online e che risultava infamante per i membri della famiglia. Il Garante, nel caso di specie, ha affermato che per far rimuovere dal web un articolo di un defunto occorre che ci sia un effettivo interesse da tutelare e non vi siano ragioni rilevanti che entrino in conflitto con la rimozione dello scritto (14). Il Garante ha ritenuto infondata la richiesta di cancellazione presentata dal figlio al sito in cui l’articolo era posto, in quanto non si era avuta prova della effettiva volontà del de cuius di voler cancellare o modificare il contenuto dello scritto e reputando invece necessario salvaguardarne l’articolo, poiché testimonianza storica della vita del defunto ed espressione del suo libero pensiero; inoltre, il defunto in vita non aveva mai manifestato l’esigenza di voler usufruire del diritto all’oblio andando, di converso,  a ribadire più volte il proprio pensiero raccolto nell’articolo  (15). 
Tuttavia, l’Autorità, ha disposto che, essendo trascorsi sedici anni dalla pubblicazione dell’articolo e sei anni dalla morte dell’autore, il gestore del sito web non debba rendere reperibile l’articolo tramite motori di ricerca esterni, per contemperare l’esigenza di conservazione dello scritto con l’interesse dei familiari in esso menzionati (16).
Ancor più di recente, il Tribunale di Milano ha dovuto affrontare una questione sempre inerente al diritto alla protezione dei dati personali del defunto. La questione riguardava la richiesta dai genitori di un minore, morto a seguito di un incidente stradale, di accedere ai dati del figlio conservati sul cloud di Apple, dacché lo smartphone era rimasto distrutto a seguito dello scontro fatale, al fine di cercare di colmare il dolore dovuto alla perdita. 
Apple rifiutava l'accesso invocando il dovere di protezione dell'identità di terzi in contatto col ragazzo, nonché la sicurezza dei clienti, prevedendo che, per fornire i dati, i genitori dovessero diventare “agenti” del defunto e portatori formali di un “consenso legittimo”, in base all'Electronic Communications Privacy Act americano. 
I genitori del defunto presentavano ricorso ex artt. 669 bis e 700 c.p.c. al Tribunale di Milano, chiedendo, in via cautelare, di ordinare alla Apple di “di fornire assistenza nel recupero dei dati personali dagli account del defunto” (17). La società, sebbene ritualmente citata, è rimasta contumace.
Il Tribunale ha accolto la domanda dei ricorrenti ritenendo presenti le caratteristiche di urgenza tipica della tutela cautelare, poiché, nel caso di specie, vi era il rischio di cancellazione dei dati posti all’interno del cloud in quanto pratica diffusa di Apple. 
In relazione al diritto dei genitori di accedere ai dati personali del defunto, il Tribunale ha ricordato l’importanza del d.Lgs n. 101/2018 nella tutela post mortem dei dati personali, ribadendo che i diritti riguardanti i dati personali di persone decedute possono essere esercitati “da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione”. Non essendo stata accertata la presenza di un divieto da parte del giovane circa l’esercizio dei diritti connessi ai suoi dati personali post mortem, il Tribunale ha ritenuto sussistenti le “ragioni familiari meritevoli di protezione” richieste dall’art. 2-terdecies sia in virtù del “legame esistente tra genitori e figli” sia della volontà dei ricorrenti “di recuperare parte delle immagini relative all’ultimo periodo di vita” del giovane figlio sia “di realizzare un progetto che, anche attraverso la raccolta delle sue ricette, possa tenerne viva la memoria” (18).
Importante, nel caso di specie, è stata anche l’osservazione effettuata dal Tribunale circa i requisiti previsti da Apple per l’accesso ai dati del defunto, prevedendo che gli stessi requisiti risultano essere lontani rispetto a quelli previsti dal nostro ordinamento e perciò risulta essere illegittima la pretesa della società di “subordinare un diritto previsto dal nostro ordinamento a condizioni del tutto estranee alle norme che disciplinano la fattispecie” (19).
Si è osservato che, in relazione alle richieste di Apple, solo la società può sapere se “il defunto è proprietario di tutti gli account associati all’ID Apple”, rammendando che nell’ordinamento italiano non si prevede la figura dell’“amministratore o rappresentante legale del patrimonio del defunto” né, tantomeno, quella di “agente” del defunto, come richiamato da Apple nelle motivazioni del rifiuto di accesso al cloud del defunto (20).
Questa risulta essere una pronuncia importante in quanto, si apre la possibilità che Apple  tenga conto, per assumere le proprie determinazioni, della normativa italiana/europea, circa accesso e tutela dei dati personali, modificando la propria policy, come già fatto, ad esempio, da Facebook. 
 
Conclusioni
Il nesso fra diritto all’oblio, identità digitale e protezione dei dati personali risiede nella considerazione dell’oblio fra i diritti della personalità (21), dunque, si considera un diritto soggettivo, volto ad affermare e garantire esigenze di carattere esistenziale. Si tratta di un diritto che spetta all’uomo in quanto tale (22) e che, pertanto, non viene meno al momento della morte del titolare del diritto stesso. 
 
 
***
 
(1). Ibidem;
(2). L. FEROLA, Dal diritto all'oblio al diritto alla memoria sul web. L'esperienza applicativa italiana, in Dir. inform. e infor., 2012, 1001 ss.;
(3). L. FEROLA, Op. cit.;
(4). S. NIGER, Il diritto all'identità personale, in Diritto all'anonimato, (a cura di Finocchiaro), Padova, 2008, pp. 59 e ss;
(5). A.L. VALVO, Il diritto all’oblio nell’epoca dell’informazione “digitale”, in “Studi sull’integrazione europea”, 2015, n. 2, pp. 347-358;
(6). Il Regolamento UE 2016/679, art. 17: 1. L'interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l'obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti: a) i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati; b) l'interessato revoca il consenso su cui si basa il trattamento conformemente all'articolo 6, paragrafo 1, lettera a), o all'articolo 9, paragrafo 2, lettera a), e se non sussiste altro fondamento giuridico per il trattamento; c) l'interessato si oppone al trattamento ai sensi dell'articolo 21, paragrafo 1, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento ai sensi dell'articolo 21, paragrafo 2; d) i dati personali sono stati trattati illecitamente; e) i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento; f) i dati personali sono stati raccolti relativamente all'offerta di servizi della società dell'informazione di cui all'articolo 8, paragrafo 1. 2.   Il titolare del trattamento, se ha reso pubblici dati personali ed è obbligato, ai sensi del paragrafo 1, a cancellarli, tenendo conto della tecnologia disponibile e dei costi di attuazione adotta le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell'interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali. 3.   I paragrafi 1 e 2 non si applicano nella misura in cui il trattamento sia necessario: a) per l'esercizio del diritto alla libertà di espressione e di informazione; b) per l'adempimento di un obbligo legale che richieda il trattamento previsto dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento o per l'esecuzione di un compito svolto nel pubblico interesse oppure nell'esercizio di pubblici poteri di cui è investito il titolare del trattamento; c) per motivi di interesse pubblico nel settore della sanità pubblica in conformità dell'articolo 9, paragrafo 2, lettere h) e i), e dell'articolo 9, paragrafo 3; d) a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici conformemente all'articolo 89, paragrafo 1, nella misura in cui il diritto di cui al paragrafo 1 rischi di rendere impossibile o di pregiudicare gravemente il conseguimento degli obiettivi di tale trattamento; o e) per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria.
(7). M. SESTA, L'erogazione della prestazione medica tra diritto alla salute, principio di autodeterminazione e gestione ottimale delle risorse sanitarie, Rimini, 2014, 15 ss.;
(8). M. ZANICHELLI, op. cit., p. 27;
(9). S. RODOTÀ, Il mondo nella rete. Quali i diritti, quali i vincoli, Roma-Bari, Laterza, 2014, p. 72;
(10). M. BISCEGLIA, L. MANTELLI, Eredità digitale, cos’è e quali diritti comprende: norme e clausole da conoscere, Agenda Digitale- Rivista online, sito consultabile: www.agendadigitale.eu;
(11). M. BISCEGLIA, L. MANTELLI, Eredità digitale, cos’è e quali diritti comprende: norme e clausole da conoscere, Agenda Digitale- Rivista online, sito consultabile: www.agendadigitale.eu;
(12). B. SAETTA, Deceduti e protezione dei dati personali, Protezione dei dati personali - Rivista online, marzo 2020 aggiornato febbraio 2021, sito consultabile: www.protezionedeidatipersonali.it;
(13). Codice Privacy, art. 2-terdecie: “1. I diritti di cui agli articoli da 15 a 22 del Regolamento riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione. 2. L’esercizio dei diritti di cui al comma 1 non è ammesso nei casi previsti dalla legge o quando, limitatamente all’offerta diretta di servizi della società dell’informazione, l’interessato lo ha espressamente vietato con dichiarazione scritta presentata al titolare del trattamento o a quest’ultimo comunicata. 3. La volontà dell’interessato di vietare l’esercizio dei diritti di cui al comma 1 deve risultare in modo non equivoco e deve essere specifica, libera e informata; il divieto può riguardare l’esercizio soltanto di alcuni dei diritti di cui al predetto comma. 4. L’interessato ha in ogni momento il diritto di revocare o modificare il divieto di cui ai commi 2 e 3. 5. In ogni caso, il divieto non può produrre effetti pregiudizievoli per l’esercizio da parte dei terzi dei diritti patrimoniali che derivano dalla morte dell’interessato nonché del diritto di difendere in giudizio i propri interessi”;
(14). Garante della Privacy, Provvedimento del 29 ottobre 2020, n.9509538;
(15). Garante della Privacy, Provvedimento del 29 ottobre 2020, n.9509538;
(16). Garante della Privacy, Provvedimento del 29 ottobre 2020, n.9509538;
(17). Tribunale di Milano, sez. I civ., ordinanza del 10 febbraio 2021;
(18). Tribunale di Milano, sez. I civ., ordinanza del 10 febbraio 2021;
(19). S. CORTESE, Eredità digitale, Lexit- Rivista online, sito consultabile: www.lexit.it;
(20). Ibidem, Tribunale di Milano, sez. I civ., ordinanza del 10 febbraio 2021;
(21). M. ZANICHELLI, op. cit., ibidem;
(22). A. MATRICARDI, Diritti della personalità, AltalexPedia, voce agg. al 08/03/2018.