Accedere ai dati personali (foto, video, documenti, criptovalute, post) di una persona scomparsa si rivela spesso un’operazione complessa. Da un lato, infatti, non conoscere le credenziali rende difficoltoso l’accesso ai supporti di memorizzazione appartenuti al defunto e, dall’altro, l’ostruzionismo dei fornitori di servizi IT impedisce agli eredi di entrare in possesso dei beni digitali ereditari. Vi sono tuttavia soluzioni tecnico-giuridiche per porvi rimedio: vediamo quali sono.
Indice degli argomenti
Cosa prevede la normativa
La scomparsa di una persona può avvenire in qualsiasi momento e, non sempre, questa può aver avuto la lungimiranza o sentito l’esigenza di pianificare la propria successione. La questione successoria, tuttavia, con lo sviluppo delle tecnologie ha assunto (e assumerà in futuro) un interesse che non riguarda più solo le persone anziane, poco avvezze all’utilizzo degli strumenti informatici, bensì tutti coloro che sfruttano quotidianamente le nuove tecnologie.
I casi giurisprudenziali che hanno portato alla nascita della c.d. eredità digitale dimostrano, del resto, che protagonisti del fenomeno successorio digitale sono (state) persone giovani, fruitrici indefesse di smartphone, tablet, social network, account e Internet.
È evidente che, per quanto riguarda il patrimonio digitale, la ricerca e l’acquisizione dei cespiti digitali (ovvero dei beni digitali di valore economico o personale) non è un’operazione così semplice come quella relativa ai beni non digitali, a maggior ragione in assenza di un inventario o di disposizioni di ultima volontà. Da un lato, infatti, la vita “digitale” di una persona può essere del tutto ignota anche ai suoi più stretti familiari e, dall’altro lato, l’immaterialità dei beni facenti parte del patrimonio digitale e il numero di supporti di memorizzazione di quotidiano utilizzo fa sì che questi non siano facilmente reperibili.
L’accesso ai supporti fisici di memorizzazione
La prima attività che il chiamato a succedere nei rapporti del defunto dovrà compiere è la ricostruzione dell’ipotetica “vita digitale” del medesimo. Tale operazione dovrà essere svolta tenendo conto, anzitutto, della preparazione informatica del de cuius e non solo delle sue propensioni nella vita “analogica”.
Successivamente, si dovranno ricercare i supporti fisici di memorizzazione (personal computer, tablet, smartphone, hard disk esterni, memorie flash, CD-ROM, DVD ecc.) ove sono contenuti i beni digitali. Rinvenuti i supporti di memorizzazione, il chiamato all’eredità (o chi sarà preposto all’amministrazione di beni ereditari) potrebbe comunque non riuscire ad entrare in possesso dei beni digitali ivi contenuti, in quanto protetti da una credenziale di accesso (ad esempio, una password).
In tali casi, l’unica soluzione per superare la barriera protettiva ed entrare in possesso dei beni digitali ereditari sarà, oltre che procedere per tentativi (inserendo, ad esempio, password già note o ricostruibili attraverso le abitudini del defunto), richiedere l’assistenza di tecnici specialisti di informatica forense (non semplici informatici), affinché, forzando informaticamente i supporti, tentino di accedere al supporto protetto da credenziale e di recuperare i contenuti protetti.
Sebbene non sia possibile generalizzare, a fronte di una credenziale semplice e già utilizzata (è prassi comune infatti riutilizzare una credenziale già impiegata), è spesso possibile ottenere quell’accesso al dispositivo che consente allo specialista informatico di effettuare una copia esatta del suo contenuto attraverso le tecniche di informatica forense.
Tuttavia, i sistemi moderni offrono misure di protezione ulteriori rispetto alle note credenziali (password, PIN, username ecc.), che, grazie all’integrazione tra hardware e software, proteggono non solo l’accesso al supporto, ma effettuano altresì una cifratura (asimmetrica) dei dati ivi presenti.
In tali casi, lo specialista informatico, in assenza delle credenziali, dovrà utilizzare le tecniche di polizia giudiziaria e analizzare ogni componente del sistema in esame, oltre che ogni supporto esterno, alla ricerca di frammenti della credenziale originale e degli eventuali dati cancellati che permettano di rinvenire elementi o indizi in grado, direttamente o indirettamente, di ricondurre alla credenziale.
È prassi comune in questi casi ricorrere alla c.d. copia forense del dispositivo di memorizzazione in modo tale da poter effettuare tentativi di accesso (anche invasivo o distruttivo), senza compromettere l’originale del supporto o, in alternativa, alle tecniche di c.d. brute force, ossia ad un cospicuo numero di tentativi automatizzati di acceso attraverso password generate casualmente a partire da criteri predeterminati.
Qualora non sia necessario conservare il supporto fisico di memorizzazione si potrà ricorrere a tecniche distruttive quali il c.d. “chip off”, ovvero la rimozione fisica dei componenti dalla scheda logica per un accesso fisico al componente contenente la chiave privata da estrarre.
L’accesso ai dati del defunto contenuti negli account
Per quanto riguarda gli account, invece, la problematica di accesso ai dati assume contorni differenti, anche in ragione del fatto che l’account è legato ad una relazione contrattuale tra il fornitore del servizio della società dell’informazione e l’utente, in forza della quale quest’ultimo può usufruire di un servizio e di uno specifico ambiente virtuale, solitamente personalizzabile, avente determinati contenuti e singolari funzionalità.
La prima (oltre che più semplice) forma di acquisizione di beni digitali riconducibili ad un account del de cuius è l’accesso attraverso lo stesso (o gli stessi) device (personal computer, smartphone, tablet ecc.) in uso al defunto (se accessibili ab origine). In altre parole, i chiamati all’eredità possono tentare di accedere all’account del defunto, utilizzando il personal computer, il tablet o lo smartphone.
Gli elaboratori elettronici in generale e i programmi di navigazione (browser) in particolare, anche al fine di agevolare l’utente nell’accesso ai propri account, memorizzano infatti le credenziali di accesso ai diversi servizi in rete.
Gli strumenti giuridici per accedere ai dati del defunto
Qualora tale tentativo risultasse infruttuoso, l’unico strumento per poter accertare l’esistenza di dati riconducibili al defunto e (cercare di) entrarvi in possesso, è quello legale e, segnatamente:
- il GDPR;
- il D.lgs. 196/2003, come modificato dal D.lgs. 101/2018;
- il contratto con il fornitore del servizio
Tali strumenti, spesso da utilizzare in combinazione tra loro, si rivelano del resto gli unici in grado di consentire ai chiamati o agli eredi di ottenere legittimamente – senza cioè che possano essere mosse loro contestazioni sull’illecito utilizzo delle credenziali di accesso del defunto – tutti i dati ivi memorizzati in vita dal defunto.
Dati del defunto: cosa prevede il GDPR
Sebbene il considerando n. 27 del Regolamento UE n. 679/2016 statuisca che questo non si applichi ai dati personali delle persone defunte e rimetta agli Stati membri la previsione di norme riguardanti il trattamento dei dati personali delle persone decedute, il GDPR si rivela comunque il principale strumento giuridico per ottenere copie dei beni digitali appartenuti al defunto e memorizzati nell’account a questi riconducile.
Invero, il GDPR, oltre ad essere pienamente applicabile anche a tutti i titolari del trattamento che abbiano sede fuori dall’Unione Europea, ma che trattino dati di interessati che si trovano all’interno della UE (ex art. 3, par. 2, Regolamento UE n. 679/2016) contiene una norma, l’art. 6, par. 1, lett. b) e lett. f) certamente utilizzabile al fine di entrare in possesso dei beni ereditari.
Spesso i fornitori dei servizi della società dell’informazione, in particolare quelli di social network respingono le richieste dei chiamati o degli eredi, trincerandosi dietro la tutela della riservatezza sia del defunto sia, nei casi di “chat” o “conversazioni private”, delle controparti (rectius, partner) delle comunicazioni.[1] Le eccezioni sulla riservatezza risultano però del tutto inconsistenti.
Se è vero, infatti, che il contratto (atipico) per la fornitura di un servizio (o di un bene digitale) si trasferisce mortis causa come ogni altro rapporto contrattuale[2] (come meglio si dirà infra), è altrettanto vero che, anche ai fini dell’effettivo subentro degli eredi nel contratto (e, quindi, nella gestione dell’account) il trattamento dei dati del defunto relativi all’account (ivi compreso il trattamento dei dati dei partner di comunicazione) da parte degli eredi deve considerarsi lecito ex art. 6, par. 1, lett. b), prima ancora che necessario[3].
Il consenso prestato dal defunto, del resto, continua ad avere efficacia nei confronti degli eredi e, dunque, a rendere legittimo il trattamento[4].
Inoltre, gli eredi sono quasi sempre portatori di un “interesse legittimo”[5] ad accedere agli account del defunto (si pensi, ad esempio, all’interesse alla tutela di diritti derivanti dalla successione) ragione per la quale, anche prescindendo dal subentro nel contratto, potrebbe essere invocato anche l’art. 6, par. lett. f) che renderebbe comunque lecita la comunicazione dei dati del defunto e il loro trattamento[6].
Un ultimo aspetto su cui si ritiene possibile avanzare una legittima richiesta di accesso è quello legato alla tutela postuma del defunto. In forza della persistenza di interessi giuridicamente tutelabili in capo ai prossimi congiunti, questi potrebbero ottenere accesso ai dati del de cuius, una copia dei medesimi o richiedere la loro cancellazione[7].
I diritti riguardanti le persone decedute
La norma che però, più di tutte, si rivela efficace per entrare in possesso dei beni digitali ereditari è, qualora risulti applicabile la legge italiana, l’art. 2 terdecies, co. 1 del D.lgs. n. 196/2003, come modificato dal D.lgs. n. 101/2018, titolato “Diritti riguardanti le persone decedute”. L’art. 2 terdecies, co. 1, ha una portata dirompente in quanto consente di ottenere ex art. 15 del GDPR l’accesso non solo a tutti i dati anagrafici del defunto, bensì a tutte le informazioni allo stesso riconducibili “memorizzate” dal titolare del trattamento e, dunque, tutte le foto digitali, i video, le conversazioni, le registrazioni, i podcast, i file di testo[8].
Inoltre, l’art. 15 del GDPR non riconosce soltanto il diritto (e quindi l’obbligo del titolare) ad ottenere accesso ai dati, ma anche quello di riceverne una copia gratuita, salvo che ovviamente l’esercizio di tale diritto non sia lesivo di diritti o libertà di altre persone fisiche[9].
Legittimati a tale richiesta sono coloro tutti che hanno un interesse proprio, che agiscono a tutela dell’interessato, in qualità di mandatari o per ragioni familiari meritevoli di protezione, dunque soggetti che potrebbero essere titolari di un diritto acquisito mortis causa o legittimati iure proprio[10].
Alla luce di quanto sopra esposto, i portatori di un interesse legittimo potranno avanzare ai singoli fornitori di servizi della società dell’informazione specifiche richieste di accesso ai (e copia dei) dati personali “contenuti” negli account semplicemente provando: il decesso del titolare[11]; il titolo in forza del quale agiscono; la riconducibilità al de cuius del servizio digitale prestato.
La prova del decesso potrà essere facilmente offerta attraverso un semplice certificato di stato civile estraibile presso l’anagrafe di Stato. Altrettanto semplice sarà provare il titolo in forza del quale si agisce, ovvero la propria qualità di chiamato all’eredità (o di erede), grazie ad una dichiarazione di notorietà o al c.d. certificato successorio europeo di cui al Regolamento UE n. 650/2012.
Più difficoltoso potrebbe, invece, rivelarsi il conseguimento della prova della riconducibilità dell’account al de cuius per le ragioni sopra viste. Tuttavia, una possibile soluzione potrebbe essere rinvenuta anche in questo caso nell’atto di notorietà, ovverosia nella dichiarazione resa da due o più soggetti, estranei alla vicenda successoria, che confermino, ad esempio, che quel determinato account era riconducibile al defunto[12].
Ottenute le informazioni di cui sopra, i fornitori di servizi della società dell’informazione prevedono spesso, una valutazione interna sull’ accoglimento dell’istanza di accesso e, in caso di esito positivo, la consegna di copia dei dati appartenuti al defunto, ma quasi mai un accesso diretto all’account o la comunicazione della password di accesso al medesimo.
_
Note e bibliografia
[1] G. Resta, La successione nei rapporti digitali e la tutela post mortale dei dati personali, in in Contr. e impr., 2019., p. 99.
[2] Mattera, La successione nell’account digitale. Il caso tedesco, cit., p. 703. BGH, 12 luglio 2018, n. 183/17, cit., p. 703.
[3] G. Resta, La successione nei rapporti digitali e la tutela post mortale dei dati personali, cit., p. 99;.
[4] Mattera, La successione nell’account digitale. Il caso tedesco, cit., p. 706.
[5] BGH, 12 luglio 2018, n. 183/17, cit.,700;.
[6] G. Resta, La successione nei rapporti digitali e la tutela post mortale dei dati personali, in in Dir. inf. e inform., 2018., p. 99.
[7] Camardi, L’eredità digitale. Tra reale e virtuale, cit., p. 80.
[8] Ricci, I diritti dell’interessato, in AA.VV. Il nuovo Regolamento europeo sulla privacy e sulla protezione dei dati personali, Zanichelli, 2017, p. 185.
[9] Ricci, I diritti dell’interessato, cit., p. 186.
[10] G. Resta, La successione nei rapporti digitali e la tutela post mortale dei dati personali, cit., p. 99.
[11] Berti – Zanetti, La trasmissione mortis causa del patrimonio e dell’identità digitale: strumenti giuridici, operativi e prospettive de iure condendo, in Law and Media Working Paper Series, n. 18/2016, cit., p. 19.
[12] Bechini, Identità Digitale, in AA.VV. Identità ed eredità digitali, stato dell’arte e possibili soluzioni, Aracne, 2016, p. 51.