Professor Ziccardi, Lei è autore del libro Il libro digitale dei morti. Memoria, lutto, eternità e oblio nell’era dei social network pubblicato per i tipi di UTET che tratta di un tema divenuto di strettissima attualità: che ne sarà dei nostri dati alla nostra dipartita. Cosa dice la legge al riguardo?
Il libro digitale dei morti. Memoria, lutto, eternità e oblio nell'era dei social network Giovanni ZiccardiCi sono tre aspetti, sul punto, che entrano in gioco: il diritto, la volontà della persona quando è in  vita e le modalità con cui le piattaforme, “dentro” i social, affrontano il problema.
Il diritto è molto sviluppato negli ordinamenti nordamericani, dove oltre 30 stati hanno già una legge che disciplina le eredità digitali, e molto arretrato in Europa, dove non ci sono ancora iniziative ad hoc (tranne una recente proposta spagnola). Ci si deve, allora, affidare o all’ordine di un giudice o alle volontà così come sono espresse quando l’utente opera sulle piattaforme.
I fornitori di piattaforme di social network e i provider di servizi di posta elettronica e di spazi sul cloud cercano così, quotidianamente, di mediare tra le indubbie esigenze di privacy dei clienti/utenti defunti – si pensi, ad esempio, alla gestione dei milioni di messaggi privati con allegati che circolano nei canali chat dei profili, e che molti utenti vorrebbero mantenere segreti – e le istanze di parenti e amici per apprendere i dati di un parente deceduto o per celebrare, anche online, il ricordo di una persona.
Le grandi aziende tecnologiche mirano, di solito, ad anticipare la volontà dell’utente medio, dando la possibilità ai loro clienti di nominare, tramite “finti testamenti” (che, in realtà, sono semplici atti privati), degli eredi digitali, oppure cristallizzando un profilo facendolo diventare commemorativo e immodificabile (in poche parole: una lapide, o tempietto digitale) o, ancora, conservando tutti i tweet o i messaggi scambiati in una sorta di memoria digitale postuma e accessibile a chi dimostrerà di averne diritto.
Non è facile, anche nell’ambiente digitale, conciliare le esigenze di tutti gli eredi, e si generano allora ulteriori quesiti che il diritto non è sempre in grado di risolvere.
Come si può riuscire ad accedere ai dati del parente defunto, ad esempio, se l’azienda che li gestisce – si pensi a un grande provider di account di posta elettronica, anche gratuito – decide di non collaborare e, per di più, ha la sede all’estero? È indispensabile, in casi simili (che sono più comuni di quanto si pensi) nominare un avvocato che viaggi oltreoceano, con relativi costi, semplicemente per accedere alla posta elettronica di un defunto del quale non si hanno le credenziali di accesso?
A onor del vero, dal punto di vista tecnico-informatico le piattaforme di social network sono, da diversi anni, all’avanguardia anche sotto questi aspetti.
Facebook, ad esempio, sin dal 2011 ha previsto esplicitamente le ipotesi del “profilo commemorativo” e del “contatto erede” al fine di consentire soltanto agli amici più stretti del defunto, o a una persona di assoluta fiducia, la possibilità di continuare a gestire il suo profilo.
Allo stesso tempo, però, ci può essere chi non vuole rimanere visibile ma desidera, invece, cancellare tutti i suoi dati e disattivare account e profilo. Può esistere chi, in altre parole, oltre che morire da un punto di vista fisico, desideri morire anche da un punto di vista digitale.
Twitter, in tal senso, ha fatto la scelta di permettere la cancellazione delle informazioni di un utente dopo sei mesi d’inattività. Google, dal canto suo, consente a ciascun utente di impostare volontariamente il proprio account come “inattivo” – una sorta di “morte digitale apparente” – per un periodo massimo di diciotto mesi.
Le soluzioni tecnologiche adottate dai grandi operatori per gestire questi aspetti della morte e dell’eredità digitale sono spesso molto differenti tra loro e, soprattutto, sono in corso di costante aggiornamento.
Anche i notai italiani già si stanno interessando alla nozione di eredità digitale, soprattutto quando i beni digitali sono simili, dal punto di vista del valore, ai beni fisici.
Si cerca, anche in questo caso, di anticipare le volontà, o di suggerire un mandatario post mortem per il digitale: una persona cui consegnare tutti i codici e cui impartire istruzioni sui limiti d’azione quando verrà il momento. C’è, infatti, chi vorrebbe i dati tutti cancellati, chi preferirebbe trasferirli ai parenti, chi desidererebbe mantenerne in vita solo una parte, e così via.

Il web non dimentica: lo dimostrano le numerose vicende di cronaca al riguardo. Come è possibile difendersi?
Che il dato digitale abbia una grande capacità di resistenza, è cosa nota. Un passaggio critico, che ha aperto una voragine interpretativa negli ultimi due anni, che costituirà una sfida importante per giuristi e tecnici del futuro e sul quale, forse, è un po’ prematuro trarre conclusioni, è il problema di come garantire un oblio – sempre che se ne ravvisi l’opportunità – in un ambiente digitale che, al contrario, fa di tutto per mantenere i dati in vita. Per non cancellarli, insomma.
Il diritto all’oblio solleva conflitti con il diritto alla libera informazione e manifestazione del pensiero, con la privacy, con il diritto di cronaca e di conoscenza, ma anche con il diritto delle persone a essere dimenticate, in alcune parti della loro esistenza, per poter ricominciare e per non portare sempre con loro aspetti che possano condizionarle nella società in cui vivono.
Se si riconosce il diritto all’oblio come un segnale di civiltà in una società tecnologica che tende, invece, a profilare la persona, allora occorre fare di tutto per cercare di garantirlo almeno fino a un certo livello, dal momento che un oblio tecnico è impossibile da assicurare completamente.
Da un punto di vista giuridico, il diritto all’oblio è stato consacrato nel 2014 dalla sentenza “Google Spain” della Corte di Giustizia dell’Unione Europea (Causa C-131/12, decisione del 13 maggio 2014). Si tratta di una sentenza che ha generato, però, quello che è stato da più parti definito come un transatlantic divide: gli Stati Uniti d’America, il luogo dove sono nate e operano tutte le più importanti società che oggi raccolgono dati, non hanno accolto con piacere questa sentenza, dal momento che ha creato una categoria giuridica lontana dal loro ordinamento e dal loro modo di regolamentare le tecnologie in rapporto alla libertà di manifestazione del pensiero e al Primo Emendamento. Categoria giuridica che richiederà un ripensamento di parte del loro business per far fronte alle numerose richieste di rimozione delle informazioni. Ciò significa, in pratica, che l’Europa già sta prospettando sanzioni spesso spropositate per costringere i grandi operatori a reagire in maniera rapida alle numerose domande che stanno pervenendo, e che arriveranno, per rimuovere i contenuti.
Un sistema di regolamentazione tecnologica che, però, si voglia reggere soltanto sulla minaccia di sanzioni, e che non nasca da un processo di dialogo e di confronto tra Europa e Stati Uniti d’America, rischia di dimostrarsi, già sul breve periodo, molto fragile.

Quali sono i paesi al mondo con le legislazioni più avanzate in materia?
Gli Stati Uniti d’America sono stati i primi a cercare di disciplinare con legge le questioni cui ho fatto cenno poco sopra e a interessarsi a riforme normative statali che regolamentassero questo delicato aspetto. A oggi sono oltre trenta gli Stati che hanno una norma specifica per la regolamentazione dell’eredità digitale o che hanno in cantiere, e stanno discutendo, un progetto di legge.
Queste discipline nordamericane si assomigliano tutte: pongono al centro il problema di come si possa accedere agli account dei defunti, e sostengono una necessità di regole dal momento che l’ambiente online prevederebbe vincoli molto più restrittivi rispetto alla gestione dei beni tradizionali.
Negli Stati Uniti d’America, in particolare, i grandi provider di servizi online (che hanno, come è noto, il monopolio mondiale sia nei servizi di e-mail che di social network e cloud) si appellano, in questi casi, a una normativa federale sulla privacy che è ben precedente alla diffusione dei beni digitali (e anche dei social network) ma che garantisce un alto livello di protezione al titolare dell’account o del servizio ed è, quindi, in grado di mettere in difficoltà gli eredi che cercano di ottenere informazioni digitali relative al defunto.
Questa normativa sulla privacy, semplificando molto, sostiene che i provider non possano rilasciare i dati a meno che il titolare dell’account non abbia dato esplicitamente il permesso o, in caso negativo, a meno che non intervenga l’ordine di un tribunale.
La legge nordamericana prevede così due livelli di tutela che, in un certo senso, “blindano” gli account, i profili e gli spazi su cloud di persone defunte: una prima disciplina rivolta ai provider, che impone loro, come regola commerciale, di non rivelare a terzi i dati dei clienti, e una seconda disciplina più focalizzata sulla privacy che mette al centro i diritti post mortem dell’utente di non vedere diffusi i dati che lo riguardano.
Questo approccio molto rigido ha creato un quadro, oltreoceano, che ha portato al risultato per cui molte famiglie che non potevano dimostrare la volontà del defunto di lasciare loro le credenziali si vedevano costrette o a sostenere spese di giudizio per ottenere un ordine di un tribunale, o a cercare di accedere ai dati e ai servizi in altro modo (contattando, ad esempio, un hacker) o ancora, nella maggior parte dei casi, a rinunciare a informazioni e ricordi.
Le recenti leggi cui ho fatto cenno poco sopra, e che sono state quasi tutte emanate negli ultimi tre anni, cercano di portare un po’ di equilibrio in un simile quadro abbastanza vincolante, pur mantenendo le esigenze di privacy del defunto.
Si veda, ad esempio, l’approccio della normativa dello Stato dell’Illinois, che è una delle più recenti (fine 2016). In tal caso, il testo della legge cerca di chiarire, innanzitutto, quali siano i dati che possono essere rilasciati ai parenti da parte delle società che forniscono servizi Internet senza particolari formalità quando un utente muore e, al contrario, quali siano i casi in cui, invece, le informazioni debbano rimanere inaccessibili.
In linea di principio si dispone che, a meno che l’utente non abbia espresso una volontà contraria, il provider rilascia solamente le informazioni di base di un utente (ad esempio, la lista dei contatti delle e-mail), ossia quelle informazioni che possono servire o a trovare/ricontattare degli amici o a elaborare una sorta di inventario dei suoi beni digitali. Per avere, invece, accesso ai contenuti delle e-mail, delle chat e dei dati memorizzati nel cloud occorre che gli eredi forniscano informazioni dettagliate sulla loro identità e sui motivi della richiesta.
Vi è, in definitiva, quasi ovunque un tentativo di bilanciare le esigenze degli eredi di conoscere con le eventuali esigenze di privacy, o le manifestazioni di volontà contraria, del defunto.
Al contempo, si cerca di facilitare quella che è una “prima raccolta di informazioni” per fini organizzativi della successione, ma si esige un controllo accurato nel momento di diffusione dei contenuti.
In alcuni Stati si era anche proposto di far sì, per legge, che gli eredi “fisici” (ossia quelli che venivano legittimati a gestire il patrimonio reale, come denaro, immobili e altri beni) avessero anche automaticamente un accesso a tutti i dati digitali. Simili proposte non sono ancora state accolte. Il fine era quello di equiparare completamente la possibilità di accesso ai beni materiali e la possibilità di recuperare i dati digitali, ma ciò è stato visto come un procedimento capace di incidere sensibilmente sulla privacy del defunto.

Come evolverà a Suo avviso il tema del diritto all’oblio?
Una richiesta collettiva di cancellazione dei dati sui social network è oggi spesso sollevata da gravissimi fatti di cronaca che rendono manifesta questa impossibilità di interrompere la circolazione di un dato digitale dopo che è entrato nel circuito online o dei social network. Il caso più clamoroso nel 2016 in Italia è stato quello che ha riguardato Tiziana Cantone, una ragazza che si è suicidata dopo essersi scontrata con la difficoltà pratica di rimuovere dalla rete determinate informazioni che la riguardavano. Non si tratta di un caso di applicabilità dell’ipotesi del diritto all’oblio citata poco sopra – le informazioni fatte circolare erano esito di un crimine – ma comunque collegato alle capacità di resistenza del dato digitale online e alla memoria perenne della rete. Spesso simili sollevazioni popolari, però, portano a reazioni normative a volte caratterizzate più da fretta e imprecisione che da accuratezza giuridica e che vanno a toccare direttamente le tecnologie e non il cuore del problema.
Il panorama attuale sembra sempre di più connotarsi con le forme di un tempo dove non si può rimuovere la memoria.
Ci stiamo dirigendo verso una società dell’informazione dove la memoria sarà condizionata dai motori di ricerca e dagli algoritmi e dove, soprattutto, la dimenticanza non sarà più possibile? I ricordi sfumati di una città, di un fatto, saranno sempre pronti per essere resuscitati? O, al contrario, la società e il diritto riusciranno a reagire al fine di garantire a tutti anche il diritto di essere dimenticati? Di sicuro non sarà una battaglia da combattere contro la tecnologia ma con la tecnologia, anche se oggi il trattamento dei dati avviene più per profilare l’utente, e ricavare profitto dalle sue azioni, che per proteggerlo. Una nuova attenzione all’oblio nell’era digitale richiederà probabilmente anche un cambio radicale dell’impostazione economica e volta al massimo profitto dell’attuale società dell’informazione. Un procedimento, quest’ultimo, a dir poco complesso.