L’art. 2terdecies del D.Lgs. 101/2018 attuativo del GDPR prevede che l’esercizio dei diritti relativi a dati personali riguardanti le persone decedute possano essere esercitati solo da chi abbia un interesse proprio o agisca in tutela dell´interessato o per ragioni familiari meritevoli di protezione, ad eccezione che la legge preveda diversamente o quando, con riferimento ai dati personali raccolti dai servizi della società dell’informazione, l’interessato lo abbia espressamente vietato con  dichiarazione  scritta   presentata  o comunicata al titolare del trattamento nella quale la sua volontà, specifica libera ed informata, risulti in modo non equivoco. Unico ostacolo posto alla volontà espressa dell’interessato è l’ipotesi che  dal divieto di esercitare i predetti diritti derivino effetti pregiudizievoli per l’esercizio, da parte di terzi, dei diritti patrimoniali conseguenti alla morte dell’interessato e del diritto di difendere i propri interessi in giudizio: in questo caso anche se il defunto ha dichiarato di non voler consentire l’accesso ai dati, il titolare del trattamento deve comunque accogliere la richiesta dei terzi eredi o aventi causa.

Sul tema si è pronunciata con sentenza del 12 luglio 2018 la Corte di Cassazione (BGH) di Karlsruhe la quale, in aperto contrasto con la pronuncia della Corte d’Appello di Berlino del 2017 che aveva negato il diritto degli eredi, nella fattispecie i genitori di una ragazza di quindici anni, ad accedere ai contenuti del profilo facebook della figlia, ha statuito che “il contratto che riguarda l’account di un utente con un social network è trasferito agli eredi del detentore originario dell’account” e che gli eredi “hanno diritto a rivendicare dall’operatore l’accesso all’account, compresi i dati della comunicazione”.

La suddetta pronuncia ha un’eccezionale rilevanza in quanto ha riconosciuto per la prima volta l’esistenza di una vera e propria “eredità digitale”, equiparando password, profilo social, post e messaggi privati a beni materiali del de cuius.