La Cassazione è recentemente intervenuta, con la sentenza n. 17278/2018, su un caso di trattamento di dati personali effettuato in mancanza di consenso conforme alle disposizioni previste dal Codice della privacy.
Il fatto
L’Autorità garante per la protezione dei dati personali inibiva ad una Società, specializzata in pubblicità interattiva, il trattamento dei dati personali a fini promozionali, non avendo quest’ultima ottenuto un consenso libero e specifico degli interessati ex artt. 23 e 130 del D.Lgs 196/2003.
L’utente per accedere al servizio di newsletter offerto dalla Società si iscriveva inserendo il proprio indirizzo e-mail ma l’iscrizione andava a buon fine esclusivamente fornendo il consenso al trattamento dei dati personali, senza alcuna specifica in punto alle modalità nonché agli effetti che questo avrebbe prodotto.
Avverso il provvedimento del Garante della privacy la suddetta Società proponeva opposizione dinanzi al Tribunale di Arezzo.
L’adito Tribunale accoglieva l’opposizione ritenendo che non vi era stata alcuna violazione da parte della ricorrente (“…si era in presenza di un servizio prestato ad utenti che del tutto liberamente e volontariamente avevano optato per l’adesione allo stesso…”) e che la norma, che si reputava violata, non era suscettibile di essere integrata con la previsione di obblighi. Obblighi, peraltro, introdotti da linee guida adottate dallo stesso Garante ad integrazione del dato normativo.
Successivamente il Garante delle Privacy impugnava la decisione dinanzi la Corte di Cassazione che, con la sentenza del 2 luglio 2018 n. 17278, ne ribaltava il giudizio.
A dire dell’Autorità Garante le linee guida adottate indicavano meramente la corretta interpretazione della norma, ribadendo che nel caso di specie mancava una specifica manifestazione di volontà volta alla ricezione di messaggi promozionali via mail, essendo obbligatorio prestare il consenso alla loro ricezione per potersi iscrivere al servizio di newsletter che offriva la società.
Difatti i dati personali acquisiti attraverso l’iscrizione alla newsletter venivano utilizzati non solo per la fornitura di tale servizio, ma anche per l’invio di comunicazioni promozionali nonché di informazioni commerciali da parte di terzi.
La Corte di Cassazione dapprima si sofferma sulla nozione di “consenso”, ponendo l’attenzione sul consenso nelle fattispecie negoziali escludendo che il consenso considerato dal Codice della privacy sia il medesimo consenso “generico” richiesto a fini negoziali, altrimenti l’art. 23 del D.lgs 196/2003 non avrebbe senso di esistere.
Inoltre, i dati personali costituiscono beni attinenti alla persona e, per tale ragione, devono godere di una particolare forma di tutela. Il Legislatore ha riservato per essi un consenso “rafforzato” riconducibile al c.d. consenso informato: “… consenso manifestato, oltre che espressamente, liberamente e specificamente, a condizione che all’interessato siano state previamente offerte le informazioni elencate dall’articolo 13 del Codice della privacy.”
L’evoluzione tecnologica, caratterizzata da una spiccata pervasività, nonché il trattamento in massa dei dati personali possono compromettere la sfera dell’utente ponendolo in una condizione sfavorevole.
Nasce, pertanto, l’esigenza di tutelare l’interessato e la normativa in questione assolve appunto questa funzione: tutelare la pienezza del consenso in vista dell’esplicazione del diritto di autodeterminazione del soggetto, attraverso la previsione di obblighi di informazione a carico del titolare del trattamento.
In ultimo, con riferimento al caso di cui si tratta, gli Ermellini si soffermano sulla possibilità che l’esecuzione del contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento dei dati personali non necessario all’esecuzione del contratto.
Secondo il Giudice di merito, a conferma della tesi sostenuta dal Garante, in capo al gestore del portale si delinea l’obbligo di offrire le proprie prestazioni, a prescindere della prestazione del consenso al trattamento da parte dell’utente.
La Suprema Corte corregge il tiro ritenendo che ciò che è interdetto al titolare del trattamento è utilizzare i dati personali per somministrare o far somministrare informazioni pubblicitarie a colui che non abbia effettivamente manifestato la volontà di riceverli, rimanendo ferma la possibilità di condizionare l’esecuzione del contratto alla prestazione del consenso.
La sentenza impugnata quindi, oltre ad avere adottato un concetto di consenso “generico” non conforme alle disposizioni del D. Lgs 196/2003, ha erroneamente imposto al gestore del portale di offrire il servizio anche a chi non si presti a ricevere messaggi promozionali.
Secondo la Cassazione infatti:“..In tema di consenso al trattamento dei dati personali, la previsione dell’articolo 23 del Codice della privacy, nello stabilire che il consenso è validamente prestato solo se espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, consente al gestore di un sito Internet, il quale somministri un servizio fungibile, cui l’utente possa rinunciare senza gravoso sacrificio (nella specie servizio di newsletter su tematiche legate alla finanza, al fisco, al diritto e al lavoro), di condizionare la fornitura del servizio al trattamento dei dati per finalità pubblicitarie, sempre che il consenso sia singolarmente ed inequivocabilmente prestato in riferimento a tale effetto, il che comporta altresì la necessità, almeno, dell’indicazione dei settori merceologici o dei servizi cui i messaggi pubblicitari saranno riferiti».
Il consenso al trattamento dei dati personali
Il titolo III del codice della Privacy pone le regole generali per il trattamento dei dati. Non a caso qui vi si colloca l’art. 23 ritenuto uno dei principi fondanti della materia, secondo il quale il consenso è condizione di liceità del trattamento.
Per consenso si intende: «qualsiasi manifestazione di volontà libera, specifica e informata con la quale la persona interessata accetta che i dati personali che la riguardano siano oggetto di un trattamento», come specificato nel dettato dall’articolo 2, lettera h) della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995.
Così come ulteriormente chiarito dall’undicesima delle definizioni date in apertura del Regolamento (UE) 2016/679 del Parlamento europeo e del consiglio del 27 aprile 2016 (c.d. GDPR – General Data Protection Regulation), secondo il quale il “consenso dell’interessato” è inteso come: «qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento».
In conclusione
Alla luce delle considerazioni svolte, ai fini del trattamento dei dati personali sarà necessario ottenere un consenso espresso LIBERAMENTE – privo di condizionamento – e SPECIFICAMENTE – inequivocabile -.
Il legislatore non vieta lo scambio di dati personali ma esige che tale scambio sia frutto di un consenso “chiaramente individuato”, univocamente indirizzato alla produzione di effetti che l’utente abbia avuto modo di rappresentarsi, preventivamente e singolarmente, con esattezza. Ne consegue che, se detto consenso comporta una pluralità di effetti — come nel caso di specie, in cui esso si estende alla ricezione di messaggi promozionali anche da parte di terzi — lo stesso va singolarmente prestato in riferimento a ciascuno di essi, di modo che, con totale trasparenza, risulti palese che proprio ciascuno di tali effetti egli ha voluto.
VP