ago 31 2018

Autore: Avv. Fabrizio Corona

La Cassazione sul consenso al trattamento dei dati personali


Il caso esaminato dalla Cassazione riguarda un servizio di Newsletter (relativo al campo della finanza, del fisco, del diritto e del lavoro), offerto da una società tramite un portale web

Corte di Cassazione, sez. I Civile, sentenza n. 17278/2018: newsletter, e-mail pubblicitarie e consenso.

Il caso esaminato dalla Cassazione con la menzionata sentenza, riguarda un servizio di Newsletter (relativo al campo della finanza, del fisco, del diritto e del lavoro), offerto da una società tramite un portale web.

Per ottenere l’invio della newsletter era richiesto all’utente l’inserimento del proprio indirizzo e-mail e, in calce al “form” di raccolta dati, era presente una casella di spunta (c.d. “checkbox”) con la quale il contraente poteva esprimere il consenso “al trattamento dei dati personali”.

Nel caso in cui, però, si decideva di inviare la richiesta di iscrizione senza validare la casella del consenso, non era possibile accedere al servizio e appariva il messaggio “è richiesta la selezione della casella”. Tuttavia, non veniva spiegato cosa si intendesse per “trattamento dei dati personali” e quali effetti producesse.

L’utente poteva, però, visionare la normativa sulla privacy attraverso un link ipertestuale che, una volta cliccato, specificava che i dati personali acquisiti attraverso l’iscrizione alla newsletter sarebbero stati utilizzati non solo per la fornitura di tale servizio, ma anche per l’invio di comunicazioni promozionali nonché di informazioni commerciali da parte di terzi.

Garante provvedimento privacy

Garante provvedimento privacy

Il Garante della Privacy, con proprio provvedimento (n. 427 del 25 settembre 2014), aveva:

  • ritenuto illecito tale tipo di trattamento posto in essere per finalità promozionali non avendo, la società fornitrice delle newsletter, ottenuto un consenso libero e specifico dagli interessati.
  • vietato il trattamento dei dati personali già raccolti, degli utenti registrati al servizio di newsletter per le finalità di invio di messaggi promozionali, ferma restando l’utilizzabilità degli stessi per la fornitura dei servizi.
  • aveva prescritto alla società, che qualora quest’ultima avesse inteso continuare ad utilizzare lo strumento della posta elettronica per l’invio di comunicazioni promozionali, di adottare le misure necessarie e opportune, atte a garantire agli interessati di esprimere uno specifico consenso sul punto.

Tale provvedimento dell’Autorità garante veniva impugnato dalla società colpita, ai sensi dell’art. 152 Codice della Privacy, avanti il Tribunale di Arezzo.

Con sentenza del 29 aprile 2016 il Tribunale di Arezzo ha accolto l’opposizione proposta dalla società, reputando che il consenso espresso dagli utenti venisse, invece, liberamente prestato.

Avverso la sentenza ricorreva in Cassazione il Garante della Privacy, denunciando la violazione e falsa applicazione degli articoli 23 e 130 del Codice della privacy, in relazione all’articolo 360, primo comma, numero 3, c.p.c.: “secondo il Garante, il Tribunale avrebbe errato nel ritenere che le Linee guida da esso elaborate costituissero un’integrazione del precetto posto dall’articolo 23 del Codice della privacy, giacché esse recavano invece soltanto la corretta interpretazione del dato normativo, alla luce del quale occorreva che il consenso al trattamento dei dati personali fosse espresso liberamente e specificamente, mancando nel caso di specie una specifica manifestazione di volontà volta alla ricezione di messaggi promozionali via mail, essendo obbligatorio prestare il consenso alla loro ricezione per potersi iscrivere al servizio di newsletter offerto dalla società”.

LEGGI ANCHE: Il GDPR, solamente un costo per le aziende o vera utilità?

Sentenza corte suprema sul trattamento

Nella citata sentenza la Suprema Corte, rammenta, in primo luogo, che l’art. 23 del Codice della Privacy (D. Lgs. n. 196/2003) stabilisce che:

  • il trattamento di dati personali è ammesso solo con il consenso espresso dall’interessato.
  • il consenso può riguardare l’intero trattamento ovvero una o più operazioni dello stesso.
  • il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto e se sono stare rese all’interessato le informazioni di cui all’art. 13.

Il citato articolo 23 reca così uno dei principi fondanti della materia giacché pone quella che è la regola generale per il trattamento dei dati: fatti salvi i casi che nella presente vertenza non rilevano, il consenso è condizione della liceità del trattamento.

Lo stesso Regolamento UE 2016/679 (GDPR), definisce all’art. 4 il consenso dell’interessato come “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.

Al considerando 32 aggiunge che “il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento”.

Ci si pone il problema dell’identificazione e delimitazione della nozione di consenso adottata dal legislatore con il richiamato articolo 23.

Identificazione e delimitazione nozione consenso

Identificazione e delimitazione nozione consenso

Secondo la Cassazione, è anzitutto da escludere che il consenso considerato da tale disposizione sia semplicemente il medesimo consenso in generale richiesto a fini negoziali, ossia il consenso prestato da un soggetto capace di intendere e volere e non viziato da errore, violenza o dolo, ovvero, in determinati frangenti, da pericolo o da bisogno: consenso, quello così previsto, che pur sussiste quantunque perturbato, al di sotto di una determinata soglia, in ragione dei vizi indicati, secondo quanto risulta dagli articoli 1428, 1435 e 1439 c.c..

Tale lettura, non esaustiva dell’articolo 23 non ha fondamento, almeno per due ragioni:

  • in primo luogo, se il consenso dovesse essere inteso nella medesima accezione in cui esso è di regola richiesto a fini negoziali, la norma del Codice della privacy sarebbe superflua, non potendosi dubitare che, anche senza di essa, un trattamento dei dati senza consenso non sia ipotizzabile, dal momento che i dati personali costituiscono beni attinenti alla persona.
  • in secondo luogo, il legislatore non discorre qui di un generico consenso, bensì di un consenso manifestato oltre che espressamente, liberamente e specificamente, a condizione che all’interessato siano state previamente offerte le informazioni elencate dall’articolo 13 del Codice della privacy.

Un consenso, quindi, che potremmo definire “rafforzato”, previsto per “rimediare alla intrinseca situazione di debolezza dell’interessato”.

Può dunque dirsi che il consenso in questione debba essere ricondotto alla nozione di “consenso informato”, ampiamente impiegata in taluni settori in cui è particolarmente avvertita l’esigenza di tutelare la pienezza del consenso, in vista dell’esplicazione del diritto di autodeterminazione dell’interessato, attraverso la previsione di obblighi di informazione contemplati in favore della parte ritenuta più debole.

Ciò trova conferma nella previsione secondo cui le informazioni che devono essere fornite all’interessato prima che questi esprima il suo consenso.

Ne discende che il consenso in discorso, alla luce del dato normativo, è tale da non ammettere compressioni di alcun genere e non sopporta di essere sia pure marginalmente perturbato: deve trattarsi di un consenso libero, ossia pienamente consapevole ed informato e non già frutto di alcun condizionamento, e specifico, ossia inequivocabilmente riferito a ciascun particolare effetto del trattamento.

Bisogna poi capire se il condizionamento di cui si è detto, tale da far si che il consenso non sia conforme al dettato normativo, possa essere ravvisato nell’ipotesi in cui l’offerta di un determinato servizio da parte del gestore di un sito Internet sia condizionato al rilascio del consenso all’utilizzo dei dati personali per il successivo invio, da parte di terzi, di messaggi pubblicitari.

Consenso conforme al dettato normativo

La Corte ritiene che “che la risposta al quesito non possa essere univoca e, cioè, che il condizionamento non possa sempre e comunque essere dato per scontato e debba invece essere tanto più ritenuto sussistente, quanto più la prestazione offerta dal gestore del sito Internet sia ad un tempo infungibile ed irrinunciabile per l’interessato, il che non può certo dirsi accada nell’ipotesi di offerta di un generico servizio informativo del tipo di quello in discorso, giacché all’evidenza si tratta di informazioni agevolmente acquisibili per altra via”.

“Non può allora essere condiviso l’argomento svolto dal giudice di merito secondo cui”, continua la Corte “si finirebbe per delineare una sorta di obbligo tout court, per il gestore del portale, di offrire comunque le proprie prestazioni, a prescindere dalla prestazione del consenso al trattamento dei dati personali da parte dell’utente”.

Nulla, infatti, impedisce al gestore del sito di negare il servizio offerto a chi non si presti a ricevere messaggi promozionali, mentre ciò che gli è vietato è utilizzare i dati personali per somministrare o far somministrare informazioni pubblicitarie a colui che non abbia effettivamente manifestato la volontà di riceverli.

Il consenso oltre che libero deve essere specifico, ed è chiaro che il requisito della specificità si pone in stretto collegamento con quello della libertà “giacché la libertà della determinazione volitiva in ordine al trattamento dei dati personali non sarebbe neppure astrattamente configurabile, nel suo atteggiarsi quale consenso informato, se non fosse univocamente indirizzata alla produzione di effetti che l’utente abbia preventivamente avuto modo di rappresentarsi, singolarmente, con esattezza”.

Pertanto, l’interessato deve essere posto in condizione di raffigurarsi, in maniera inequivocabile, gli effetti del consenso prestato al trattamento dei suoi dati, tanto che, “se detto consenso comporta una pluralità di effetti, lo stesso va singolarmente prestato in riferimento a ciascuno di essi, di modo che, con totale trasparenza, risulti palese che proprio ciascuno di tali effetti egli ha voluto”.

Consenso trattamento dati specificatamente prestato

Dunque, non può dirsi che il consenso sia specificatamente prestato nel caso in cui “ove gli effetti del consenso non siano indicati con completezza accanto ad una specifica «spunta» apposta sulla relativa casella di una pagina Web, ma siano invece descritti in altra pagina Web linkata alla prima, non vi sia contezza che l’interessato abbia consultato detta altra pagina, apponendo nuovamente una diversa «spunta» finalizzata a manifestare il suo consenso”.

Inoltre, secondo gli Ermellini, perché il consenso possa essere detto specifico, lo stesso non può essere “genericamente riferito a non meglio identificati messaggi pubblicitari, sicché colui il quale abbia chiesto di fruire di un servizio di informazioni giuridico-fiscali, si debba vedere poi raggiunto da pubblicità di servizi o prodotti non attinenti alle ricerche effettuate”.

Ne consegue che, può dirsi specifico, per questo aspetto, il consenso se riferito “ad un trattamento chiaramente individuato”, il che comporta la necessità, almeno, dell’indicazione dei settori merceologici o dei servizi cui i messaggi pubblicitari saranno riferiti.

In definitiva, la Corte riassumendo quanto indicato fino a questo punto, afferma che “in tema di consenso al trattamento dei dati personali, la previsione dell’articolo 23 del Codice della privacy, nello stabilire che il consenso è validamente prestato solo se espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, consente al gestore di un sito Internet, il quale somministri un servizio fungibile, cui l’utente possa rinunciare senza gravoso sacrificio (nella specie servizio di newsletter su tematiche legate alla finanza, al fisco, al diritto e al lavoro), di condizionare la fornitura del servizio al trattamento dei dati per finalità pubblicitarie, sempre che il consenso sia singolarmente ed inequivocabilmente prestato in riferimento a tale effetto, il che comporta altresì la necessità, almeno, dell’indicazione dei settori merceologici o dei servizi cui i messaggi pubblicitari saranno riferiti”.

Quindi la Corte, accogliendo il ricorso proposto dal Garante, cassa la sentenza impugnata e, decidendo nel merito, rigetta l’opposizione proposta dalla Società X nei confronti dell’ Autorità Garante per la Protezione dei Dati Personali.

LEGGI ANCHE: GDPR in sintesi

Un’ultima precisazione è doverosa

la sentenza è stata pronunciata l’11 maggio 2018, quando era ancora in vigore la Direttiva 95/46/Ce, abrogata a partire dal 25 maggio scorso, data di applicazione del nuovo Regolamento UE 2016/679 in materia di privacy.

La sentenza fa quindi riferimento al consenso così come disciplinato dal Codice della Privacy, emanato in attuazione della vecchia Direttiva va calato, quindi, nella nuova disciplina dettata dal Regolamento considerando che, sicuramente il GDPR in tema di consenso è più specifico e dettagliato.

Autore: Matteo Migliore

Matteo Migliore - Fondatore di LEGALDESK

Mettiti in contatto su LinkedIn

Clicca su Mi piace!


LEGALDESK

Categoria

Privacy


ARTICOLI CONSIGLIATI