Privacy e consenso dei dati personali via email ed sms

Il D.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali), prevede una rigida disciplina a tutela del diritto alla privacy, vietando il trattamento dei dati personali in assenza di consenso e obbligando il titolare del trattamento ad adottare tutte le cautele tecniche ed organizzative idonee a trattare i dati altrui in modo sicuro, nel rispetto dei diritti e delle libertà personali, nonché della dignità dell’interessato.

Oggetto della normativa sulla privacy sono quindi i “dati personali” (tra cui rientrano i dati sensibili e i dati giudiziari), ovvero tutte quelle le informazioni che identificano o rendono identificabile una persona fisica e che possono fornire dettagli sulle sue caratteristiche, abitudini, stile di vita, relazioni personali, orientamento sessuale, situazione economica, stato civile, stato di salute etc.

La legge stabilisce il principio della necessità del consenso al trattamento dei dati personali, che deve sempre essere libero e consapevole. La manifestazione del consenso da parte del soggetto interessato, infatti, costituisce uno dei principi cardine del trattamento dei dati personali: ai sensi dell’art. 23 del Codice, “il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell’interessato”.

Sulla base di tale norma, l’Autorità Garante della privacy ha sempre evidenziato come tale requisito debba essere inteso in termini selettivi, ritenendo indispensabile un consenso specifico per ogni finalità perseguita dal titolare del trattamento.

Il trattamento dei dati personali è inoltre ispirato ad un principio di necessità, in virtù del quale l’utilizzo di dati personali e identificativi è da escludere quando le medesime finalità possano essere realizzate mediante dati anonimi oppure modalità che permettano di identificare l’interessato solo in caso di necessità.

 PROVA LEGALDESK, IL GESTIONALE PER AVVOCATI

Trattamento dei dati personali e marketing

La normativa di riferimento, quindi, intende stabilire delle regole precise per permettere il trattamento dei dati personali, ma nel rispetto della riservatezza di ogni individuo.

I dati personali vengono spesso utilizzati per finalità di marketing, attraverso strumenti che sempre più facilmente permettono di svolgere comunicazioni in tempi rapidi e che prescindono dalla localizzazione geografica dei soggetti a cui vengono indirizzate.

Tuttavia, si tratta anche di tecnologie dotate di una spiccata pervasività rispetto alla sfera di riservatezza degli individui ed il loro utilizzo si accompagna, spesso, ad una attività di raccolta ed elaborazione di dati ed informazioni di natura personale che, in quanto tali, godono di una particolare forma di tutela.

Quali sono dunque i rapporti tra l’uso delle nuove tecnologie a fini di marketing e la protezione dei dati personali ?

L’Autorità Garante per la privacy è intervenuta al fine di interpretare l’art. 130 del Codice (intitolato alle “Comunicazioni indesiderate”), anche in relazione alla norma di cui all’art. 23, rispetto ai trattamenti dei dati personali svolti per finalità di cosiddetto marketing diretto, ossia per l’invio di materiale pubblicitario, di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale, attraverso il ricorso a strumenti automatizzati di contatto come la posta elettronica, il telefax, i messaggi del tipo mms (multimedia messaging service) o sms (short message service) o strumenti di altro tipo.

Con riguardo al trattamento svolto per finalità di “marketing diretto”, il menzionato art. 130 del Codice, al comma 1, prevede che l’uso di sistemi automatizzati di chiamata senza l’intervento di un operatore, sia consentito solo con il consenso del contraente o dell’utente.

Consenso, che, anche in tal caso, è da considerarsi validamente prestato solo se espresso liberamente e specificamente, oltre che documentato per iscritto, come sancisce la regola generale di cui all’art. 23 del Codice.

Tale previsione si applica anche, come dispone il comma 2 dell’art. 130, alle comunicazioni elettroniche effettuate, per le medesime finalità, mediante posta elettronica, telefax, messaggi del tipo mms o sms o strumenti di altro tipo.

Del resto, il citato art. 130, costituisce una norma speciale di diretta derivazione comunitaria, ricollegandosi all’art. 13, comma 1, della direttiva 2002/58/CE (cd. direttiva e-privacy), il quale dispone espressamente che “l’uso di sistemi automatizzati di chiamata senza intervento di un operatore (dispositivi automatici di chiamata), del telefax o della posta elettronica a fini di commercializzazione diretta, è consentito soltanto nei confronti degli abbonati che abbiano espresso preliminarmente il loro consenso”.

La ratio della norma risiede nell’opportunità di prevedere misure volte a tutelare gli interessati da interferenze nella vita privata attraverso forme di comunicazione commerciale particolarmente invasive, per le quali è giustificato prevedere il previo consenso esplicito di questi ultimi.

Difatti il codice della privacy appresta una particolare tutela del cd. diritto “ad essere lasciati in pace”, attraverso l’articolo 7, comma 4 lett. b) che attribuisce ai soggetti interessati il diritto di opporsi, in tutto od in parte, al trattamento dei dati personali che li riguardano per finalità di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.

LEGGI ANCHE: Privacy e studi legali: la gestisci correttamente?

Comunicazioni tramite l’utilizzo dei servizi di posta elettronica

La possibilità di svolgere attività promozionali o di commercializzazione diretta mediante la posta elettronica deve ritenersi subordinata, sulla base dei principi appena esaminati, al previo consenso dell’interessato.
Il Garante della privacy ha ribadito che il consenso assume un connotato autorizzativo di tipo positivo, tale per cui l’eventuale silenzio dell’interessato, comporta diniego e non è tan intendersi come tacito assenso all’invio di messaggi.

Il consenso può essere prestato con ogni modalità tale da renderlo una libera manifestazione di volontà dell’interessato, espressa con riferimento ad una specifica finalità e sulla base di una idonea informativa contenente le indicazioni richieste dalla legge. Se ricorrono tali requisiti il consenso può anche essere raccolto a voce, purché esso sia inequivoco, e, comunque, sia sempre documentato in modo scritto.

Il richiamo all’esistenza di una specifica finalità, presuppone la necessità che la manifestazione di una volontà positiva sia accompagnata da una esplicita indicazione della tipologia di prodotti o di servizi per i quali possono essere inviati messaggi promozionali.

Alla luce di queste premesse, il Garante ritiene, pertanto, una elusione della normativa la prassi consistente nel richiedere il consenso dell’interessato attraverso una prima email, avente comunque un contenuto promozionale, oppure riconoscendo al soggetto un semplice diritto di “opt-out”, cioè in pratica la facoltà di attivarsi al fine di non ricevere più messaggi dello stesso tipo.

Non è pertanto sufficiente inserire il link di disiscrizione alle proprie email: la legge chiede che chi vuole mandare dei messaggi a contenuto promozionale faccia un’attività preparatoria accurata ed eviti di contattare le persone che, presumibilmente, non desiderano ricevere quei messaggi, non essendo possibile cancellare la propria iscrizione ad una lista semplicemente permettendo la disiscrizione in un secondo momento.

Comunicazioni tramite SMS

Anche in materia di messaggi veicolati tramite il servizio SMS (Short Message System) il Garante ha confermato l’assoluta imprescindibilità del consenso quale “conditio sine qua non” per un valido trattamento dei dati.

Il principio trova applicazione sia nel caso di sms spediti da un fornitore di servizi di telefonia, per conto proprio o di terzi, sia nell’ipotesi di sms inviati da soggetti differenti, sia infine, nel caso in cui i numeri telefonici dei destinatari siano individuati sulla base di una mera generazione automatica tramite software e non estrapolati da elenchi di utenze.

L’autorità ha in particolare chiarito che il consenso deve essere sempre libero, non potendosi ritenere tale una manifestazione di volontà ricevuta esclusivamente sulla base di una presunta necessità ai fini della successiva stipula di un contratto.

Infatti, in tal caso il consenso viene snaturato per il fatto che il soggetto “deve” prestarlo al fine di ottenere la prestazione desiderata.

 PROVA LEGALDESK, IL GESTIONALE CHE RISPETTA LA PRIVACY

Comunicazioni tramite telefono o telefax

Quanto fin esposto ha formato oggetto di ulteriore conferma anche con riferimento alla spedizione di messaggi pubblicitari mediante sistemi telefax.

Il Garante si è occupato del crescente fenomeno del cd. teleselling, consistente nella promozione e nella vendita diretta di prodotti e servizi per mezzo del tradizionale servizio telefonico.

Tenuto conto dei particolari connotati di invasività del fenomeno e del fatto che i dati venissero, spesso, trattati in palese violazione della normativa vigente, l’Autorità ha posto il generale divieto di effettuare telefonate in assenza di un consenso dell’interessato e senza che quest’ultimo sia stato preventivamente informato sulle caratteristiche del trattamento dei dati che lo riguardano.

Trattamento illecito di dati personali: la disciplina sanzionatoria

Le conseguenze derivanti da un trattamento illecito dei dati possono essere distinte sotto il profilo civile, amministrativo e penale.

Per quanto riguarda la responsabilità civile, il trattamento illecito di dati personali configura in capo al soggetto leso il diritto al risarcimento dei danni, a meno che il titolare del trattamento non dimostri che l’evento dannoso non sia a lui imputabile. L’art. 15 del Codice della Privacy richiama in tutto e per tutto la disciplina civilistica in materia di risarcimento del danno da illecito (art. 2050 c.c., assimilando la disciplina del trattamento dei dati personali a quella dello svolgimento di attività pericolose).

Tale disciplina riconosce in capo al soggetto leso il diritto al risarcimento a prescindere dalla volontarietà del comportamento illecito, ovvero per il solo fatto di aver subito un danno.

Per quanto riguarda gli illeciti amministrativi, si configura una responsabilità civile in caso di omessa o inidonea informativa all’interessato, trattamento in assenza di consenso, cessione dei dati in violazione delle norme, omessa o incompleta notificazione al garante, omessa informazione o esibizione di documenti richiesti al Garante.

Dal punto di vista penale, infine, l’art.167 del Codice della privacy stabilisce che, è punito con la reclusione da 6 a 18 mesi, il trattamento illecito di dati personali da cui derivi nocumento al titolare degli stessi, e con la reclusione da 6 a 24 mesi, la comunicazione o diffusione di dati illecitamente trattati, indipendentemente dal potenziale danno che derivi a terzi.