Il fatto che ha dato origine all’intervento del Garante e della Corte di Cassazione, definita da qualche commentatore “storica”, pubblicata il 2 luglio di quest’anno riguarda una società si era vista sanzionare dall’Autorità Garante della privacy per aver inviato alcune newsletter a soggetti interessati senza averne ricevuto un valido consenso.
In particolare, l’azienda proponeva un servizio di newsletter su tematiche legate a finanza, fisco, diritto e lavoro e per ricevere la newsletter l’utente doveva inserire il recapito email in un form di raccolta dati che recava una casella da flaggare per esprimere il consenso «al trattamento dei dati personali».
Tuttavia nel form non era spiegato all’utente in cosa consisteva il «trattamento dei dati personali» e le sue conseguenze, e sempre sul portale un altro link ipertestuale spiegava al navigatore che “i dati personali acquisiti attraverso l’iscrizione alla newsletter sono utilizzati non solo per la fornitura di tale servizio, ma anche per l’invio di comunicazioni promozionali nonché di informazioni commerciali da parte di terzi.”
La società si era opposta alla sanzione azionando l’art. 152 del codice privacy dinanzi il Tribunale di Arezzo che aveva accolto l’opposizione al provvedimento del Garante.
L’Autorità contestava un trattamento illecito dei dati personali per finalità promozionali in quanto non vi era un consenso libero e specifico degli interessati come richiesto dagli articoli 23 (consenso) e 130 (comunicazioni indesiderate) del codice privacy.
Il Garante aveva inoltre vietato alla società il trattamento dei dati personali degli utenti registrati al servizio di newsletter per le finalità di invio di messaggi promozionali, ferma restando l’utilizzabilità degli stessi per la fornitura dei servizi.
Infine il Garante aveva prescritto alla società, per continuare ad inviare tramite posta elettronica le proprie comunicazioni promozionali, di adottare le misure necessarie e opportune, atte a garantire la completa ottemperanza a quanto stabilito dagli articoli 23 e 130 del codice, prevedendo la possibilità per gli interessati di esprimere uno specifico consenso e fornendone adeguata documentazione al Garante entro sessanta giorni dalla ricezione del provvedimento.
In primo grado il Tribunale aveva accolto l’opposizione rilevando che le tesi del Garante, per cui nel caso di specie il trattamento dei dati personali era stato effettuato in mancanza di un consenso prestato in conformità all’articolo 23 del codice della privacy, dal momento che la norma non poteva essere integrata con la previsione di obblighi introdotti da provvedimenti del Garante medesimo, quali le Linee guida del 4 luglio 2013, escludendo che il consenso espresso dall’interessato nell’accedere ai servizi del fornitore non potesse considerarsi “libero”.
L’Autorità Garante ricorreva in Cassazione e la I sezione civile ha deciso la controversia con la sentenza 11 maggio- 2 luglio 2018, n. 17278.
La Suprema Corte ha argomentato la propria decisione basandosi anche sul disposto dell’art. 4.11 del G.D.P.R. Regolamento (UE) 2016/679 che definisce le caratteristiche del “consenso dell’interessato”.
La tesi sostenuta dall’avvocatura dello Stato era che il Tribunale errava nel ritenere che le Linee guida elaborate dal Garante costituissero un’integrazione del precetto posto dall’articolo 23 del codice privacy mentre le stesse costituivano l’interpretazione del dato normativo secondo le quali era necessario che il consenso al trattamento dei dati personali fosse espresso liberamente e specificamente, mancando nel caso di specie una specifica manifestazione di volontà volta alla ricezione di messaggi promozionali via mail, essendo obbligatorio prestare il consenso alla loro ricezione per potersi iscrivere al servizio di newsletter.
I giudici di piazza Cavour argomentando in fatto evidenziavano che per accedere al servizio di newsletter proposto attraverso il portale gestito dalla società era richiesto l’inserimento, da parte dell’utente, del proprio indirizzo e.mail e, in calce al form di raccolta dati, era presente una casella di spunta (checkbox) con la quale il contraente poteva esprimere il consenso «al trattamento dei dati personali».
Se la richiesta di iscrizione alla newsletter era inviata senza “spuntare” la casella del consenso il servizio non era concesso e si leggeva il messaggio espresso «è richiesta la selezione della casella».
La pagina però non indicava in cosa consisteva il trattamento dei dati dell’utente e quali effetti produceva ma solo cliccando su un link l’interessato veniva a conoscenza che i suoi dati sarebbero stati utilizzati non solo per l’invio della newsletter ma anche per l’invio di messaggi promozionali ed informazioni commerciali di terzi.
La Corte ha sottolineato che l’articolo 23 del codice privacy stabilisce che il trattamento di dati personali è ammesso solo con il consenso espresso dell’interessato che può riguardare l’intero trattamento ovvero una o più operazioni dello stesso.
Come noto il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se sono state rese all’interessato le informazioni di cui all’articolo 13 del codice privacy.
Il “consenso dell’interessato” come definito in apertura del Regolamento UE 2016 è inteso come: “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.
Sempre nel GDPR il trentaduesimo considerando precisa che: “il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento …».
La Corte nel suo ragionamento sulle caratteristiche del consenso richiesto all’interessato esclude questo sia quello prestato da un soggetto capace di intendere e volere e non viziato da errore, violenza o dolo perché “se il consenso dovesse essere inteso nella medesima accezione in cui esso è di regola richiesto a fini negoziali, la norma del Codice della privacy sarebbe superflua, non potendosi dubitare che, anche senza di essa, un trattamento dei dati senza consenso non sia ipotizzabile, dal momento che i dati personali costituiscono beni attinenti alla persona.”
Il consenso richiesto dal legislatore non è generico ma quello manifestato espressamente, liberamente e specificamente con la decisiva condizione che l’interessato sia stato messo a conoscenza delle informazioni previste nell’art. 13 del codice privacy.
La Corte lo definisce consenso “rafforzato” in quanto richiesto dall’esigenza di “rimediare alla intrinseca situazione di debolezza dell’interessato, sia sotto il profilo della evidente «asimmetria informativa», sia dal versante della tutela contro possibili tecniche commerciali aggressive o suggestive”.
E il giudice di legittimità lo riconduce alla nozione di “consenso informato” propria del settore delle prestazioni sanitarie.
I dati personali, a mente dell’art. 11.1 lett. b) e d) del codice privacy, possono essere utilizzati solo per gli scopi per cui sono stati raccolti comunicati all’interessato prima che egli manifesti il suo consenso.
Il consenso rafforzato non potrà essere ottenuto mediante “disorientamenti, stratagemmi, opacità, sotterfugi, slealtà, doppiezze o malizie comunque adottate dal titolare del trattamento” e quindi dovrà essere libero, pienamente consapevole ed informato senza alcun condizionamento e specifico ovvero riferito senza fraintendimenti ad ogni singolo effetto del trattamento.
Quanto ai fini dell’invio di messaggi pubblicitari la Corte si riferisce all’articolo 7 comma 4 del G.D.P.R. che stabilisce “nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto».
Pertanto quanto all’applicazione dell’art. 23 del codice privacy la Corte ritiene che il condizionamento dell’interessato non sia scontato ma sussista “quanto più laprestazione offerta dal gestore del sito Internet sia ad un tempo infungibile ed irrinunciabile per l’interessato, il che non può certo dirsi accada nell’ipotesi di offerta di un generico servizio informativo del tipo di quello in discorso, giacché all’evidenza si tratta di informazioni agevolmente acquisibili per altra via, eventualmente attraverso siti a pagamento, se non attraverso il ricorso all’editoria cartacea, con la conseguenza che ben può rinunciarsi a detto servizio senza gravoso sacrificio”.
Il legislatore non poteva e non ha vietato lo scambio di dati personali ma ha preteso che questo derivi da un consenso pieno frutto di libera scelta dell’interessato.
L’interessato deve essere posto in condizione di raffigurarsi, in maniera inequivocabile, gli effetti del consenso prestato al trattamento dei suoi dati tra cui la possibilità di ricevere da parte di soggetti terzi i messaggi promozionali.
Quindi, conclude il Collegio, va escluso che “il consenso possa dirsi specificamente, e dunque anche liberamente, prestato in un’ipotesi in cui, ove gli effetti del consenso non siano indicati con completezza accanto ad una specifica «spunta» apposta sulla relativa casella di una pagina web, ma siano invece descritti in altra pagina web linkata alla prima, non vi sia contezza che l’interessato abbia consultato detta altra pagina, apponendo nuovamente una diversa «spunta» finalizzata a manifestare il suo consenso”.
Inoltre, altro punto da evidenziare nel dictum del giudice di legittimità, perché il consenso possa essere detto specifico non potrà essere genericamente riferito a non identificati messaggi pubblicitari in modo che ad esempio chi ha chiesto di fruire di un servizio di informazioni giuridico-fiscali riceva poi la pubblicità di servizi o prodotti non attinenti alle ricerche effettuate.
Il consenso specifico è tale se riferito «ad un trattamento chiaramente individuato», il che comporta la necessità dell’indicazione dei settori merceologici o dei servizi oggetto dei messaggi promozionali.
In sintesi il principio da osservare in materia di legittimo invio di messaggi promozionali è che, a mente dell’art. 23 codice privacy, il consenso è validamente prestato solo se espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato.
Se questa condizione sarà presente il gestore del portale “ il quale somministri un servizio fungibile, cui l’utente possa rinunciare senza “gravoso sacrificio”, potrà condizionare la fornitura del servizio al trattamento dei dati per finalità pubblicitarie, sempre che il consenso sia singolarmente ed inequivocabilmente prestato in riferimento a tale effetto ferma la necessità di indicare i settori merceologici o i servizi cui i messaggi pubblicitari saranno riferiti.
La sentenza del Tribunale favorevole all’azienda è stata cassata senza rinvio, rigettata l’opposizione e confermato a suo carico il provvedimento del Garante.
Commenta per primo