La newsletter può essere inviata solo se il consenso è libero, inequivocabile e specifico. La Cassazione applica il GDPR

Il fatto che ha dato origine all’intervento del Garante e della Corte di Cassazione, definita da qualche commentatore “storica”, pubblicata il 2 luglio di quest’anno riguarda una società si era vista sanzionare dall’Autorità Garante della privacy per aver inviato alcune newsletter a soggetti interessati senza averne ricevuto un valido consenso.

In particolare, l’azienda proponeva un servizio di newsletter su tematiche legate a finanza, fisco, diritto e lavoro e per ricevere la newsletter l’utente doveva inserire il recapito email in un form di raccolta dati che recava una casella da flaggare per esprimere il consenso «al trattamento dei dati personali».

Tuttavia nel form non era spiegato all’utente in cosa consisteva il «trattamento dei dati personali» e le sue conseguenze, e sempre sul portale un altro link ipertestuale spiegava al navigatore che “i dati personali acquisiti attraverso l’iscrizione alla newsletter sono utilizzati non solo per la fornitura di tale servizio, ma anche per l’invio di comunicazioni promozionali nonché di informazioni commerciali da parte di terzi.”

La società si era opposta alla sanzione azionando l’art. 152 del codice privacy dinanzi il Tribunale di Arezzo che aveva accolto l’opposizione al provvedimento del Garante.

L’Autorità contestava un trattamento illecito  dei  dati  personali per  finalità promozionali in quanto non vi era un consenso libero e  specifico degli interessati come richiesto dagli articoli 23 (consenso) e 130 (comunicazioni indesiderate) del codice privacy.

Il Garante aveva inoltre vietato alla società il trattamento dei dati personali degli utenti registrati al servizio di newsletter per le finalità di invio di messaggi promozionali, ferma restando l’utilizzabilità degli stessi per la fornitura dei servizi.

Infine il Garante aveva  prescritto  alla società, per continuare ad inviare tramite posta elettronica le proprie comunicazioni  promozionali,  di  adottare  le  misure  necessarie  e opportune, atte a garantire la completa ottemperanza a quanto stabilito dagli articoli 23 e 130 del codice, prevedendo la possibilità per gli interessati di esprimere uno specifico consenso e  fornendone  adeguata  documentazione al Garante entro sessanta giorni dalla ricezione del provvedimento.

In primo grado il Tribunale aveva accolto l’opposizione rilevando che le tesi del Garante, per cui nel caso di specie il trattamento dei dati  personali era stato effettuato in mancanza di un consenso prestato in conformità all’articolo 23 del codice della privacy, dal momento che  la norma non poteva essere integrata con la previsione di obblighi introdotti da provvedimenti del Garante medesimo, quali le Linee guida del 4 luglio 2013, escludendo che il consenso espresso dall’interessato nell’accedere ai servizi del fornitore non potesse considerarsi “libero”.

L’Autorità Garante ricorreva in Cassazione e la I sezione civile ha deciso la controversia con la sentenza 11 maggio- 2 luglio 2018, n. 17278.

La Suprema Corte ha argomentato la propria decisione  basandosi anche sul disposto dell’art. 4.11 del G.D.P.R. Regolamento (UE) 2016/679 che definisce le caratteristiche del “consenso dell’interessato”.

La tesi sostenuta dall’avvocatura dello Stato era che il  Tribunale errava nel ritenere che le Linee guida elaborate dal Garante costituissero  un’integrazione del precetto posto dall’articolo 23 del codice privacy mentre le stesse costituivano l’interpretazione del dato normativo secondo le quali era necessario che  il consenso al trattamento dei dati personali fosse espresso liberamente e specificamente,  mancando  nel caso di specie una specifica manifestazione  di  volontà volta alla ricezione di messaggi promozionali via mail, essendo obbligatorio  prestare il consenso alla loro ricezione per potersi iscrivere al servizio di newsletter.

I giudici di piazza Cavour argomentando in fatto evidenziavano che per accedere al servizio di newsletter proposto attraverso il portale gestito dalla società era  richiesto l’inserimento,  da  parte dell’utente, del proprio indirizzo e.mail e, in calce al form di raccolta dati, era presente una casella di  spunta (checkbox) con la quale il contraente poteva esprimere  il consenso «al trattamento dei dati personali».

Se la richiesta di iscrizione alla newsletter era inviata senza “spuntare” la casella del consenso il servizio non era concesso e si leggeva il messaggio espresso «è richiesta la selezione della casella».

La pagina però non indicava in cosa consisteva il trattamento dei dati dell’utente e quali effetti produceva ma solo cliccando su un link l’interessato veniva a conoscenza che i suoi dati sarebbero stati  utilizzati non solo per  l’invio della newsletter ma anche per l’invio  di  messaggi promozionali ed informazioni commerciali di terzi.

La Corte ha sottolineato che l’articolo 23 del codice privacy stabilisce che il trattamento di dati personali è ammesso solo con il consenso espresso dell’interessato che può riguardare l’intero trattamento ovvero una o più operazioni dello stesso.

Come noto il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad  un  trattamento chiaramente individuato,  se è documentato per iscritto,  e se sono state rese all’interessato le informazioni di cui all’articolo 13 del codice privacy.

Il  “consenso  dell’interessato” come definito in apertura del Regolamento UE 2016 è  inteso  come:  “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i  dati  personali  che lo riguardano siano oggetto di trattamento”.

Sempre nel GDPR il trentaduesimo considerando precisa che: “il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile  con il quale  l’interessato manifesta  l’intenzione  libera,  specifica,  informata e inequivocabile di accettare il trattamento …».

La Corte nel suo ragionamento sulle caratteristiche del consenso richiesto all’interessato esclude questo sia quello prestato  da  un  soggetto  capace  di  intendere  e  volere  e  non  viziato  da  errore,  violenza  o  dolo perché “se  il  consenso dovesse  essere  inteso  nella  medesima  accezione  in  cui  esso  è  di regola richiesto a fini negoziali, la norma del Codice della privacy sarebbe superflua, non potendosi dubitare che, anche senza di essa, un trattamento dei dati senza consenso non sia ipotizzabile, dal momento che i dati personali costituiscono beni attinenti alla persona.”

Il consenso richiesto dal legislatore non è generico ma quello manifestato espressamente, liberamente e specificamente con la decisiva condizione che l’interessato sia stato messo a conoscenza delle  informazioni previste nell’art. 13 del codice privacy.

La Corte lo definisce consenso “rafforzato” in quanto richiesto dall’esigenza di “rimediare alla intrinseca situazione di debolezza dell’interessato, sia sotto il profilo della evidente «asimmetria  informativa»,  sia dal versante della tutela contro possibili tecniche  commerciali  aggressive o suggestive”.

E il giudice di legittimità lo riconduce alla  nozione  di “consenso  informato” propria del settore delle prestazioni sanitarie.

I dati personali, a mente dell’art. 11.1  lett. b) e d) del codice privacy, possono essere utilizzati solo per gli scopi per cui sono stati raccolti comunicati all’interessato prima che egli manifesti il suo consenso.

Il consenso rafforzato non potrà essere ottenuto mediante “disorientamenti,  stratagemmi,  opacità,  sotterfugi,  slealtà,  doppiezze  o  malizie  comunque  adottate dal titolare del trattamento” e quindi dovrà essere libero, pienamente consapevole ed informato senza alcun condizionamento e specifico ovvero riferito senza fraintendimenti ad ogni singolo effetto del trattamento.

Quanto ai fini dell’invio di messaggi pubblicitari la Corte si riferisce all’articolo  7 comma 4  del  G.D.P.R. che stabilisce “nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al  trattamento di  dati  personali  non  necessario all’esecuzione di tale contratto».

Pertanto quanto all’applicazione dell’art. 23 del codice privacy la Corte ritiene che il  condizionamento dell’interessato non sia scontato ma sussista “quanto  più  laprestazione  offerta  dal  gestore  del  sito  Internet  sia  ad  un  tempo  infungibile  ed  irrinunciabile  per l’interessato,  il  che  non  può  certo  dirsi  accada  nell’ipotesi  di  offerta  di  un  generico  servizio informativo del tipo di quello in discorso, giacché all’evidenza si tratta di informazioni agevolmente acquisibili  per  altra  via,  eventualmente  attraverso  siti  a  pagamento,  se  non  attraverso  il  ricorso all’editoria  cartacea,  con  la  conseguenza  che  ben  può  rinunciarsi  a  detto  servizio  senza  gravoso sacrificio”.

Il legislatore non poteva e non ha vietato lo scambio di dati  personali ma ha preteso che questo derivi da un consenso pieno frutto di libera scelta dell’interessato.

L’interessato  deve  essere posto  in  condizione  di  raffigurarsi,  in  maniera inequivocabile,  gli  effetti  del  consenso  prestato  al  trattamento  dei  suoi  dati tra cui la possibilità di ricevere da parte di soggetti terzi i messaggi promozionali.

Quindi, conclude il Collegio, va escluso che “il  consenso  possa  dirsi  specificamente,  e  dunque  anche liberamente,  prestato  in  un’ipotesi  in  cui,  ove  gli  effetti  del  consenso  non  siano  indicati con completezza accanto ad una specifica «spunta» apposta sulla relativa casella di una pagina web, ma siano  invece  descritti  in  altra  pagina  web  linkata  alla  prima,  non  vi  sia  contezza  che  l’interessato abbia  consultato  detta  altra  pagina,  apponendo  nuovamente  una  diversa  «spunta»  finalizzata a manifestare il suo consenso”.

Inoltre, altro punto da evidenziare nel dictum del giudice di legittimità, perché  il  consenso  possa essere detto  specifico non potrà essere genericamente riferito a non identificati messaggi pubblicitari in modo che ad esempio chi ha chiesto  di  fruire  di  un  servizio  di informazioni  giuridico-fiscali riceva poi la  pubblicità  di  servizi  o  prodotti  non attinenti alle ricerche effettuate.

Il consenso specifico è tale se riferito «ad un trattamento  chiaramente  individuato»,  il che comporta  la necessità dell’indicazione  dei settori merceologici o dei servizi oggetto dei messaggi promozionali.

In sintesi il principio da osservare in materia di legittimo invio di messaggi promozionali è che, a mente dell’art. 23 codice privacy, il consenso è validamente prestato solo se espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato.

Se questa condizione sarà presente il  gestore  del portale “ il quale somministri un servizio fungibile, cui l’utente possa rinunciare senza  “gravoso  sacrificio”, potrà condizionare  la  fornitura del servizio al trattamento dei  dati  per  finalità pubblicitarie, sempre che il consenso sia singolarmente ed inequivocabilmente prestato in riferimento a tale effetto ferma  la necessità di indicare i  settori  merceologici o i servizi cui i messaggi pubblicitari  saranno riferiti.

La sentenza del Tribunale favorevole all’azienda è stata cassata senza  rinvio, rigettata l’opposizione e confermato a suo carico il provvedimento del Garante.

Luigi De Valeri
Informazioni su Luigi De Valeri 38 Articoli
Luigi De Valeri, nato a Roma nel 1965, ha conseguito nel 1994 il titolo di procuratore legale. Iscritto all’Albo degli Avvocati del Consiglio dell’Ordine di Roma, titolare dello Studio Legale De Valeri attivo nei settori del diritto civile, lavoro e sicurezza sul lavoro, assicurazioni e responsabilità professionale, immobiliare, diritto societario e start-up, diritto di internet e privacy, diritto dell'Arte, diritto amministrativo e diritto penale. Consulente giuridico di EBAFoS, ente bilaterale dell'artigianato per la formazione e la sicurezza sul lavoro, FIRAS-SPP federazione italiana responsabili addetti servizi prevenzione e protezione, Prison Fellowship Italia Onlus.

Commenta per primo

Lascia un commento

L'indirizzo email non sarà pubblicato.


*