Il caso esaminato dalla Cassazione con la sentenza 17278/2018 riguarda un servizio di Newsletter, su tematiche legate alla finanza, al fisco, al diritto e al lavoro, offerto da una società tramite un portale web.
Per ottenere l’invio della newsletter era richiesto all’utente l’inserimento del proprio indirizzo e-mail e, in calce al “form” di raccolta dati, era presente una casella di spunta (c.d. “checkbox”) con la quale il contraente poteva esprimere il consenso “al trattamento dei dati personali”; inviando la richiesta di iscrizione senza validare la casella del consenso non era possibile accedere al servizio e appariva il messaggio “è richiesta la selezione della casella”. Non era evidenziato, però, in cosa consistesse il “trattamento dei dati personali” e quali effetti producesse. L’utente poteva, però, visionare la normativa sulla privacy attraverso un link ipertestuale che, una volta cliccato, specificava che i dati personali acquisiti attraverso l’iscrizione alla newsletter sarebbero stati utilizzati non solo per la fornitura di tale servizio, ma anche per l’invio di comunicazioni promozionali nonché di informazioni commerciali da parte di terzi.
L’Autorità Garante dei Dati Personali (Garante della Privacy), con proprio provvedimento, aveva ritenuto illecito il trattamento dei dati posto in essere per finalità promozionali non avendo, la società fornitrice delle newsletter, ottenuto un consenso libero e specifico dagli interessati. Aveva quindi vietato il trattamento dei dati già raccolti per le finalità di invio di messaggi promozionali, salvo che la stessa non introducesse la possibilità, per gli interessati, di esprimere uno specifico consenso sul punto.
Il provvedimento del Garante veniva impugnato, ai sensi dell’art. 152 Codice della Privacy, avanti il Tribunale di Arezzo. Il Giudice, con sentenza del 2016, accoglieva il ricorso proposto dalla società reputando che il consenso espresso dagli utenti venisse, invece, liberamente prestato.
Avverso la sentenza ricorreva in Cassazione il Garante della Privacy.
Nella citata sentenza la Suprema Corte, rammenta, in primo luogo, che l’art. 23 del Codice della Privacy (D. Lgs. n. 196/2003) stabilisce che:
– il trattamento di dati personali è ammesso solo con il consenso espresso dall’interessato;
– il consenso può riguardare l’intero trattamento ovvero una o più operazioni dello stesso;
– il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto e se sono stare rese all’interessato le informazioni di cui all’art. 13.
Ne consegue che, fatti salvi i casi che nella presente vertenza non rilevano, il consenso è condizione della liceità del trattamento.
Lo stesso Regolamento UE 2016/679, precisa la Corte, definisce il “consenso dell’interessato” come: <qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento>. Il Considerando 32 del Regolamento, poi, aggiunge che <Il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento …>.
In merito alla identificazione e delimitazione della nozione di consenso adottata dall’art. 23 Codice Privacy è da escludere, afferma la Cassazione, che sia il <medesimo consenso in generale richiesto a fini negoziali, ossia in consenso prestato da un soggetto capace di intendere e volere e non viziato da errore, violenza o dolo, ovvero, in determinati frangenti, da pericolo o da bisogno: consenso, quello così previsto, che pur sussiste quantunque perturbato, al di sotto di una determinata soglia, in ragione dei visi indicati, secondo quanto risulta dagli articoli 1428, 13435 e 1439 c.c.>.
<Una simile lettura minimale dell’art. 23 … non ha fondamento, almeno per due ragioni:
-) in primo luogo, se il consenso dovesse essere inteso nella medesima eccezione in cui esso è … richiesto a fini negoziali, la norma del Codice della Privacy sarebbe superflua …;
-) in secondo luogo il legislatore non discorre qui di un generico consenso, bensì di un consenso manifestato, oltre che espressamente, liberamente e specificamente, a condizione che all’interessato siano state previamente offerte le informazioni elencate dall’art. 13 Codice della Privacy.>
La previsione di un <consenso in tal modo “rafforzato”> è dettata <dall’esigenza di rimediare alla intrinseca situazione di debolezza dell’interessato>.
In altri termini, il consenso in questione va ricondotto alla nozione di “consenso informato”, nozione impiegata in taluni settori, come nel campo delle prestazioni sanitarie, dove è avvertita l’esigenza di tutelare la pienezza del consenso attraverso la previsione di obblighi di informazione in favore della parte più debole.
Oltre che libero, il consenso deve essere specifico; <… se detto consenso comporta una pluralità di effetti, lo stesso singolarmente prestato in riferimento a ciascuno di essi – come nel caso di specie, in cui esso si estende alla ricezione di messaggi promozionali anche da parte di terzi – lo stesso va singolarmente prestato in riferimento a ciascuno di essi, di modo che, con totale trasparenza, risulti palese che ciascuno di tali effetti egli ha voluto>
<E’ … da escludere che il consenso possa dirsi specificatamente, e dunque, anche liberamente, prestato in un’ipotesi in cui, ove gli effetti del consenso non siano indicati con completezza accanto ad una specifica “spunta” … ma siano invece descritti in altra pagina web linkata alla prima, non vi sia contezza che l’interessato abbia consultato detta altra pagina, apponendo nuovamente una diversa “spunta” finalizzata a manifestate il suo consenso>.
Non solo! Perché il consenso sia specifico non può essere genericamente riferito a non meglio identificati messaggi pubblicitari, ma deve essere riferito, <”ad un trattamento chiaramente individuato”, il che comporta la necessità, almeno, dell’indicazione dei settori merceologici o dei servizi cui i messaggi pubblicitari saranno riferiti>.
La Corte, pertanto, conclude riassumendo che: <In tema di consenso al trattamento dei dati personali, la previsione dell’art. 23 del Codice della privacy, nello stabilire che il consenso è validamente prestato solo se espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, consente al gestore di un sito Internet, il quale somministri un servizio fungibile, cui l’utente possa rinunciare senza gravoso sacrificio (nella specie servizio di newsletter su tematiche legate alla finanza, al fisco, al diritto e al lavoro), di condizionare la fornitura del servizio al trattamento dei dati per finalità pubblicitarie, sempre che il consenso sia singolarmente ed inequivocabilmente prestato in riferimento a tale effetto, il che comporta altresì la necessità, almeno, dell’indicazione dei settori merceologici o dei servizi cui i messaggi pubblicitari saranno riferiti>.
(Corte di Cassazione, sezione prima civile, sentenza 11 maggio 2018 – 2 luglio 2018, n. 17278)
P.S.: E’ importante precisare che la sentenza è stata pronunciata l’11 maggio 2018, quando era ancora in vigore la Direttiva 95/46/Ce (abrogata a partire dal 25 maggio 2018 e sostituita dal Regolamento UE 2016/679).
La sentenza fa quindi riferimento al “consenso” disciplinato dal Codice della Privacy che, va ricordato, fu emanato in attuazione della vecchia Direttiva (Codice della Privacy, tra l’altro, che attende ancora di essere adeguato al Regolamento Europeo).
Sicuramente il Regolamento UE 2016/679 (GDPR) in tema di “consenso” è più specifico e dettagliato. Il principio pronunciato dalla Cassazione nella sentenza è, comunque, interessante (anche se va calato nella nuova disciplina dettata dal Regolamento)
La sentenza per esteso alla pagina
Fonte: Stefano Comellini – Avvocato Cassazionista – Responsabile Protezione Dati della ASL Città di Torino