Consenso per l’invio di newsletter: il punto della Cassazione alla luce del GDPR

Email concept.

Con la sentenza n. 17278/2018 la Corte di Cassazione, sez. prima civile, nell’accogliere il ricorso dell’Autorità Garante contro una decisione del tribunale di Arezzo in merito alla legittimità del trattamento dei dati personali posto in essere per finalità promozionali in violazione degli artt. 23 e 130 del Codice privacy sostiene che il provvedimento impugnato adottando una nozione generica ed onnicomprensiva di consenso, non conforme al dato normativo, non si è attenuta ai principi fondamentali in materia di consenso al trattamento dei dati personali, dove la previsione dell’articolo 23 del Codice della privacy, nello stabilire che il consenso è validamente prestato solo se espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, consente al gestore di un sito Internet, il quale somministri un servizio fungibile, cui l’utente possa rinunciare senza gravoso sacrificio (nella specie servizio di newsletter su tematiche legate alla finanza, al fisco, al diritto e al lavoro), di condizionare la fornitura del servizio al trattamento dei dati per finalità pubblicitarie, sempre che il consenso sia singolarmente ed inequivocabilmente prestato in riferimento a tale effetto, il che comporta altresì la necessità, almeno, dell’indicazione dei settori merceologici o dei servizi cui i messaggi pubblicitari saranno riferiti.

In realtà la Suprema Corte coglie l’occasione per sottolineare nel proprio provvedimento anche le caratteristiche del consenso alla luce del regolamento UE n. 2016/679 sulla protezione dei dati personali dove lo stesso viene definito come qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento (art. 4, n. 11 del GDPR).

Il GDPR prevede che qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha espresso il proprio consenso al trattamento dei propri dati personali (art. 7).

Se il consenso dell’interessato è espresso nel contesto di una dichiarazione scritta che riguarda anche altre materie, la richiesta di consenso deve essere presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro.

Nessuna parte della dichiarazione cui l’interessato abbia dato il consenso e che costituisca una violazione del Regolamento è vincolante.

L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca. Prima di esprimere il proprio consenso, l’interessato viene informato di ciò. Il consenso è revocato con la stessa facilità con cui è accordato.

Inoltre nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto.

L’articolo 4, paragrafo 11, del regolamento stabilisce che il consenso dell’interessato, in modo inequivocabile, deve essere:

– libero;
– specifico;
– informato.

Il consenso deve essere innanzitutto libero: se l’interessato non compie una scelta reale e si sente obbligato a prestare il proprio consenso anche per evitare conseguenze negative nel caso rifiutasse, allora il consenso non potrà essere considerato come valido.

Per esempio se il consenso è inserito in una parte non negoziabile di termini e condizioni si presume che lo stesso non sia stato fornito liberamente.

Inoltre il consenso non potrà considerarsi libero se utilizzato per giustificare molteplici trattamenti: se un servizio comporta più operazioni di elaborazione o più scopi, il consenso deve essere dato liberamente per ciascuno. Gli interessati devono essere in grado di scegliere per quali scopi acconsentono il trattamento.

Sono tre le componenti per garantire questo requisito:
– indicazione esatta dello scopo, come salvaguardia contro l’abuso di trattamento;
– granularità nelle richieste di consenso;
– chiara separazione delle informazioni relative all’ottenimento del consenso per le attività di elaborazione dati da informazioni su altri argomenti.

Senza informazioni accessibili, gli interessati non possono prendere decisioni informate e quindi “il controllo dell’utente diventerebbe illusorio e il consenso non valido per l’elaborazione”.

Più nello specifico, con riguardo all’aspetto della libertà, sostiene la Suprema Corte, occorre esaminare, in relazione al caso in esame, la questione se il condizionamento tale da far sì che il consenso non sia conforme al dettato normativo, possa essere ravvisato nell’ipotesi in cui l’offerta di un determinato servizio da parte del gestore di un sito Internet sia — per l’appunto — condizionato al rilascio del consenso all’utilizzo dei dati personali per il successivo invio, da parte di terzi, di messaggi pubblicitari: quesito al quale si riferisce, oggi, il comma 4 dell’articolo 7 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, secondo cui: «Nel valutare se il consenso sia stato liberamente prestato, tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto».

Ritiene la Corte, nel quadro di applicazione del citato articolo 23, che la risposta al quesito non possa essere univoca e, cioè, che il condizionamento non possa sempre e comunque essere dato per scontato e debba invece essere tanto più ritenuto sussistente, quanto più la prestazione offerta dal gestore del sito Internet sia ad un tempo infungibile ed irrinunciabile per l’interessato, il che non può certo dirsi accada nell’ipotesi di offerta di un generico servizio informativo del tipo di quello in discorso, giacché all’evidenza si tratta di informazioni agevolmente acquisibili per altra via, eventualmente attraverso siti a pagamento, se non attraverso il ricorso all’editoria cartacea, con la conseguenza che ben può rinunciarsi a detto servizio senza gravoso sacrificio.

Non può allora essere condiviso l’argomento svolto dal giudice di merito secondo cui, dando credito alla tesi sostenuta dal Garante, si finirebbe per «delineare una sorta di obbligo tout court, per il gestore del portale, di offrire comunque le proprie prestazioni, a prescindere dalla prestazione del consenso al trattamento dei dati personali da parte dell’utente»: e, in buona sostanza, per obbligare così il gestore del portale a rinunciare al tornaconto economico dell’operazione che egli compie, proveniente dall’attività pubblicitaria realizzata Tramite l’impiego dei dati personali acquisiti. Nulla, infatti, impedisce al gestore del sito — beninteso, si ripete, in un caso come quello in questione, concernente un servizio né infungibile, né irrinunciabile —, di negare il servizio offerto a chi non si presti a ricevere messaggi promozionali, mentre ciò che gli è interdetto è utilizzare i dati personali per somministrare o far somministrare informazioni pubblicitarie a colui che non abbia effettivamente manifestato la volontà di riceverli.

Nelle situazioni, poi, in cui emergono “gravi rischi per la protezione dei dati”, è richiesto un consenso esplicito: un diverso livello di consenso rispetto a quello ordinario appena sopra descritto. Ci si riferisce in particolare ai dati relativi all’articolo 9 (categoria speciale), ai trasferimenti verso Paesi o organizzazioni privi di una decisione di adeguatezza e al processo decisionale individuale automatizzato (compresa la profilazione).

Il consenso dato attraverso una espressa e formale dichiarazione scritta (firmata dall’interessato) è da considerarsi esplicito.

Sono previste altre modalità, in particolare nel contesto elettronico che includono il coinvolgimento dell’interessato: compilare un modulo elettronico; inviare una mail; caricare un documento scansionato con firma; registrare una dichiarazione orale, o verificare il consenso tramite un processo di autenticazione a due fasi (come un’e-mail seguita da un messaggio SMS).

(Altalex,  Michele Iaselli)

Questa voce è stata pubblicata in Privacy e contrassegnata con , , , , . Contrassegna il permalink.

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

Connessione a %s...