NEWS

<
martedì 3 luglio 2018

UN MINUTO DI PRIVACY - NEWSLETTER, COMUNICAZIONI PUBBLICITARIE E VIOLAZIONE DELLA PRIVACY - Cass. civ., Sez. I, sent. n. 17278 del 02/07/2018

Dura reprimenda della Cassazione sull’invio di comunicazioni pubblicitarie in assenza di specifico consenso dell’interessato.

Con la recentissima sentenza 17278/2018 la Suprema Corte ha  definito il contenzioso avente ad oggetto un provvedimento con il quale il Garante per la protezione dei dati personali aveva ritenuto illegittimo il trattamento di dati personali da parte di un gestore di servizi web per l’invio di informazioni promozionali agli utenti, cd “advertising”, effettuato senza avere previamente ottenuto un consenso libero e specifico al trattamento dei dati personali degli utenti per quella finalità, in conformità a quanto stabilito dagli art. 23 e 130 del Codice della Privacy.

Nel caso di specie, per poter accedere ad un servizio di newsletter su finanza, fisco, diritto e lavoro, all’utente veniva richiesta non solo la registrazione con indicazione della propria mail, ma anche il consenso al trattamento dei dati personali, condizione imprescindibile per poter fruire del servizio. Per poter prendere visione dell’informativa, l’utente veniva rinviato mediante apposito link ipertestuale ad un’altra pagina web ove, tra le altre cose, veniva specificato che i dati sarebbero stati utilizzati “non solo per la fornitura di tale servizio (ndr la newsletter), ma anche per l’invio di comunicazioni promozionali nonché informazioni commerciali da parte di terzi”.

La Cassazione, in accoglimento del ricorso in appello del Garante contro la sentenza del Tribunale di Arezzo che aveva invece giudicato legittimo il trattamento, ha affermato che, ai sensi dell’art. 23 del Codice della privacy, il consenso è validamente prestato solo se espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato; nel caso di finalità pubblicitarie ciò comporta quanto meno l’indicazione dei settori merceologici o dei servizi cui i messaggi saranno riferiti.  

Secondo la Corte, il tipo di consenso informato previsto dal nostro legislatore con il combinato disposto degli artt. 13 e 23 del Codice della privacy, lungi dal potersi definire generico, è invece un consenso rafforzato al fine di porre rimedio alla posizione di debolezza dell’interessato contro possibili tecniche commerciali aggressive o suggestive.

Il consenso deve poi essere specifico: l’interessato deve essere messo nella condizione di comprendere in modo inequivocabile gli effetti del consenso prestato.

Pertanto, continua, la Cassazione il consenso non può ritenersi informato e specifico se  prestato mediante una “spunta”, nel caso in cui l’informativa sia contenuta in un’altra e diversa pagina web, richiamata con un generico link ipertestuale.

I principi di diritto espresso dalla Corte di Cassazione, sebbene basati sul Codice della privacy, sono assolutamente attuali. Sussiste infatti continuità tra quanto stabilito dall’art. 4, punto 11 del GDPR e quanto stabilito dall’art. 23 del Codice della privacy: il consenso deve sempre essere espresso mediante un atto positivo e inequivocabile con il quale l’interessato dichiara la propria intenzione libera e informata di accettare il trattamento proposto.

Se il consenso viene prestato tramite strumenti elettronici, la richiesta nei confronti degli utenti dovrà essere quanto più chiara e concisa possibile (si veda a questo proposito il considerando n. 32 al GDPR).

Sarà poi possibile per il titolare del trattamento utilizzare il consenso per tutte le attività svolte per la medesima finalità per cui è stato prestato, mentre nel caso in cui il trattamento dei dati abbia più finalità differenti, il titolare dovrebbe premurarsi di raccogliere il consenso dell’interessato per ognuna di esse.

Nulla impedisce al gestore del sito – afferma la Corte – di negare il servizio di newsletter a chi non presti il proprio consenso anche all’invio di comunicazioni promozionali da parte di terzi. Ma in alcun caso può essere giustificato il comportamento del gestore che utilizzi i dati raccolti per l’invio di una newsletter divulgativa, anche per finalità differenti per le quali non sia stato ottenuto un consenso specifico.

In definitiva, ciò che si richiede ai gestori di siti web e di newsletter informative/pubblicitarie è la massima attenzione al rispetto delle normative vigenti in materia di privacy, onde evitare di essere sanzionati dal Garante, soprattutto, con l’inibitoria della propria attività online.