La prima pronuncia della Cassazione in tema di regolamento europeo per la protezione dei dati personali (GDPR)

1. Cos’è il GDPR – Regolamento (UE) 2016/679

Il regolamento generale sulla protezione dei dati (General Data Protection Regulation), meglio noto con la sigla di GDPR,  indica l’insieme delle prescrizioni in materia di trattamento dei dati personali e privacy ed è entrato in vigore in tutti gli Stati membri a partire dal 25 maggio 2018.

Il testo è nato al fine di armonizzare il contesto di norme relativo agli affari internazionali e per rendere omogenea la protezione dei dati personali dei cittadini dell’Unione europea, all’interno e all’esterno dell’organizzazione sovranazionale. In linea di massima, il GDPR ha introdotto regole più chiare su  informativa e consenso, definendo i limiti al trattamento automatizzato dei dati personali, ha stabilito criteri rigorosi per il trasferimento degli stessi al di fuori dell’UE, oltre a disporre norme altrettanto rigorose in caso di violazione dei dati (è il caso del data breach, ossia la divulgazione dei dati sensibili ad opera di soggetti non autorizzati ).

Dalla sua adozione, il Regolamento ha sostituito i contenuti della precedente Direttiva 95/46/CE sulla protezione dei dati e, in Italia, ha abrogato gli articoli del Codice per la protezione dei dati personali (d.lgs. n. 196/2003) con esso incompatibili

2. Il caso in esame

Un utente segnalava al Garante per la protezione dei dati personali la ricezione via e-mail di un messaggio indesiderato di natura promozionale.

A seguito di istruttoria condotta dall’Ufficio adito, emergeva che l’e-mail ricevuta dall'utente proveniva da una Società che offriva tramite il proprio sito internet un servizio di newsletter su tematiche legate alla finanza, al fisco e al diritto del lavoro.

Per accedere alla newsletter, l’utente aveva fornito il proprio indirizzo e-mail e, in calce al form di raccolta dati, aveva spuntato una casella (ed. checkbox) con la quale il contraente poteva esprimere il consenso «al trattamento dei dati personali».

Infatti, inviando la richiesta di iscrizione senza validare la casella del consenso non era possibile accedere al servizio e appariva il messaggio «è richiesta la selezione della casella».

La pagina web, peraltro, non specificava in cosa consistesse il «trattamento dei dati personali» e quali effetti producesse; solamente attraverso un apposito link, l’utente poteva visionare la normativa sulla privacy la quale spiegava che i dati personali acquisiti attraverso l’iscrizione alla newsletter sarebbero stati utilizzati non solo per la fornitura di tale servizio, ma anche per l’invio di comunicazioni promozionali nonché di informazioni commerciali da parte di terzi.

Per quanto sopra, dunque, il Garante, con provvedimento n. 427 del 25 Settembre 2014, dichiarava l’illiceità del trattamento dei dati personali per finalità promozionali vietandone il trattamento e prescriveva alla Società di adottare le misure necessarie affinché gli interessati potessero esprimere uno specifico consenso.

La Società, tuttavia, adiva il Tribunale di Arezzo il quale accoglieva l’opposizione della stessa, non ritenendo condivisibili le argomentazioni del Garante e, per tali ragioni, quest’ultimo ricorreva in Cassazione

3. L’intervento della Corte di Cassazione

La Suprema Corte, con la pronuncia in esame, ha posto un fermo accento sulle caratteristiche irrinunciabili del consenso, al fine di tutelare il contraente debole dal pericolo del trattamento in massa di dati personali a scopi commerciali.

Gli Ermellini, infatti, hanno sancito che il consenso deve essere espresso non solo liberamente e specificamente in riferimento ad ogni singolo trattamento da individuarsi in modo chiaro, ma altresì che esso non può limitarsi ad un mero consenso di tipo negoziale, poiché deve essere “rafforzato” e, quindi, ricondotto alla nozione di “consenso informato” – già ampiamente impiegata in altri ambiti, come per esempio quello sanitario.

La ratio si basa sull’esame della normativa in tema di protezione dati e in particolare sull’art. 23 Cod. Privacy (oggi abrogato dal D.Lgs. 101/2018) il quale dettava i requisiti per poter considerare il trattamento lecito:

1. Il trattamento dei dati è ammesso solo con espresso consenso dell’interessato;
2. Il consenso può riguardare l’intero trattamento ovvero una o più operazioni dello stesso;
3. Il consenso è validamente prestato solo se è liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto e se sono state rese all’interessato le informazioni di cui all’art. 13.

Come detto, nonostante l’abrogazione del predetto articolo ad opera del Decreto di adeguamento dell’ordinamento nazionale al regolamento UE n. 2016/679, non è stato scalfito il principio in materia di trattamento dati e consenso.

Occorre ricordare, peraltro, che i fatti in causa si sono verificati ben prima dell’entrata in vigore del GDPR e ciò giustifica il riferimento alla precedente disciplina.

In ogni caso, la novità giurisprudenziale non risiede nella circostanza che ha visto la Suprema Corte ribadire la centralità del dettato normativo dell’art. 23 Codice Privacy, ma, per la prima volta, nell'esplicito riferimento a quanto previsto dal GDPR, ossia la nuova regolamentazione in vigore in tutti gli Stati membri UE.

Il Regolamento europeo, infatti, ha reso maggiormente chiara la disciplina in materia, definendo il consenso come “qualsiasi manifestazione di volontà, libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso che i dati personali che lo riguardino siano oggetto di trattamento” (cfr. art. 4 n. 11 GDPR).

E' pacifico che il termine “specifico” indichi che il consenso debba essere rilasciato per ogni singola finalità di trattamento e che debba essere fornito mediante un atto positivo ed inequivocabile, in quanto “qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste”.

Pertanto, il consenso deve presentarsi come libero e specifico, in altre parole, l’interessato deve essere  nelle condizioni di comprendere quali saranno gli effetti del consenso.

Sul punto, afferma espressamente la Suprema Corte che “È dunque senz’altro da escludere che il consenso possa dirsi specificamente, e dunque anche liberamente, prestato in un’ipotesi in cui, ove gli effetti del consenso non siano indicati con completezza accanto ad una specifica «spunta» apposta sulla relativa casella di una pagina Web, ma siano invece descritti in altra pagina Web linkata alla prima, non vi sia contezza che l’interessato abbia consultato detta altra pagina, apponendo nuovamente una diversa «spunta» finalizzata a manifestare il suo consenso”

Conclusioni

Orbene, con la pronuncia in commento, la Corte di Cassazione ha respinto la generica nozione di consenso adottata dal Tribunale di Arezzo (nell’accogliere l’opposizione promossa dalla Società), stabilendo, in definitiva, il seguente principio di diritto:

“In tema di consenso al trattamento dei dati personali, la previsione dell’articolo 23 del Codice della privacy, nello stabilire che il consenso è validamente prestato solo se espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, consente al gestore di un sito Internet, il quale somministri un servizio fungibile, cui l’utente possa rinunciare senza gravoso sacrificio (nella specie servizio di newsletter su tematiche legate alla finanza, al fisco, al diritto e al lavoro), di condizionare la fornitura del servizio al trattamento dei dati per finalità pubblicitarie, sempre che il consenso sia singolarmente ed inequivocabilmente prestato in riferimento a tale effetto, il che comporta altresì la necessità, almeno, dell’indicazione dei settori merceologici o dei servizi cui i messaggi pubblicitari saranno riferiti».