Con sentenza n. 17278 del 2 luglio 2018, il Giudice di legittimità, accogliendo il ricorso del Garante della Privacy, ha sancito l’insufficienza di un generico consenso a ricevere newsletter promozionali dal web per violazione della privacy, poiché il consumatore non riesce a conoscerne preventivamente l’oggetto.
I fatti si riferiscono all’esito di una sentenza del 3 aprile 2016 con cui il Tribunale di Arezzo aveva accolto l’opposizione, proposta ai sensi dell’art.152 codice della privacy, da una Società operante nel web avverso un provvedimento dell’Autorità garante dei dati personali, che:
– aveva dichiarato illecito il trattamento dei dati personali operato dalla Società per fini promozionali, senza il consenso libero e specifico degli interessati ex artt. 23 e 130 codice della privacy;
– aveva vietato alla Società, ex artt.143, 144 e 154 del codice della privacy, il trattamento dei dati personali già raccolti degli utenti registrati alla newsletter per finalità promozionali;
– aveva prescritto alla Società, ex artt.143, 144 e 154, di fornire al Garante documentazione attestante specifico consenso degli interessati, ex artt.23 e 130, qualora avesse inteso continuare ad utilizzare le email per l’invio di messaggi promozionali.
Il Giudice di primo grado aveva motivato l’accoglimento ritenendo che, con l’adesione generica prestata a fini negoziali dagli utenti, questi avevano autorizzato liberamente e volontariamente il trattamento a fini pubblicitari dei dati personali, ritenendoli edotti anche sulle conseguenze attraverso il link di richiamo alle condizioni.
La Suprema Corte ha cassato la sentenza del Tribunale ritenendo la procedura adottata dalla Società contraria al Codice della privacy in riferimento al trattamento dei dati personali.
Nel caso di specie, la Società offriva tramite un portale un servizio di newsletter su fisco, finanza, lavoro. Per accedervi l’utente doveva inserire email e “spuntare” in calce al form di raccolta dati la casella per il consenso al trattamento dei dati personali che nella pagina non veniva specificato.
Solo un click su un ulteriore link consentiva la visione della normativa sulla privacy.
Orbene, secondo la Cassazione, l’art.23 del codice della privacy stabilisce che il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se sono state rese all’interessato le informazioni di cui all’art.13.
La previsione normativa esclude la validità del consenso generico prestato a fini negoziali in tema di trattamento dei dati personali. Supporre il contrario, per gli Ermellini, renderebbe superfluo l’art.23.
La norma stabilisce espressamente un consenso manifesto, espresso, libero, specifico ed edotto sulle informazioni previste dall’art.13; un consenso non generico, ma rafforzato per tutelare l’utente debole, sia sotto il profilo della asimmetria informativa, sia sotto quello dell’aggressione commerciale; un consenso informato, pieno, autodeterminato attraverso obblighi di informazione a favore dell’utente più debole.
Il consenso deve essere libero, non coartato in alcun modo; tale libertà sussiste anche quando viene richiesto per l’utilizzo di ulteriori servizi rispetto a quelli gratuiti, poiché, trattandosi di servizi fungibili e rinunciabili, non comportano per l’utente una gravosa rinuncia tale da inficiarne la libera scelta, che può essere indirizzata ad altri siti o all’editoria.
Il consenso deve essere specifico, l’utente deve essere posto nella condizione di raffigurarsi in modo inequivocabile le conseguenze del consenso al trattamento dei suoi dati; ne consegue che se comporta una pluralità di effetti, come nel caso esaminato dalla Suprema Corte in cui si estende alla ricezione di messaggi promozionali anche da parte di terzi, il consenso deve essere prestato a ciascuno di essi palesando la cognizione di tali effetti.
Alla luce di quanto sopra, il consenso può definirsi specifico e libero se la spunta viene apposta, oltre che genericamente nel “checkbox”, anche negli effetti indicati in un’ulteriore pagina linkata, previa conoscenza del settore merceologico di appartenenza dei messaggi pubblicitari sottesi.
Il consenso riceve, così, la tutela generale contro l’errore, la violenza ed il dolo, prevista per il negoziale, rafforzata da quella contro disorientamenti, stratagemmi, opacità, sotterfugi, slealtà, doppiezze e malizie comunque adottate dal titolare del trattamento.
Concludendo, il Giudice di Legittimità, sancisce il principio secondo cui: ”la previsione dell’articolo 23 del Codice della privacy, nello stabilire che il consenso è validamente prestato solo se espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, consente al gestore di un sito internet, il quale somministri un servizio fungibile, cui l’utente possa rinunciare senza gravoso sacrificio (nella specie servizio di newsletter su tematiche legate alla finanza, a fisco, al diritto e al lavoro), di condizionare la fornitura del servizio al trattamento dei dati per finalità pubblicitarie, sempre che il consenso sia singolarmente ed inequivocabilmente prestato in riferimento a tale effetto, il che comporta altresì la necessità, almeno, dell’indicazione dei settori merceologici o dei servizi cui i messaggi pubblicitari saranno riferiti”.
News inserita il 10/07/2018 alle 14:30
Stampa
