Privacy – Cass. civ. 17278/2018 sulla libertà del consenso: la valutazione dipende anche dalla fungibilità e rinunciabilità del servizio offerto

La sentenza 17278 del 2 luglio 2018, emessa dalla Corte di Cassazione, I sezione civile, ha ad oggetto la natura e le caratteristiche del consenso prestato dall’interessato per il trattamento dei dati personali. Sebbene la sentenza applichi, ratione temporis, l’art. 23 del D. Lgs. 196/03 (c.d. “Codice privacy”), essa aggiunge un tassello importante al dibattito sul consenso ai sensi degli articoli 7 e 8 del Regolamento UE 2016/679 (c.d. “GDPR”), applicabile, come noto, dal 25 maggio 2018.

Il provvedimento del Garante per la protezione dei dati personali impugnato (n. 427 del 25 settembre 2014) aveva ad oggetto l’invio di messaggi promozionali indesiderati senza acquisizione di un valido consenso degli interessati. In particolare, il caso di specie riguardava le modalità di iscrizione ad un servizio di newsletter di informazione giuridico-fiscale, che prevedevano l’inserimento dell’indirizzo e-mail e l’apposizione di una spunta all’interno di una checkbox per il consenso «al trattamento dei dati personali». L’apposizione di una spunta all’interno di tale casella era necessaria per l’accesso al servizio. Inoltre, non veniva specificato immediatamente a quale “trattamento dei dati personali” si facesse riferimento: la normativa sulla privacy era accessibile tramite un link ipertestuale (in cui si affermava, inter alia, che i dati personali acquisiti tramite l’iscrizione alla newsletter sarebbero stati utilizzati anche per l’invio di comunicazioni promozionali e informazioni commerciali da parte di terzi).

Il Garante ha considerato illecito tale trattamento di dati personali ed ha emesso un provvedimento inibitorio poiché “la società non [aveva] consentito agli interessati di esprimere uno specifico consenso per la ricezione di messaggi promozionali via e-mail essendo stato […]  obbligatorio prestare il consenso alla ricezione degli stessi per potersi iscrivere al servizio di newsletter, salvo la possibilità di servirsi dell’opt-out”.

Il Tribunale di Arezzo ha accolto l’opposizione proposta dalla società, ritenendo che il Codice per la protezione dei dati personali non individuasse un obbligo per il gestore di un portale di offrire comunque le proprie prestazioni (a prescindere dal consenso prestato da parte dell’utente) e che gli utenti avessero comunque prestato liberamente il proprio consenso. Inoltre, secondo il Tribunale di primo grado, mediante le Linee Guida contro lo spam del 2013, il Garante aveva indebitamente integrato gli obblighi previsti dall’art. 23 del Codice Privacy.

Il Garante per la protezione dei dati personali ha dunque adito la Corte di Cassazione impugnando la sentenza del Tribunale di Arezzo e rivendicando una diversa natura delle proprie Linee Guida, che “recavano invece soltanto la corretta interpretazione del dato normativo, alla luce del quale occorreva che il consenso al trattamento dei dati personali fosse espresso liberamente e specificamente, mancando nel caso di specie una specifica manifestazione di volontà volta alla ricezione di messaggi promozionali via ma/I, essendo obbligatorio prestare il consenso alla loro ricezione per potersi iscrivere al servizio di newsletter offerto dalla società”.

La Cassazione – nell’accogliere il ricorso dell’autorità Garante – ha analizzato la nozione di consenso adottata dal legislatore con l’art. 23 del Codice Privacy anche facendo riferimento alla nozione offerta dall’art. 4(11) GDPR, e ha sottolineato che:

  • la nozione di consenso valida all’interno del contesto del trattamento di dati personali non può essere accostata a quella del consenso genericamente necessario a fini negoziali; si tratta invece di un consenso “rafforzato”, analogo al consenso “informato” necessario a fini sanitari, e “dettato dall’esigenza di rimediare alla intrinseca situazione di debolezza dell’interessato, sia sotto il profilo della evidente «asimmetria informativa », sia dal versante della tutela contro possibili tecniche commerciali aggressive o suggestive”;
  • il ruolo ricoperto dal consenso nel campo dei dati personali è dunque “tale da non ammettere compressioni di alcun genere e non sopporta di essere sia pure marginalmente perturbato non solo per effetto di errore, violenza o dolo, ma anche per effetto de l’intero ventaglio di possibili disorientamenti, stratagemmi, opacità, sotterfugi, slealtà, doppiezze o malizie comunque adottate dal titolare”;
  • con riferimento al requisito della libertà del consenso, la Corte ricorda che l’art. 7(4) del GDPR richiede di tenere “nella massima considerazione l’eventualità […] che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto”; tuttavia, secondo la Cassazione, il fatto che l’offerta di un determinato servizio da parte del gestore di un sito sia condizionata al consenso all’utilizzo dei dati personali per l’invio di messaggi pubblicitari da parte di terzi non comporta sempre una tale compressione della libertà dell’interessato da rendere il consenso, per ciò solo, non libero; infatti, vi sarà tanto più un condizionamento tale da rendere il consenso non conforme all’art. 23 “quanto più la prestazione offerta […] sia ad un tempo infungibile ed irrinunciabile per l’interessato, il che non può certo dirsi accada nell’ipotesi di offerta di un generico servizio informativo del tipo di quello in discorso”. Infatti, l’interessato ben poteva rinunciare al servizio offerto nel caso di specie “senza gravoso sacrificio“. Inoltre, il gestore del sito, che offriva un servizio né infungibile né irrinunciabile, ben poteva negare il servizio offerto a chi non presti il proprio consenso alla ricezione di messaggi promozionali, mentre senz’altro non poteva trattare i dati personali per l’invio di messaggi promozionali (propri o di terzi) senza un’effettiva manifestazione di volontà in tal senso da parte dell’interessato;
  • per quanto attiene, invece, al requisito della specificità del consenso, esso è indissolubilmente collegato al requisito della libertà del consenso poiché ha a che vedere con la “produzione di effetti che l’utente abbia preventivamente avuto modo di rappresentarsi, singolarmente, con esattezza“; pertanto, nel caso di molteplici finalità del trattamento che richiedano il consenso dell’interessato, occorre che quest’ultimo possa prestare il proprio consenso singolarmente in riferimento a ciascuna di esse [n.b. il Considerando 32 del GDPR evidenzia che “Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste”].  Il generico riferimento accanto alla checkbox nel caso di specie certo non rispettava tale principio generale.
  • Secondo la Cassazione, inoltre, anche l’indicazione di una finalità di invio di messaggi promozionali non meglio definiti potrebbe essere non sufficientemente precisa: affinché il consenso possa essere riferito ad un trattamento specifico, occorre che vengano almeno indicati i settori merceologici o i servizi cui i messaggi pubblicitari saranno riferiti. Tale affermazione, echeggia, in verità, quanto già affermato dal Garante nelle Linee Guida contro lo spam (paragrafo 2.6.3), che richiedono al titolare di inserire nell’informativa almeno la categoria merceologica dei terzi a cui vengano comunicati i dati personali per loro finalità promozionali. 

Pertanto, la Cassazione ha sottolineato in definitiva che il gestore di un sito Internet che somministri un servizio fungibile, cui l’utente possa rinunciare senza gravoso sacrificio, può condizionare la fornitura del servizio stesso al trattamento dei dati per finalità pubblicitarie, sempre che il consenso sia singolarmente ed inequivocabilmente prestato in riferimento a tale effetto, il che comporta altresì la necessità di indicare, almeno, i settori merceologici o i servizi cui i messaggi pubblicitari saranno riferiti

L’impatto della sentenza nel contesto oggi regolato dal GDPR dipenderà sicuramente dall’interpretazione di “servizio infungibile ed irrinunciabile”: basti pensare all’importanza rivestita dai servizi di social network e molti altri servizi digitali, rispetto a cui il concetto di rinunciabilità o fungibilità si atteggia in maniera del tutto peculiare.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *