adv

La Cassazione, nella recentissima sentenza n. 17278, ha dichiarato illegittimo il trattamento dei dati acquisiti senza previo specifico consenso da parte dell’interessato

Roma 02 luglio. La Suprema Corte, in tema di rilascio del consenso per il trattamento dei dati personali, attraverso l’interpretazione dell’art. 23 del Codice della Privacy, ha delineato i tratti essenziali e le modalità per il corretto rilascio del consenso.

Nozione di consenso

La Cassazione, partendo dalla nozione di consenso, è giunta ad interessante conclusione, secondo cui il consenso disciplinato dall’art. 23 del Codice della Privacy, esula dalle ipotesi di consenso generico richiesto ai fini negoziali. Invero, la fattispecie disciplinata dal suddetto codice tratta di una particolare ipotesi di consenso c.d.“rafforzato”.

Secondo i giudici della Suprema Corte, infatti, per garantire l’effettiva tutela del diritto di autodeterminazione dell’interessato, parte più debole nei rapporti caratterizzati da una forte “asimmetria informativa”, è necessario imporre al soggetto contraente più forte determinati obblighi informativi.

La fattispecie oggetto d’esame

Il ricorso presentato dal Garante della privacy lamentava il comportamento scorretto tenuto da un gestore di un sito internet, il quale offriva un servizio di newsletter gratuito in materia di finanza, fisco e diritto del lavoro ma soltanto dopo l’iscrizione alla propria piattaforma e, per di più, senza fornire alcuna informazione in merito al trattamento dei dati  personali così acquisiti.

Nel caso di specie, la modalità d’iscrizione al portale prevedeva l’inserimento di alcuni dati personali, tra cui quello dell’indirizzo mail e in calce al form di raccolta dati, era presente una casella di spunta (c.d. checkbox) con la quale il contraente poteva esprimere il consenso al trattamento dei dati personali.

Tuttavia, sul sito non vi era alcuna specifica in ordine al trattamento ed allo scopo per i quali i dati venivano richiesti (era presente solo un semplice collegamento ad un’altra pagina). Inoltre, il gestore del sito internet aveva reso impossibile l’utilizzo del predetto servizio di newsletter agli utenti che non avessero prestato il loro consenso al trattamento dei propri dati.

psb consulting gdpr

Il Garante della Privacy, dopo un attenta analisi di tale condotta tenuta dal gestore del sito internet, rilevava la scorrettezza di tale comportamento, ravvisando nello stesso un trattamento illecito dei dati personali acquisiti senza previo consenso da parte dei soggetti interessati, in violazione gli artt. 23 e 130 del Codice della Privacy.

Di conseguenza, l’Authority vietava al gestore del sito internet il trattamento dei dati personali illecitamente raccolti e lo intimava di adottare tutte le misure necessarie e opportune affinché il servizio offerto potesse essere svolto osservando quanto disposto in materia di rilascio del consenso.

La società colpita dal provvedimento proponeva, però, opposizione al Tribunale competente. Quest’ultimo riteneva fondate le motivazioni poste alla base dell’opposizione e conseguentemente l’accoglieva. Successivamente, il Garante per la protezione dei dati personali proponeva ricorso in Cassazione.

La decisione della Corte 

Come già accennato in precedenza, nei casi di trattamento dei dati personali il rilascio del consenso da parte dell’interessato, per essere legittimo, deve rispettare determinati requisiti. In particolar modo, l’interessato deve essere messo in condizione di poter conoscere gli effetti che il consenso prestato avrà sui propri dati personali.

Nel caso in cui il trattamento dei dati generi una pluralità di effetti, il consenso deve essere specificamente rilasciato per ciascuno di essi. Alla luce delle suddette considerazioni, nel caso esaminato dalla Corte, quindi il comportamento tenuto dal gestore del sito internet non rispetta il suddetto requisito e, pertanto, è stato censurato dai Giudici.

Per quel che concerne, invece, la possibilità di limitare il servizio offerto sottoponendolo ad una determinata condizione (come nel caso di specie al rilascio del consenso), la Corte ha statuito differentemente. I giudici, infatti, hanno ritenuto legittima la possibilità di limitare i servizi offerti ad una determinata categoria di soggetti, sempre che il servizio offerto non sia una prestazione infungibile ed irrinunciabile per l’interessato.

In altre parole, se un prestatore di servizi offre delle prestazioni facilmente reperibili anche in altri modi può limitare l’utilizzo dei suoi servizi a determinati soggetti. Nel caso de quo, il sito internet offriva un servizio di consulenza usufruibile soltanto a coloro che avessero deciso di rilasciare il proprio consenso al trattamento dei dati.

Orbene, in questa ipotesi il soggetto che non avesse voluto rilasciare il proprio consenso avrebbe potuto, comunque, reperire lo stesso servizio altrove. In questi casi, secondo la Suprema Corte è possibile e soprattutto legittimo per il prestatore sottoporre i propri servizi a condizione.

Mi chiamo Benedetta Greco, nel 2013 mi sono laureata in giurisprudenza, presso l'università Federico secondo di Napoli, con tesi sulla definizione di terrorismo in diritto internazionale (di cui vado molto fiera). Ho collaborato come praticante avvocato abilitato per diversi Studi legali e nel 2016 dopo tre anni di gavetta ho superato con successo l'esame di abilitazione alla professione forense. Le mie esperienze professionali si estendono anche al piano della didattica: nel 2014 ho diretto dei moduli riguardanti la “Legislazione commerciale” e “ Legislazione fiscale” nell'ambito di un corso sui “Requisiti professionali per il commercio” nonché un modulo sui “Riferimenti normativi e legislativi in ambito socio sanitario” rientrante nel corso di studi per l’acquisizione dell’attestato di Operatore socio sanitario.