Con la sentenza n. 17278 del 2 luglio 2018 (del quale è disponibile per la lettura il testo integrale), la Cassazione si è espressa sul tema del rilascio del consenso per il trattamento dei dati personali, offrendo un’interpretazione suggestiva e apparentemente in contrasto con la normativa vigente in materia.
Nel chiarire le modalità di rilascio del consenso, la Corte ha infatti indirettamente sconfessato il Garante della Privacy, stabilendo che la prestazione di un servizio informatico fungibile può essere condizionata alla prestazione del consenso al trattamento dei dati personali.
In altre parole, il gestore di un sito internet potrebbe negare un servizio offerto a chi non si presti a ricevere messaggi promozionali, purché si tratti di un servizio fungibile (come, ad esempio, quello informativo di una newsletter) e che non comporti un sacrificio eccessivo per l’utente che voglia rinunciarvi.
Il caso in esame
Nel caso in esame, il gestore di un sito internet offriva, tramite il suo portale, un servizio di newsletter su tematiche legate alla finanza, al fisco, al diritto e al lavoro.
In particolare, per accedere alla newsletter era richiesto l’inserimento, da parte dell’utente, del proprio indirizzo email e, in calce al form di raccolta dati, era presente una casella di spunta (c.d. checkbox) con la quale il contraente poteva esprimere il consenso «al trattamento dei dati personali»; inviando la richiesta di iscrizione senza validare la casella del consenso non era passibile accedere al servizio e appariva il messaggio «è richiesta la selezione della casella». Non era tuttavia evidenziato direttamente dalla pagina in cosa consistesse il «trattamento dei dati personali» e quali effetti producesse (vi era infatti solo un link che rimandava ad altra pagina).
Constatato tale vizio, l’Autorità garante per la protezione di dati personali emetteva dunque un provvedimento nei confronti del gestore in questione che
- aveva dichiarato illecito il trattamento dei dati personali posto in essere per finalità promozionali, effettuato senza aver ottenuto un consenso libero e specifico degli interessati ex articoli 23 e 130 del Codice della privacy;
- aveva vietato al gestore del sito il trattamento dei dati personali illecitamente raccolti degli utenti registrati al servizio di newsletter per le finalità di invio di messaggi promozionali, ferma restando l’utilizzabilità degli stessi per la fornitura dei servizi;
- aveva prescritto al gestore del sito, qualora quest’ultima avesse inteso continuare ad utilizzare lo strumento della posta elettronica per l’invio di newsletter con comunicazioni promozionali, di adottare le misure necessarie e opportune, prevedendo la possibilità per gli interessati di esprimere uno specifico consenso e fornendone adeguata documentazione al Garante
A seguito dell’opposizione al provvedimento, il tribunale adito, rilevando che la norma non individuerebbe un obbligo tout court per il gestore del portale di offrire comunque le proprie prestazioni, a prescindere dal consenso al trattamento dei dati personali da parte dell’utente, accoglieva l’opposizione ritenendo, in definitiva, che il servizio in questione fosse prestato ad utenti che del tutto liberamente e volontariamente avevano optato per l’adesione allo stesso.
L’Autorità garante per la protezione dei dati personali proponeva dunque ricorso in Cassazione.
La nozione di consenso per il trattamento dei dati personali
La Corte, in primo luogo, ha voluto identificare e delimitare la nozione di consenso adottata dal legislatore con il richiamato articolo 23.
A tal riguardo, escludendo che il consenso considerato da tale disposizione sia semplicemente il medesimo consenso in generale richiesto a fini negoziali, è stato rilevato che la norma, al fine di difendere l’interessato dall'”asimmetria informativa” e tutelarlo contro possibili tecniche commerciali aggressive o suggestive, preveda un consenso «rafforzato».
Il consenso in questione deve dunque essere ricondotto alla nozione di «consenso informato», con la conseguente esigenza di tutelare la sua pienezza, in vista dell’esplicazione del diritto di autodeterminazione dell’interessato, attraverso la previsione di obblighi di informazione contemplati in favore della parte ritenuta più debole.
Consenso specifico e insufficienza del link ad altra pagina web
Oltre che libero, il consenso deve essere specifico: l’interessato deve essere con certezza posto in condizione di raffigurarsi, in maniera inequivocabile, gli effetti del consenso prestato al trattamento dei suoi dati.
Se dunque detto consenso comporta una pluralità di effetti — come nel caso di specie, in cui esso si estende alla ricezione di messaggi promozionali anche da parte di terzi —, lo stesso va singolarmente prestato in riferimento a ciascuno di essi, di modo che, con totale trasparenza, risulti palese che proprio ciascuno di tali effetti egli ha voluto.
È dunque senz’altro da escludere, come specificato dalla Suprema Corte, che il consenso possa dirsi specificamente, e dunque anche liberamente, prestato in un’ipotesi in cui gli effetti del consenso non siano indicati con completezza accanto ad una specifica «spunta» apposta sulla relativa casella di una pagina Web, ma siano invece descritti in altra pagina Web linkata alla prima. In tal caso, non v’è infatti contezza che l’interessato abbia consultato questa altra pagina, apponendo nuovamente una diversa «spunta» finalizzata a manifestare il suo consenso.
Perché dunque il consenso possa ritenersi specifico, esso non potrà essere genericamente riferito a non meglio identificati messaggi pubblicitari, sicché colui il quale abbia chiesto di fruire di un servizio di informazioni giuridico-fiscali, si debba vedere poi raggiunto da pubblicità di servizi o prodotti non attinenti alle ricerche effettuate.
È allora specifico, per questo aspetto, il consenso se riferito «ad un trattamento chiaramente individuato», il che comporta la necessità, almeno, dell’indicazione dei settori merceologici o dei servizi cui i messaggi pubblicitari saranno riferiti.
Le newsletter pubblicitarie e il servizio internet condizionato al rilascio del consenso
È tuttavia un altro il passo della sentenza destinato a sollevare le critiche degli addetti ai lavori: quello, cioè, in cui la Suprema Corte ha affrontato l’ipotesi in cui l’offerta di un determinato servizio da parte del gestore di un sito Internet sia condizionato al rilascio del consenso all’utilizzo dei dati personali per il successivo invio, da parte di terzi, di messaggi pubblicitari.
Il quesito rimanda direttamente al comma 4 dell’articolo 7 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, secondo cui: «Nel valutare se il consenso sia stato liberamente prestato, tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto».
Ebbene, la Corte ha affermato che non sussista una risposta univoca al quesito, ma che essa dipenda dalla fungibilità e irrinunciabilità del servizio per l’interessato: in altre parole, può ritenersi sussistente un condizionamento se la prestazione offerta dal gestore del sito Internet sia infungibile ed irrinunciabile per l’interessato.
Ma nell’ipotesi opposta, come quella del caso in questione in cui il gestore offriva un servizio informativo, divulgando informazioni facilmente acquisibili per altra via, eventualmente anche attraverso siti a pagamento o attraverso il ricorso all’editoria cartacea, l’interessato poteva ben rinunciare a detto servizio (ritenuto fungibile) senza gravoso sacrificio.
Di conseguenza, secondo la Corte, non può essere condiviso l’argomento svolto dal giudice di merito secondo cui, dando credito alla tesi sostenuta dal Garante, si finirebbe per «delineare una sorta di obbligo tout court, per il gestore del portale, di offrire comunque le proprie prestazioni, a prescindere dalla prestazione del consenso al trattamento dei dati personali da parte dell’utente».
“Nulla, infatti, impedisce al gestore del sito – in un caso come quello in questione, concernente un servizio né infungibile, né irrinunciabile, come quello informativo – di negare il servizio offerto a chi non si presti a ricevere messaggi promozionali“. Mentre ciò che gli è interdetto è utilizzare i dati personali per somministrare o far somministrare informazioni pubblicitarie a colui che non abbia effettivamente manifestato la volontà di riceverli. Insomma, a parere della Corte di legittimità, l’ordinamento non vieta lo scambio di dati personali, ma esige tuttavia che tale scambio sia frutto di un consenso pieno ed in nessun modo coartato.
Il principio di diritto
Alla luce di quanto rilevato, la Suprema Corte ha pertanto enunciato il seguente principio di diritto:
«In tema di consenso al trattamento dei dati personali, la previsione dell’articolo 23 del Codice della privacy, nello stabilire che il consenso è validamente prestato solo se espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, consente al gestore di un sito Internet, il quale somministri un servizio fungibile, cui l’utente possa rinunciare senza gravoso sacrificio (nella specie servizio di newsletter su tematiche legate alla finanza, al fisco, al diritto e al lavoro), di condizionare la fornitura del servizio al trattamento dei dati per finalità pubblicitarie, sempre che il consenso sia singolarmente ed inequivocabilmente prestato in riferimento a tale effetto, il che comporta altresì la necessità, almeno, dell’indicazione dei settori merceologici o dei servizi cui i messaggi pubblicitari saranno riferiti».
Considerazioni conclusive
La sentenza in commento è certamente destinata a sollevare contrasti tra gli esperti in materia e, da una prima analisi, presenterebbe alcune pericolose criticità.
Una delle questioni più delicate è il fatto che in nessun passo della sentenza la Suprema Corte abbia limitato i principi espressi alle sole categorie di siti di informazione: tale circostanza apre scenari imprevedibili in ordine all’interpretazione della nozione di fungibilità di un servizio.
In altre parole, quando un servizio informatico può considerarsi infungibile o irrinunciabile?
Quali sono i criteri per comprendere se l’interessato sia in grado di comprendere la fungibilità di tale servizio?
E se un servizio venga considerato fungibile, Il Titolare può condizionare un servizio informatico al rilascio del consenso al trattamento di dati personali non strettamente necessari alla prestazione offerta? Come si pone il principio espresso dalla Corte con quanto statuito dal GDPR in materia di consenso?
La questioni sorte a seguito di tale pronuncia sono tutt’altro che semplici e in ogni caso controverse, al punto da suscitare in alcuni la necessità di un intervento chiarificatore proprio dell’Autorità Garante per la protezione dei dati personali. Non resta che attendere gli sviluppi in materia.
