Corte di Cassazione, sez. I civile, 2 luglio 2018, n. 17278
Al gestore di un sito Internet, che somministri un servizio fungibile cui l’utente possa rinunciare senza gravoso sacrificio, è consentito di subordinare la fornitura del servizio al trattamento dei dati per finalità pubblicitarie, sempre che il consenso sia singolarmente ed inequivocabilmente prestato in riferimento a tale scopo e che siano indicati almeno i settori merceologici o i servizi cui i messaggi pubblicitari saranno riferiti.
Sommario: 1. Il caso. – 2. I requisiti del consenso informato. – 3. Conclusioni e prospettive interpretative.
- Il caso.
La Suprema Corte ha affrontato la diffusa prassi applicata dai gestori dei siti web di condizionare l’accesso al servizio di aggiornamento mediante newsletter, in genere gratuito, alla ricezione di informazioni promozionali e commerciali: le newsletter pubblicitarie, ovvero ciò che gli editori chiamano direct email marketing e che i lettori traducono con spam.
In particolare, nel caso in esame il gestore di un sito internet offriva tramite il suo portale un servizio di newsletter di informazione giuridico-fiscale, condizionando l’iscrizione all’apposizione di una spunta all’interno di una checkboxper il consenso al trattamento dei dati personali. Inoltre, la pagina contenente il form di raccolta dati non evidenziava direttamente in cosa consistesse il trattamento dati e a quali finalità fossero destinati, ma si limitava a riportare un link ipertestuale che reindirizzava ad altra pagina web contenente l’informativa. Solo qui si palesava l’ulteriore utilizzo dei dati personali forniti dall’utente: l’invio di comunicazioni promozionali di informazioni commerciali anche da parte di soggetti terzi.
Ravvisando margini di violazione del Codice in materia di protezione dei dati personali[1], il Garante privacy emetteva un provvedimento inibitorio[2]nei confronti del gestore in questione, con cui dichiarava illegittimo il trattamento e ne vietava la prosecuzione per finalità promozionali, essendo stati i dati raccolti in mancanza di un consenso libero e specifico.
Il Tribunale di Arezzo, nell’accogliere l’opposizione proposta dalla società, sosteneva che il Codice Privacy «non individua un obbligo tout courtper il gestore del portale di offrire comunque le proprie prestazioni, a prescindere dal consenso al trattamento da parte dell’utente»; tale obbligo sarebbe invece stato introdotto da provvedimenti del Garante, quale le Linee Guida di contrasto allo spam[3], da considerarsi un’indebita integrazione degli obblighi di cui all’art. 23 del Codice Privacy.
- I requisiti del consenso informato
La Corte di Cassazione, nell’accogliere il ricorso dell’Autorità Garante avverso la sentenza del Tribunale di merito, trae spunto per tornare sulla nozione di consenso adottata dal legislatore con l’art. 23 del Codice Privacy, armonizzandola con il dettato contenuto nell’art. 4 del Regolamento (UE) 2016/679.
La Corte affronta la tematica per gradi, partendo con l’escludere che il consenso considerato dalla normativa di settore possa essere equiparato al consenso generico richiesto a fini negoziali – ossia prestato da un soggetto capace di intendere e volere e non viziato da errore, violenza o dolo, ovvero, in determinate circostanze, da pericolo o bisogno[4]. Il Codice Privacy, in attuazione alle prescrizioni contenute nella direttiva 96/45/CE, prescrive che il consenso sia manifestato, oltre che espressamente, liberamente e specificamente, a condizione che all’interessato siano state preventivamente offerte tutte le informazioni necessarie a definire la portata del trattamento.
Il giudice di legittimità conclude sul punto ribadendo quanto già pacifico in sede giurisprudenziale e dottrinale, ovvero che in materia di trattamento di dati personali il consenso debba ritenersi “rafforzato”, sia in ragione dell’«esigenza di rimediare alla intrinseca situazione di debolezza dell’interessato, sia sotto il profilo della asimmetria informativa». Il consenso rilevante in tale campo deve pertanto essere un consenso informato, assimilabile a quello richiesto in settori quale quello sanitario, dove la tutela del diritto di autodeterminazione dell’interessato è posto quale cardine per l’esecuzione di ogni attività di trattamento[5]. In ragione di tale interpretazione, pertanto, il consenso non dev’essere «perturbato non solo per effetto di errore, violenza o dolo, ma anche per l’effetto di possibili disorientamenti, stratagemmi, opacità, sotterfugi, slealtà doppiezze o malizie comunque adottate dal titolare del trattamento»[6], circostanze che potrebbero concretizzarsi qualora venissero a mancare due elementi fondamentali per determinare la validità del consenso: libertà e specificità.
La Corte si sofferma sull’analisi di tali caratteristiche del consenso, meritevoli di approfondimenti anche in considerazione del puntuale richiamo contenuto nella definizione contenuta nell’art. 4, n. 11, del Regolamento (UE) 2016/679.[7]
Per valutare se il consenso sia stato prestato liberamente è necessario verificare che la scelta operata dall’interessato sia stata effettiva e che il soggetto sia stato messo nelle condizioni di avere il controllo sui propri dati. Il Regolamento UE[8]stabilisce che la mancanza di una scelta effettiva determinerebbe un’indebita pressione sulla volontà dell’interessato, condizionato dalle possibili conseguenze negative nel caso di mancato consenso, circostanza che andrebbe a invalidare il processo di libera formazione della volontà[9].
In applicazione dei principi sopra analizzati, il giudice di legittimità, chiamato a pronunciarsi nel caso in esame, si chiede se il condizionamento della libertà dell’interessato possa essere ravvisato – e sia quindi in contrasto con il dettato normativo – qualora l’offerta di un determinato servizio da parte del gestore del sito web sia appunto condizionata al rilascio del consenso all’utilizzo dei dati personali per il successivo invio da parte di terzi di messaggi promozionali. Sul punto la Corte si pronuncia statuendo che la questione non può essere definita in modo univoco, quanto «il consenso non può essere sempre e comunque dato per scontato e debba invece essere tanto più ritenuto sussistente, quanto più la prestazione offerta dal gestore del sito Internet sia ad un tempo infungibile ed irrinunciabile per l’interessato, il che non può certo dirsi accada nell’ipotesi di offerta di un generico servizio informativo del tipo di quello in discorso, giacché all’evidenza si tratta di informazioni agevolmente acquisibili per altra via, eventualmente attraverso siti a pagamento, se non attraverso il ricorso all’editoria cartacea, con la conseguenza che ben può rinunciarsi a detto servizio senza gravoso sacrificio».
Tale riflessione porta quindi la Corte a confutare l’argomentazione del Giudice di merito e a sostenere la tesi del Garante, in quanto se si obbligasse il gestore del portale web a fornire il servizio di newsletter indipendentemente dal consenso alla ricezione di ulteriore informativa commerciale, si imporrebbe allo stesso di «rinunciare al tornaconto economico dell’operazione che egli compie, proveniente dall’attività pubblicitaria realizzata tramite l’impiego dei dati personali acquisiti». Pertanto, a chiusura dell’argomentazione sul punto, la Cassazione statuisce che nulla impedisce al fornitore di un servizio – fungibile e rinunciabile – «di negare il servizio offerto a chi non si presti a ricevere messaggi promozionali», in quanto «l’ordinamento non vieta lo scambio di dati personali, ma esige tuttavia che tale scambio sia frutto di un consenso pieno ed in nessun modo coartato».
Infine, il consenso non potrà considerarsi libero se utilizzato per legittimare molteplici trattamenti. La specificità del consenso è richiesta come endiadi della libertà, poiché «la determinazione volitiva in ordine al trattamento dati non sarebbe neppure astrattamente configurabile […] se non fosse univocamente indirizzata alla produzione di effetti che l’utente abbia preventivamente avuto modo di rappresentarsi singolarmente con esattezza». Sul punto la Cassazione sembra richiamare quanto più volte espresso dal Gruppo di lavoro Articolo 29, che, proprio sul caso analogo di un rivenditore intenzionato a condividere anche con altre società del gruppo i dati personali dei proprio clienti da utilizzarsi per inviare comunicazioni di marketing con posta elettronica, ha considerato necessario un consenso specifico, da ritenersi valido solo qualora l’identità di ciascun partner sia stata dichiarata all’interessato nel momento dell’ottenimento del consenso stesso[10].
All’argomentazione della Corte sottintende inoltre il concetto di granularità, inteso quale separazione delle finalità in ragione delle peculiarità delle attività eseguite mediante il trattamento dei dati personali, in quanto solo mediante la separazione degli effetti e dei singoli consensi manifestati sugli stessi è possibile accertarsi che la volontà dell’interessato si sia manifestata in maniera pienamente consapevole[11].
Esposte le argomentazioni sopra riportate, la pronuncia tocca un altro aspetto del caso concreto in esame: la circostanza per cui l’informativa contenente la descrizione delle finalità del trattamento non sia indicata accanto alla casella di “spunta” usata per conferire il consenso, ma sia invece reperibile in altra pagina linkata alla prima. A giudizio della Cassazione in tale circostanza non può aversi contezza che l’interessato abbia effettivamente preso visione di tale altra pagine e abbia nuovamente manifestato il proprio consenso a tali ulteriori effetti. Infatti, l’accessibilità e la visibilità delle informazioni fornite all’interessato sono da sempre oggetto di attenzione e richiamo anche da parte del Gruppo di lavoro Articolo 29, che ha più volte chiarito la necessità che le informazioni vengano «fornite direttamente agli individui interessati. Non è sufficiente che le informazioni siano disponibili da qualche parte»[12].
Infine, la trattazione della Corte si concentra sul livello di specificità da riservare all’individuazione delle finalità di trattamento: il consenso non può «essere genericamente riferito a non meglio identificati messaggi pubblicitari», e, al contrario, deve fare riferimento ad un «trattamento chiaramente individuato, il che comporta la necessità, almeno, dell’indicazione dei settori merceologici o dei servizi cui i messaggi pubblicitari sono riferiti». Solo in tal modo l’interessato-cliente viene posto nelle condizioni di conoscere con ragionevole consapevolezza gli ambiti tematici oggetto delle e-mail che riceverà a fini promozionali, così da poter valutare se di suo concreto interesse e quindi poter esprimere un consenso informato pienamente libero.
- Conclusioni e prospettive interpretative
Tale ultima indicazione della Corte, accolta dal web come innovativa e particolarmente pressante per tutti i rivenditori interessati ad utilizzare i dati personali dei clienti per effettuare attività di marketing, richiama in realtà una posizione già pacifica da anni nelle prescrizioni dell’Autorità nazionale. Infatti, in virtù di una lettura della direttiva 96/45/CE calata nel contesto informatico del mercato online, il Garante per la protezione dei dati personali già nel 2013 prevedeva che il titolare, interessato a raccogliere dati personali «anche per comunicarli (o cederli) a terzi per le loro finalità promozionali deve previamente rilasciare ad essi un’informativa, ai sensi dell’art. 13, c. 1 del Codice Privacy, che individui, oltre agli elementi individuati dalla norma, anche ciascuno dei terzi o, in alternativa, indichi le categorie (economiche o merceologiche) di appartenenza degli stessi (ad esempio: “finanza”, “editoria”, “abbigliamento”)»[13].
Pertanto, se si vuole riscontrare una nota innovativa in tal senso nella pronuncia, l’unico elemento riguarda semmai il fatto che la Cassazione non indica come alternativa la specificazione dei singoli terzi o delle categorie merceologiche, ma parrebbe richiederle entrambe nella descrizione delle finalità e dei destinatari contenuta nell’informativa.
La sentenza in commento è invece a ragione destinata a sollevare contrasti tra gli esperti in materia laddove apre scenari imprevedibili in relazione all’interpretazione della nozione di infungibilità e irrinunciabilità del servizio. Infatti, le asserzioni della Cassazione non sembrano circoscrivere l’applicazione dei principi espressi al solo contesto del marketing online e, in particolare, all’invio di newsletter informative condizionate a quelle pubblicitarie, lasciando così margini interpretativi circa la necessità di poter condizionare l’ottenimento di un servizio all’accettazione dello “spam pubblicitario” per ogni prestazione che non rientri tra quelle irrinunciabili e infungibili. Ma cosa vi rientra? E chi lo stabilisce?
La nozione stessa di fungibilità non è suscettibile di una definizione univoca, né di univoca interpretazione, sia perché la società moderna consente agevolmente di reperire il medesimo servizio o prodotto da molteplici operatori economici – non solo nel settore informatico -, sia perché non è chiaro a chi competerebbe l’onore e l’onere di stabilire se il servizio sia irrinunciabile e infungibile.
Sul punto si auspica a breve un intervento chiarificatore dell’Autorità Garante e nuove pronunce della Suprema Corte sul tema, così da evitare l’insorgere di pericolose criticità nell’applicazione del Regolamento europeo.
[1]Cfr. artt. 23 e 130, d.lgs. 196/2003.
[2]Provvedimento inibitorio e prescrittivo nei confronti di AdSpray S.r.l. – n. 427 del 25 settembre 2014.
[3]Linee guida in materia di attività promozionale e contrasto allo spam – Provvedimento n. 330 del 4 luglio 2013.
[4]Cfr. artt. 1427 ss. c.c.
[5]In tema di consenso informato nel settore sanitario, ex multis: C. Cost., 23 dicembre 2008, n. 438; Cass. civ., sez. III, 23 maggio 2013, n.18334, in Responsabilità Civile e Previdenza, 2, 2014, 569 ss.; Cass. civ., sez. III, 22 maggio 2014, n. 19731, in Diritto & Giustizia, 22 settembre 2014; Cass. civ., sez. III, ord. 4 maggio 2018, n. 10608, in Diritto & Giustizia,7 maggio 2018.
[6]L’affermazione della Corte richiama il parere n. 15/2011 (WP 187) sulla definizione di consenso: il consenso può dirsi validamente dato «soltanto se l’interessato è in grado di operare realmente una scelta, e non c’è il rischio di raggiri, intimidazioni, coercizioni o conseguenze negative significative nel caso in cui questa persona non manifesti il proprio consenso». Sul tema cfr. anche il parere n. 8/2001 (WP 131) sul trattamento dei dati personali contenuti nelle cartelle cliniche elettroniche, e il parere n. 6/2014 (WP 217) sul concetto di interesse legittimo del responsabile del trattamento
[7]Art. 4, n. 11, Regolamento (UE) 2016/679: «“consent” of the data subject means any freely given, specific, informed and unambiguous indication of the data subject’s wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her». Sulle caratteristiche del consenso si veda anche il Considerando 32.
[8]Cfr. art. 7, par. 4, Regolamento (UE) 2016/679: «When assessing whether consent is freely given, utmost account shall be taken of whether, inter alia, the performance of a contract, including the provision of a service, is conditional on consent to the processing of personal data that is not necessary for the performance of that contract».
[9]Il tema della libertà del consenso è stato oggetto di ampio approfondimento da parte del Gruppo articolo 29. In particolare: Linee guida sul consenso ai sensi del Regolamento (UE) 2016/679 adottate il 28 novembre 2017 e modificate da ultimo il 10 aprile 2018 (WP 259 rev. 01)
[10]Cfr. ibid., par. 3.1.3. Sulla specificità del consenso anche parere n. 15/2011 (WP 187), 11
[11]Le motivazioni del giudice di legittimità trovano sostegno nel Considerando 32 del Regolamento (UE): «Consent should cover all processing activities carried out for the same purpose or purposes. When the processing has multiple purposes, consent should be given for all of them» e 43: «Consent is presumed not to be freely given if it does not allow separate consent to be given to different personal data processing operations despite it being appropriate in the individual case, or if the performance of a contract, including the provision of a service, is dependent on the consent despite such consent not being necessary for such performance».
[12]Cfr. parere n. 15/2011 (WP 187), 16. Cfr. anche Gruppo di lavoro Articolo 29, Linee guida 10 aprile 2018 (WP 259 rev. 01), par. 3.3.2. Sul divieto di dare una informativa per relationem ad altri documenti si era già pronunciata chiaramente la Corte di giustizia europea, cause riunite da C-397/01 a C-403/01 (2004).
[13]Cfr. Linee guida in materia di attività promozionale e contrasto allo spam – provvedimento n. 330 del 4 luglio 2013.
