La privacy nella gestione dell’e-mail – indice:
Secondo quanto afferma una recente ordinanza della Corte di Cassazione (la n. 17665/2018), anche l’email rientra nella definizione di dati personali, richiedendo pertanto il consenso sulla privacy per il suo corretto trattamento. Ad affermarlo sono i giudici della Suprema Corte, occupatisi delle vicende che hanno visto come protagonista una società che mediante il proprio sito internet raccoglieva nome, cognome ed email dei clienti, senza tuttavia richiedere un consenso specifico, come avrebbe invece dovuto fare.
Nell’ordinanza gli Ermellini hanno rammentato che i dati raccolti devono considerarsi personali, e hanno disposto il rigetto del ricorso dell’azienda valutando che per il loro trattamento è necessario domandare consenso esplicito e specifico.
Informativa sui dati personali e titolare del trattamento
La vicenda trae origine nel 2011, in epoca ben lontano da GDPR & co. La Guardia di Finanza notificava alla società ricorrente alcuni verbali nei quali contestava la violazione amministrativa derivante da un incongruo trattamento dei dati personali dei clienti. Tali dati venivano raccolti mediante la compilazione di una scheda che comprendeva cognome, nome e indirizzo di posta elettronica.
All’epoca la GdF appurava inoltre che i dati venivano trattati e conservati su un supporto informativo del sito internet di proprietà della società, creando di fatto un archivio. All’interessato non veniva inoltre domandato uno specifico ed esplicito consenso al trattamento dei dati: in “cambio”, veniva però reso destinatario di newsletter allo stesso indirizzo email così raccolto.
La pronuncia dei giudici ricordava come “il titolare del trattamento non informava previamente l’interessato circa i punti di cui all’art. 13 d.lgs. 196/2003 (informativa), con la conseguenza che il trasgressore si era reso responsabile della violazione amministrativa di cui all’art. 161 del d.lgs. 196/2003, per l’inottemperanza a quanto previsto dall’art. 13 dello stesso decreto”. In virtù di quanto appena riassunto, veniva emessa una ingiunzione con cui si ordinava di pagare una sanzione amministrativa pecuniaria.
Il consenso implicito dei dati personali
Di contro, la società ricorrente aveva impugnato l’ordinanza affermando che a suo giudizio “le persone che avevano fornito i loro dati personali lo avevano fatto volontariamente e spontaneamente, dimostrando così di fornire un consenso implicito al trattamento dei dati personali”.
Dinanzi a tale valutazione di consenso implicito si costituiva il Garante, domandando il rigetto dell’opposizione. Il Tribunale rigettò l’opposizione, e l’amministratore della società ricorse in Cassazione, deducendo – tra i motivi del ricorso – “la violazione ed errata/falsa applicazione degli artt. 4, 13 e 16 I. 196/2003 (cd. Codice privacy), con riferimento all’art. 360, co. 1, nn. 3 e 5, c.p.c., per aver il Tribunale omesso di valutare la distinzione legale tra dati “personali” e dati meramente “identificativi”, non tenendo conto, per l’effetto, che solo per i primi erano richiesti gli adempimenti previsti dall’art. 13”.
Privacy e preventiva informativa per il trattamento dei dati personali
Si giunse così sulle scrivanie della Suprema Corte, dove la Cassazione, con ordinanza 17665/2018 dichiarava l’infondatezza del motivo appena rammentato.
Gli Ermellini affermavano anzitutto che “la definizione di “dato personale” è molto ampia (contemplando qualsiasi informazione che consenta di identificare una persona fisica). Tale definizione comprende senz’altro il nome, il cognome e l’indirizzo di posta elettronica. A ben vedere, dunque, non si deve distinguere il concetto di “dato identificativo” da quello di “dato personale”, rappresentando una species all’interno del genus principale”.
In vero, prosegue la motivazione dell’ordinanza, mentre il dato personale è quello che permette di identificare, anche in via indiretta, una determinata persona fisica, i dati identificativi sono dati personali che consentono questa identificazione in via diretta. A supporto di ciò, la Corte richiama a memoria la propria precedente pronuncia Cass. n. 1593/2013. Tale pronuncia sanciva come “dato personale, oggetto di tutela, è qualunque informazione relativa a persona fisica, giuridica, ente o associazione, che siano identificati o identificabili, anche indirettamente mediante riferimento a qualsiasi altra informazione”.
Con tale definizione è dunque più facile far rientrare anche tutti i dati personali che sono presenti nelle banche dati costituite sulla base degli elenchi telefonici pubblici, il cui uso è prescritto, previa informativa del codice della privacy e acquisizione del consenso degli interessati.
In conclusione, la Suprema Corte conferma la riconduzione nel novero dei dati personali per i quali si impone la preventiva informativa anche il nome, il cognome e l’indirizzo di posta elettronica dell’interessato.