di Annamaria Villafrate - La Cassazione, nell'ordinanza n. 17665/2018 (sotto allegata) si occupa di nuovo di privacy, in una vicenda che vede protagonista una società che, tramite il sito di proprietà raccoglie nome, cognome, ed email dei clienti senza richiedere uno specifico ed esplicito consenso. Gli Ermellini, dopo aver precisato che i dati raccolti dalla società devono considerarsi "personali", dispone il rigetto del ricorso considerato che per il loro trattamento è necessario chiedere un esplicito e specifico consenso.
La vicenda processuale
Nel 2011 la Guardia di Finanza notifica all'odierna società ricorrente tre verbali di contestazione per violazione amministrativa. Nel corso delle attività ispettive, i militari appurano che la società effettua il trattamento dei dati personali dei clienti raccogliendoli attraverso la compilazione di una scheda comprendente il cognome, il nome e l'indirizzo mail. I militari accertano inoltre che "i dati venivano trattati/conservati su supporto informatico del sito ..., creando un archivio" e che l'interessato, a cui non veniva richiesto uno specifico ed esplicito consenso al trattamento dei dati, risultava in seguito un potenziale destinatario di "newsletters" al segnalato indirizzo e-mail.
Da precisare che "il titolare del trattamento non informava previamente l'interessato circa i punti di cui all'art. 13 d.lgs. 196/2003 (informativa), con la conseguenza che il trasgressore si era reso responsabile della violazione amministrativa di cui all'art. 161 del d.lgs. 196/2003, per l'inottemperanza a quanto previsto dall'art. 13 dello stesso decreto." Motivo per il quale viene emessa ordinanza-ingiunzione con cui si ordina di pagare una sanzione amministrativa pecuniaria.
La ricorrente impugna l'ordinanza poiché a sua giudizio "le persone che avevano fornito i loro dati personali lo avevano fatto volontariamente e spontaneamente, dimostrando così di fornire un consenso implicito al trattamento dei dati personali". Si costituiva il Garante chiedendo il rigetto dell'opposizione.
Il Tribunale rigetta l'opposizione e l'amministratore della società ricorre in Cassazione e tra i motivi del ricorso "deduce la violazione ed errata/falsa applicazione degli artt. 4, 13 e 16 I. 196/2003 (cd. Codice privacy), con riferimento all'art. 360, co. 1, nn. 3 e 5, c.p.c., per aver il Tribunale omesso di valutare la distinzione legale tra dati "personali" e dati meramente "identificativi", non tenendo conto, per l'effetto, che solo per i primi erano richiesti gli adempimenti previsti dall'art. 13."Per trattare i dati personali occorre la preventiva informativa
L'ordinanza n. 17665-2018 Cassazione ritiene suddetto motivo infondato in quanto: "Premesso che la definizione di "dato personale" è molto ampia (contemplando qualsiasi informazione che consenta di identificare una persona fisica) e comprende senz'altro il nome, il cognome e l'indirizzo di posta elettronica, a ben vedere il concetto di "dato identificativo" non va tenuto distinto da quello di "dato personale", rappresentando una species all'interno del genus principale.
Invero, mentre il "dato personale" è quel dato che consente di identificare, anche indirettamente una determinata persona fisica, i "dati identificativi" sono dati personali che permettono tale identificazione direttamente. In tale prospettiva si è infatti chiarito che (Cass. n. 1593/2013) ai sensi dell'art. 4 del d.lgs. 30 giugno 2003, n. 196, "dato personale", oggetto di tutela, è "qualunque informazione" relativa a "persona fisica, giuridica, ente o associazione", che siano "identificati o identificabili", anche "indirettamente mediante riferimento a qualsiasi altra informazione". Nella nozione de qua sono stati fatti pacificamente rientrare dalla giurisprudenza di questa Corte (Cass. n. 17143/2016) anche i dati personali presenti nelle banche dati costituite sulla base degli elenchi telefonici pubblici, per la cui utilizzazione è prescritta la previa informativa di cui all'art. 13 del d.lgs. n. 196 del 2003 (cd."codice della privacy") per l'acquisizione del consenso degli interessati all'utilizzazione dei dati di loro pertinenza (Cass. n. 14326/2014, circa la necessità dell'informativa preventiva, per l'invio di un fax promozionale ad un numero estratto dagli elenchi telefonici). Appare quindi confermata la riconduzione nel novero dei dati personali di cui all'art. 4 per i quali si impone la preventiva informativa di cui all'art. 13, anche del nome e del cognome dell'interessato nonché dell'indirizzo di posta elettronica, dati raccolti appunto dalla ricorrente, sicché risulta priva di fondamento la tesi sostenuta da parte ricorrente circa l'inapplicabilità alla fattispecie della previsione di cui all'art. 13 I. n. 196/2003".Vuoi approfondire? Leggi anche:
- Dati personali per fini penali: vietata profilazione di massa
- GDPR: tutto quello che c'è da sapere
Cassazione ordinanza n. 17665-2018• Foto: 123rf.com