Diritto e Fisco | Editoriale

Per raccogliere nome, email e telefono ci vuole l’autorizzazione?

6 luglio 2018


Per raccogliere nome, email e telefono ci vuole l’autorizzazione?

> Diritto e Fisco Pubblicato il 6 luglio 2018



Anche il nome, il cognome e la mail rientrano nella nozione di dato personale e non possono essere richieste senza consenso.

Hai deciso di avviare una piccola attività commerciale. Per difenderti dalla serrata concorrenza che c’è nel tuo settore hai intenzione di sfruttare i mezzi telematici e comunicare con i tuoi clienti – e potenziali clienti – tramite internet e il telefono. Cosa c’è di meglio che una newsletter pubblicitaria e degli sms per avvisarli di eventuali promozioni e sconti? Per fare ciò, però, hai bisogno di raccogliere nomi, cognomi ed email. In cambio regalerai alcuni gadget, dimodoché tutti possano essere invogliati a fornirti i dati. Così fai loro compilare un piccolo foglio di carta. Ci sono solo quattro campi da riempire: nome, cognome, indirizzo email e numero di cellulare. Dopodiché raccogli questi dati nel tuo computer e crei delle schede clienti. Ti chiedi però cosa potrebbe succedere se un giorno, venendo la finanza nel tuo ufficio, potrebbe contestarti l’uso dei dati di terzi. Scatterebbe una sanzione oppure non siamo ancora nell’ambito dei dati personali visto che non chiedi né indirizzo di residenza, né codice fiscale, né professione, né gusti personali? Insomma, il tuo dubbio è se per raccogliere nome ed email ci vuole l’autorizzazione del titolare dei dati o meno. La risposta l’ha fornita la Cassazione con una recente sentenza [1]. 

Qual è la legge sulla privacy?

Prima di stabilire se per raccogliere nome, email e numero di cellulare di una persona è necessario il suo consenso, ricordiamo che la legge sulla privacy è cambiata. Non è più la famosa legge numero 196 del 2003, che ci ha tenuto compagnia per ben 15 anni nonostante gli scossoni del progresso e dell’evoluzione informatica. Oggi la nuova legge si chiama GDPR ossia General Data Protection Regulation o, per dirla in italiano, il Regolamento europeo sulla protezione dei dati personali. La riforma però non ha cambiato la definizione di «dato personale» e «dato sensibile». La differenza tra i due concetti sta nella maggiore “delicatezza” del secondo: le informazioni sensibili – quelle che rivelano l’origine razionale o etnica di una persona, i dati sulla salute, quelli genetici o biometrici (le impronte digitali), le opinioni politiche, religiose o sindacali – vanno trattate con maggiori garanzie e prudenza rispetto ai semplici dati personali. Non per questo, però, i dati personali sono “liberi”, ma anzi vanno sempre autorizzati. Dobbiamo quindi dire cosa si intende per dati personali e cosa per dati sensibili. 

Ebbene, per dati personali si intendono qualsiasi informazione riguardante una persona fisica identificata o identificabile. Quindi anche il semplice nome, cognome, indirizzo email o numero di cellulare. Invero – scrive la Cassazione – la definizione di “dato personale” è molto ampia e  contempla qualsiasi informazione che consenta di identificare una persona fisica. Quindi comprende senz’altro il nome, il cognome e l’email. Si tratta di dati identificativi che sono comunque dati personali in quanto permettono di individuare un soggetto. 

La Suprema Corte ha fatto rientrare nel concetto di dato personale anche i dati presenti nelle banche dati pubbliche costituite sulla base degli elementi telefonici pubblici, per la cui utilizzazione quindi è necessaria l’informativa e il consenso degli interessati all’utilizzo dei dati di loro pertinenza almeno per l’invio di comunicazioni promozionali. Quindi non si può prelevare un numero di telefono da un sito internet o da un albo o da un elenco per inviare della pubblicità: non conta che tale informazione sia già liberamente accessibile perché il fatto che sia pubblica non autorizza l’uso commerciale. 

Per nome, cognome, numero di telefono ed email ci vuole l’autorizzazione del titolare dei dati?

Da quanto si evince è chiaramente intuibile che chi voglia raccogliere i semplici nomi o solo gli indirizzi email o il numero di cellulare di una o più persone debba chiedere al relativo titolare l’autorizzazione. E non basta sbarrare una semplice casella o firmare una clausoletta in cui si scrive «Autorizzo il trattamento dei miei dati» ma bisogna anche fornire tutta una serie di informazioni quali:

  • l’identità del soggetto titolare del trattamento e di colui che è responsabile della conservazione dei dati;
  • le modalità per accedere ai propri dati e chiederne eventualmente la cancellazione;
  • le finalità per cui tali dati vengono utilizzati e la garanzia che gli stessi non verranno ceduti o regalati a terzi.

I più maliziosi allora si chiederanno: «devo chiedere l’autorizzazione anche prima di inserire un nome o un numero nella mia rubrica telefonica o nello smartphone?». La legge aveva previsto una domanda del genere e ha disposto una espressa deroga. Gli usi personali, quelli cioè fatti per finalità non commerciali ma di semplice comunicazione tra privati, non devono essere autorizzati. Ma è chiaro che se poi inizi a inviare a tutti i contatti del tuo cellulare le promozioni del tuo negozio o gli inviti per eventi, offerte e scontistiche devi subito provvedere a raccogliere il loro consenso. 

La Cassazione giunge dunque a questo principio: anche il nome, il cognome e l’email rientrano nella nozione di dato personale e non possono essere richieste senza consenso. Qualunque informazione relativa a persona fisica, identificata o identificabile anche indirettamente, mediante riferimento a qualsiasi informazione, ivi compreso un numero di identificazione personale, rientra tra i dati personali. E non cambiano le cose se i dati trattati sono una decina o qualche migliaia. L’informativa sul trattamento dei dati va sempre fornita all’interessato ed è chi li raccoglie che deve darne prova; ecco perché si ricorre a moduli scritti (seppur potrebbe essere ottenuta oralmente). 

Chi fa i controlli sulla privacy?

Se le multe per la violazione della normativa sulla privacy provengono in gran parte dal Garante, i controlli sul posto vengono eseguiti dalla Guardia di Finanza. E la sentenza in commento ne è una testimonianza visto che il tutto è nato proprio da un’ispezione delle fiamme gialle. Ciò non toglie – e succede altrettanto spesso – che lo stesso utente contattato pur senza aver prestato il consenso possa agire contro il responsabile del trattamento dei propri dati. 

note

[1] Cass. sent. n. 17665/2018.

Corte di Cassazione, sez. II Civile, ordinanza 4 maggio – 5 luglio 2018, n. 17665

Presidente Giusti – Relatore Criscuolo

Ritenuto in fatto

In data 13 luglio 2011, la Guardia di Finanza, Tenenza di Voghera, notificava all’odierno opponente tre verbali di contestazione per violazione amministrativa, avendo, nel corso

delle attività ispettive, i militari constatato che la società “Cowboys’ Guest Ranch s.r.l.” effettuava il trattamento dei dati personali dei propri clienti raccogliendo gli stessi attraverso compilazione di una scheda comprendente il cognome, il nome e l’indirizzo mai. Gli operanti accertavano, altresì, che “i dati venivano trattati/conservati su supporto informatico del sito…, creando un archivio” e che l’interessato, al quale non veniva richiesto uno specifico ed esplicito consenso al trattamento dei dati, risultava potenziale destinatario di “newsletters” presso lo spontaneamente segnalato indirizzo e-mail.

In tutti e tre i casi indicati, gli operanti evidenziavano che “il titolare del trattamento non informava previamente l’interessato circa i punti di cui all’art. 13 d.lgs. 196/2003 (informativa), con la conseguenza che il trasgressore si era reso responsabile della violazione amministrativa di cui all’art. 161 del d.lgs. 196/2003, per l’inottemperanza a quanto previsto dall’art. 13 dello stesso decreto.

Pertanto, nei confronti del trasgressore veniva emessa l’ordinanza-ingiunzione n. 352 del 11.07.2013, con la quale veniva ordinato di pagare il complessivo importo di euro 14.400,00 a titolo di sanzione amministrativa pecuniaria.

Parte ricorrente impugnava l’ordinanza-ingiunzione, evidenziando che le persone che avevano fornito i loro dati personali lo avevano fatto volontariamente e spontaneamente, dimostrando così di fornire un consenso implicito al trattamento dei dati personali, ed allegando, inoltre, che buona parte dei dati in questione erano stati acquisiti sotto il vigore della precedente versione dell’art. 161 d.lgs. 196/2003, che prevedeva una sanzione di importo inferiore.

Si costituiva in giudizio il Garante convenuto, chiedendo il rigetto della proposta opposizione e la conferma dell’ordinanza-ingiunzione impugnata.

L’efficacia dell’ordinanza-ingiunzione impugnata veniva sospesa in via provvisoria con provvedimento inaudita altera parte.

Il Tribunale di Pavia, con sentenza del 29.3.2013, ha rigettato l’opposizione sulla base, per quanto nella presente sede ancora rileva, delle seguenti considerazioni:

1) dalla lettera dell’art. 13, d.lgs. 196/2003 risultava evidente che l’informativa dovesse essere fornita oralmente o per iscritto, salve alcune eccezioni espressamente previste dalla normativa;

2) non vi era dubbio che la fattispecie oggetto del presente giudizio rientrasse nella sfera di applicazione dell’art. 13 citato, atteso che, ai sensi dell’art. 4, comma 1, lett. b), è definito “dato personale” “qualunque informazione relativa a persona fisica, identificata o identificabile anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale”;

3) parimenti, non vi era dubbio sul fatto che la fattispecie oggetto del presente giudizio non rientrasse in alcuna delle ipotesi escluse dall’applicabilità dell’art. 13 in esame;

4) del resto, parte opponente non aveva contestato nel merito la sussistenza dei tre trattamenti effettuati dei dati personali, in assenza della prescritta informativa, essendosi limitata ad allegare che le persone avessero fornito i loro dati personali volontariamente e facoltativamente, con ciò dimostrando in via implicita un consenso al trattamento dei dati personali;

5) premesso che l’informativa di cui all’art. 13 richiedeva un preciso contenuto, che doveva essere fornito all’interessato, nessuna prova era stata raggiunta sul punto;

6) quanto alla deduzione secondo cui, relativamente ai dati acquisiti fino all’entrata in vigore del d.l. 207/2008 (convertito in legge 27.02.2009 n. 14), doveva ritenersi applicabile la previgente e meno penalizzante sanzione amministrativa, a prescindere dal fatto che parte opponente non aveva chiesto di provare quali e quante violazioni dell’art. 13 fossero state commesse prima dell’entrata in vigore del citato d.l., risultava fatto non contestato il protrarsi della violazione almeno fino all’anno 2011, ovvero fino al momento dell’accertamento eseguito dalla Guardia di Finanza.

Per la cassazione della sentenza ha proposto ricorso la Cowboys Guest Ranch s.r.l., sulla base di quattro motivi.

Il Garante per la protezione dei dati personali ha resistito con controricorso.

Considerato in diritto

1. Con il primo motivo la ricorrente denuncia la violazione e falsa applicazione dell’art. 6, co. 11, l. n. 150/2011 (con riferimento all’art. 360, co. 1, nn. 3 e 5, c.p.c.), per non aver il Tribunale considerato che, anche a prescindere dalla mancata contestazione nel merito della commissione delle infrazioni, avrebbe dovuto esaminare e valutare la sussistenza o meno dei presupposti di legge per ritenere responsabile o meno la CGR, alla luce della regola per cui il giudice “accoglie l’opposizione quando non vi sono prove sufficienti della responsabilità dell’opponente”.

1.1. Il motivo è infondato.

Nel giudizio di opposizione a sanzione amministrativa, grava sull’amministrazione opponente l’onere di provare gli elementi costitutivi dell’illecito, ma la sua inerzia processuale non determina l’automatico accertamento dell’infondatezza della trasgressione, in quanto il giudice è, comunque, chiamato alla ricostruzione dell’intero rapporto sanzionatorio e non soltanto alla valutazione di legittimità del provvedimento irrogativo della sanzione (cfr., sia pure con riferimento all’art. 23, sesto comma, della legge 24 novembre 1981, n. 689, ratione temporis applicabile, Cassazione civile, sez. VI, 11/03/2015, n. 4898).

Orbene, il Tribunale ha fondato la propria decisione sia sui tre verbali di contestazione di violazione amministrativa redatti dalla Guardia di Finanza sia sul rilievo che la parte opponente non aveva contestato nel merito la sussistenza dei tre trattamenti effettuati dei dati personali, in assenza della prescritta informativa, essendosi limitata ad allegare che le persone avessero fornito i loro dati personali volontariamente e facoltativamente (sostenendo che ciò dimostrasse in via implicita un consenso al trattamento dei dati personali) ed a chiedere una riduzione della sanzione.

La ricorrente, in palese violazione del principio di specificità del ricorso, ha omesso di trascrivere quali sarebbero gli elementi di segno contrario che il giudice avrebbe omesso di prendere in considerazione e che avrebbero condotto, se valutati, all’accoglimento della sua opposizione.

In ogni caso adduce che nella realtà non sussistono gli elementi per fondare la sua responsabilità alla luce di quanto invece dedotto nei motivi che seguono, risolvendosi quindi il motivo nella richiesta di rivalutare l’effettiva ricorrenza dell’illecito amministrativo sulla scorta delle critiche sviluppate negli altri motivi.

2. Con il secondo motivo la ricorrente deduce la violazione ed errata/falsa applicazione degli artt. 4, 13 e 16 l. 196/2003 (cd. Codice privacy), con riferimento all’art. 360, co. 1, nn. 3 e 5, c.p.c., per aver il Tribunale omesso di valutare la distinzione legale tra dati “personali” e dati meramente “identificativi”, non tenendo conto, per l’effetto, che solo per i primi erano richiesti gli adempimenti previsti dall’art. 13.

2.1. Il motivo è infondato.

Premesso che la definizione di “dato personale” è molto ampia (contemplando qualsiasi informazione che consenta di identificare una persona fisica) e comprende senz’altro il nome, il cognome e l’indirizzo di posta elettronica, a ben vedere il concetto di “dato identificativo” non va tenuto distinto da quello di “dato personale”, rappresentando una species all’Interno del genus principale.

Invero, mentre il “dato personale” è quel dato che consente di identificare, anche indirettamente una determinata persona fisica, i “dati identificativi” sono dati personali che permettono tale identificazione direttamente.

In tale prospettiva si è infatti chiarito che (cfr. Cass. n. 1593/2013) ai sensi dell’art. 4 del d.lgs. 30 giugno 2003, n. 196, “dato personale”, oggetto di tutela, è “qualunque informazione” relativa a “persona fisica, giuridica, ente o associazione”, che siano “identificati o identificabili”, anche “indirettamente mediante riferimento a qualsiasi altra informazione”.

Nella nozione de qua sono stati fatti pacificamente rientrare dalla giurisprudenza di questa Corte (cfr. Cass. n. 17143/2016) anche i dati personali presenti nelle banche dati costituite sulla base degli elenchi telefonici pubblici, per la cui utilizzazione è prescritta la previa l’informativa di cui all’art. 13 del d.lgs. n. 196 del 2003 (cd. “codice della privacy”) per l’acquisizione del consenso degli interessati all’utilizzazione dei dati di loro pertinenza (si veda anche Cass. n. 14326/2014, circa la necessità dell’informativa preventiva, per l’invio di un fax promozionale ad un numero estratto dagli elenchi telefonici).

Appare quindi confermata la riconduzione nel novero dei dati personali di cui all’art. 4 per i quali si impone la preventiva informativa di cui all’art. 13, anche del nome e del cognome dell’interessato nonché dell’indirizzo di posta elettronica, dati raccolti appunto dalla ricorrente, sicché risulta priva di fondamento la tesi sostenuta da parte ricorrente circa l’inapplicabilità alla fattispecie della previsione di cui all’art. 13 l. n. 196/2003.

3. Con il terzo motivo la ricorrente lamenta la violazione ed errata/falsa applicazione degli artt. 13 e 16 l. 196/2003 (cd. Codice privacy), nonché la omessa valutazione e la contraddittoria motivazione, con riferimento all’art. 360, co. 1, nn. 3 e 5, c.p.c., per aver il tribunale omesso di considerare che l’informativa richiesta dall’art. 13 era stata fornita anche per iscritto, come documentato dai vari form prodotti ed allegati agli stessi verbali della Guardia di Finanza.

3.1. Il motivo è infondato, dovendosi escludere in limine che il documento di cui si assume l’omesso esame abbia il carattere della decisività.

Rileva in tal senso la circostanza che, secondo quanto riferito in ricorso, i vari form prodotti ed allegati agli stessi verbali della Guardia di Finanza, prevedevano che: “Firmando il presente modulo autorizzo, ai sensi del codice sulla privacy, ai sensi del codice della privacy, al trattamento dei dati personali che verranno utilizzati da CGR solo ai fini informativi”.

Tuttavia il motivo confonde l’autorizzazione al trattamento con la necessità della previa informativa, che, ai sensi dell’art. 13, riguarda non solo la finalità ma anche le modalità del trattamento, la natura obbligatoria o facoltativa del conferimento dei dati, le conseguenze di un eventuale rifiuto di rispondere; gli estremi identificativi del titolare; i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati, dati questi che non risulterebbero dai form di cui si denuncia l’omessa disamina.

4. Con il quarto motivo la ricorrente si duole della violazione ed errata/falsa applicazione degli artt. 161 e 164 bis l. 196/2003, nonché l’omessa valutazione ed applicazione di quest’ultima disposizione, con riferimento all’art. 360, co. 1, nn. 3 e 5, c.p.c., per non aver il Tribunale ridotto la sanzione anche per le altre due delle tre infrazioni non ridotte dal Garante, tenuto conto del tipo di dati raccolti, della finalità della stessa e dell’assenza di utilizzo per fini pubblicitari.

4.1. Il motivo è inammissibile per la novità della questione, che si sostanzia nella proposizione in realtà di un nuovo motivo di opposizione.

Infatti, come si rileva anche dalla lettura del ricorso in opposizione introduttivo del giudizio, non risulta specificamente dedotta la necessità di procedere ad una riduzione della sanzione sulla base dei dati allegati in motivo, atteso che, come si rileva anche dalla lettura del ricorso, la pretesa ad ottenere una sanzione di entità inferiore a quella irrogata trovava il suo fondamento nella tesi della società opponente secondo cui occorreva individuare la sanzione sulla base della previgente, e più favorevole formulazione dell’art. 161 del codice della privacy.

Ne consegue che la diversa richiesta di ridurre la sanzione sulla base della valutazione degli elementi oggettivi della condotta e della finalità del trattamento dei dati costituisce la proposizione non consentita in sede di legittimità di una questione nuova che implica evidentemente accertamenti in fatto.

Il motivo andrebbe comunque disatteso, in quanto investe apprezzamenti rimessi alla discrezionalità del giudice di merito, la cui valutazione non è sindacabile (cfr. Cass. n. 9255/2013; Cass. n. 9126/2017.

5. In definitiva, il ricorso deve essere rigettato.

6. Le spese seguono la soccombenza e si liquidano come da dispositivo.

7. Poiché il ricorso è stato proposto successivamente al 30 gennaio 2013 ed è rigettato, sussistono le condizioni per dare atto – ai sensi dell’art. 1, comma 17, della legge 24 dicembre 2012, n. 228 (Disposizioni per la formazione del bilancio annuale e pluriennale dello Stato – Legge di stabilità 2013), che ha aggiunto il comma 1-quater dell’art. 13 del testo unico di cui al d.P.R. 30 maggio 2002, n. 115 – della sussistenza dell’obbligo di versamento, da parte della ricorrente, dell’ulteriore importo a titolo di contributo unificato pari a quello dovuto per la stessa impugnazione principale.

P.Q.M.

La Corte rigetta il ricorso, e condanna la ricorrente al rimborso delle spese del presente giudizio che liquida in complessivi Euro 2.300,00, oltre spese prenotate a debito;

Ai sensi dell’art. 13, co. 1 quater, del d.P.R. n. 115/2002, inserito dall’art. 1, co. 17, l. n. 228/12, dichiara la sussistenza dei presupposti per il versamento da parte della ricorrente, del contributo unificato dovuto per il ricorso principale a norma dell’art. 1 bis dello stesso art. 13.

Per avere il pdf inserisci qui la tua email. Se non sei già iscritto, riceverai la nostra newsletter:

Informativa sulla privacy
DOWNLOAD

ARTICOLI CORRELATI

Lascia un commento

Usa il form per discutere sul tema. Per richiedere una consulenza vai all’apposito modulo.

 



NEWSLETTER

Iscriviti per rimanere sempre informato e aggiornato.

CERCA CODICI ANNOTATI