Con la sentenza n. 17278 del 2 luglio 2018 (qui il testo integrale http://www.italgiure.giustizia.it/xway/application/nif/clean/hc.dll?verbo=attach&db=snciv&id=./20180702/snciv@s10@a2018@n17278@tS.clean.pdf), la Cassazione ha accolto il ricorso presentato dal Garante della Privacy e ha chiarito le modalità per l’invio di newsletter gratuite che richiedono poi informazioni commerciali.

Il caso è nato da una società che offriva tramite il sito internet un servizio di newsletter riguardante finanza, fisco e diritto al lavoro. L’accesso alla newsletter avveniva con l’inserimento dell’indirizzo mail nel form e con la necessaria spunta di una casella (checkbox) tramite la quale si esprimeva il consenso al trattamento dati personali e senza la quale non si aveva accesso al servizio di newsletter. Non era però specificato il contenuto del trattamento dei dati; la normativa della privacy era leggibile solo dopo aver acceduto e i dati personali, comunicati con l’adesione alla newsletter, potevano essere utilizzati anche per l’invio di promozioni e informazioni commerciali da parte di terzi.

La Corte di Cassazione ricorda l’articolo 23 del codice della privacy dove viene specificato che il consenso è condizione indispensabile per la liceità del trattamento dei dati e tale consenso deve essere diretto a far conoscere all’interessato gli effetti di quanto viene accettato. Detto consenso non ammette compressioni di alcun genere e “non sopporta di essere sia pure marginalmente perturbato non solo per effetto di errore, violenza o dolo” ma neppure da “stratagemmi, sotterfugi, slealtà, doppiezze o malizie comunque adottate dal titolare del trattamento”.

Di conseguenza la società proprietaria del sito è in errore in quanto somministra informazioni pubblicitarie al soggetto che si è iscritto alla newsletter che non ha espressamente accettato di volerle ricevere. Con la spunta della casella (checkbox) non viene specificato nel dettaglio a cosa viene prestato il consenso, viene descritto soltanto successivamente in un’altra pagina web linkata alla prima. Dovrebbe inoltre essere presente l’indicazione dei settori merceologici e dei servizi ai quali saranno riferiti i messaggi pubblicitari.

Il consenso deve avvenire in modo certo ed inequivocabile, quindi “se il consenso comporta una pluralità di effetti, va prestato in riferimento a ciascuno di essi”. Di conseguenza l’interessato deve avere la possibilità chiara e netta di capire ed essere certo degli effetti del consenso che ha prestato.

Nella stessa sentenza la Corte di Cassazione si è inoltre riferita all’ipotesi in cui il rilascio del consenso per l’invio di messaggi pubblicitari da parte di terzi condizioni l’offerta di un determinato servizio da parte del gestore di un sito internet.

Il quesito rimanda direttamente al comma 4 dell’articolo 7 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, secondo cui: «Nel valutare se il consenso sia stato liberamente prestato, tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto».

La Corte ha affermato che esiste un condizionamento al consenso se l’interessato non può rinunciare alla prestazione del servizio offerto e non può usufruirne (“infungibilità e irrinunciabilità del servizio”), cioè se ha accesso al servizio solo dopo aver confermato il consenso. Di conseguenza, secondo la Corte, si finirebbe per “delineare una sorta di obbligo tout court, per il gestore del portale, di offrire comunque le proprie prestazioni, a prescindere dalla prestazione del consenso al trattamento dei dati personali da parte dell’utente”.

“Nulla, infatti, impedisce al gestore del sito di negare il servizio offerto a chi non si presti a ricevere messaggi promozionali“. Mentre ciò che non può fare è utilizzare i dati personali per somministrare o far somministrare informazioni pubblicitarie a colui che non abbia effettivamente manifestato la volontà di riceverli.

Questa sentenza non limita i principi espressi soltanto ai siti di informazione, di conseguenza potrebbe aprire contrasti e svariate interpretazioni sulla fruibilità del servizio.

Quando un servizio informatico può considerarsi infungibile o irrinunciabile? Come si stabilisce se l’interessato è in grado di comprendere la fungibilità di tale servizio?E se un servizio viene considerato fungibile, Il Titolare può condizionare un servizio informatico al rilascio del consenso al trattamento di dati personali non strettamente necessari alla prestazione offerta? Come si pone il principio espresso dalla Corte con quanto statuito dal GDPR in materia di consenso?

Si attendono interventi chiarificatori dell’Autorità Garante per la protezione dei dati personali per poter sciogliere queste ulteriori possibili controversie.