Una importante sentenza della Corte di Cassazione fa il punto sul tema privacy e sul trattamento della email come dato personale

Con l’ordinanza n. 17665/2018, la Corte di Cassazione ha fornito chiarimenti in merito al tema della privacy. E, in particolare, rispetto al fatto di poter considerare l’indirizzo email un dato personale.

Secondo gli Ermellini, infatti, per raccogliere nome, cognome e email dei propri clienti, occorre l’esplicita richiesta del loro consenso.

La vicenda

Nel caso di specie, una società, tramite il sito di proprietà, raccoglieva nome, cognome ed email dei clienti. Il tutto, senza richiedere uno esplicito consenso. I giudici, dopo aver precisato che i dati raccolti dalla società devono considerarsi “personali”, hanno disposto il rigetto del ricorso.

Questo perché, a loro avviso, per il trattamento di tali dati, occorre un esplicito e specifico consenso.

Nel 2011 la Guardia di Finanza ha notificato all’odierna società ricorrente tre verbali di contestazione per violazione amministrativa.

Ebbene, nel corso delle attività ispettive, i militari hanno appurato che la società effettuava il trattamento dei dati personali dei clienti raccogliendoli attraverso la compilazione di una scheda comprendente il cognome, il nome e l’indirizzo mail.

Ma non è tutto.

La Gdf ha accertato che “i dati venivano trattati/conservati su supporto informatico del sito …, creando un archivio”. Inoltre, che l’interessato diventava un potenziale destinatario di “newsletter”. Il tutto senza aver dato esplicito consenso.

Dato importante da evidenziare, è che il “titolare del trattamento non informava previamente l’interessato circa i punti di cui all’art. 13 d.lgs. 196/2003 (informativa), con la conseguenza che il trasgressore si era reso responsabile della violazione amministrativa di cui all’art. 161 del d.lgs. 196/2003, per l’inottemperanza a quanto previsto dall’art. 13 dello stesso decreto”.

Per questo motivo, è stata emessa ordinanza-ingiunzione con cui si ordina di pagare una sanzione amministrativa pecuniaria.

L’azienda ricorrente ha impugnato però l’ordinanza. A suo avviso, “le persone che avevano fornito i loro dati personali lo avevano fatto volontariamente e spontaneamente, dimostrando così di fornire un consenso implicito al trattamento dei dati personali”.

A quel punto, si è costitutio il Garante chiedendo il rigetto dell’opposizione. Il Tribunale ha rigettato l’opposizione. Quindi, l’amministratore della società ha fatto ricorso in Cassazione.

Tra i motivi del ricorso, ha parlato della “violazione ed errata/falsa applicazione degli artt. 4, 13 e 16 I. 196/2003 (cd. Codice privacy), con riferimento all’art. 360, co. 1, nn. 3 e 5, c.p.c., per aver il Tribunale omesso di valutare la distinzione legale tra dati “personali” e dati meramente “identificativi”, non tenendo conto, per l’effetto, che solo per i primi erano richiesti gli adempimenti previsti dall’art. 13.”

Secondo la Cassazione, però, questo motivo è infondato.

Scrivono i giudici che “premesso che la definizione di ‘dato personale’ è molto ampia (contemplando qualsiasi informazione che consenta di identificare una persona fisica) e comprende senz’altro il nome, il cognome e l’indirizzo di posta elettronica, a ben vedere il concetto di ‘dato identificativo’ non va tenuto distinto da quello di ‘dato personale’, rappresentando una species all’interno del genus principale”.

Secondo gli Ermellini, infatti, mentre il “dato personale” è ciò che consente di identificare una persona fisica, i “dati identificativi” sono dati personali che permettono tale identificazione direttamente.

Pertanto, in questa prospettiva, “dato personale”, oggetto di tutela, è “qualunque informazione” relativa a “persona fisica, giuridica, ente o associazione”, che siano “identificati o identificabili”, anche “indirettamente mediante riferimento a qualsiasi altra informazione”. In tal senso, si fanno rientrare in questa nozione anche i dati personali presenti nelle banche dati costituite sulla base degli elenchi telefonici pubblici, per la cui utilizzazione è prescritta la previa informativa di cui all’art. 13 del d.lgs. n. 196 del 2003 (cd.”codice della privacy “) con relativa acquisizione del consenso. Viene dunque confermata la riconduzione nel novero dei dati personali anche quella del nome e del cognome dell’interessato, nonché dell’indirizzo di posta elettronica.

Tutti dati questi, raccolti dalla società ricorrente.

Alla luce di quanto enunciato, è priva di fondamento la tesi sostenuta da parte ricorrente circa l’inapplicabilità alla fattispecie della previsione di cui all’art. 13 I. n. 196/2003.

 

Hai avuto un problema simile? Scrivi per una consulenza gratuita a redazione@responsabilecivile.it o scrivi un sms, anche vocale, al numero WhatsApp 3927945623

 

Leggi anche:

PROTEZIONE DEI DATI PERSONALI, RISCHI E OPPORTUNITÀ DEL GDPR

- Annuncio pubblicitario -

LASCIA UN COMMENTO O RACCONTACI LA TUA STORIA

Per favore inserisci il tuo commento!
Per favore inserisci il tuo nome qui