L'APPROFONDIMENTO

Consenso, il contrastro tra Garante privacy e Cassazione: le regole per un corretto trattamento dati

Il Garante ha ribadito che la libertà di esprimere un consenso non è garantita laddove, con un unico flag, l’interessato accetti una moltitudine eterogenea di trattamenti, contrastando quindi l’interpretazione della Cassazione sui concetti di consenso libero, specifico e informato. Facciamo il punto per un corretto trattamento dei dati personali

29 Lug 2019
D
Diego Dimalta

Avvocato


Il provvedimento del 20 giugno 2019 in merito alla gestione del consenso al trattamento dei dati personali segna l’ennesimo tentativo del Garante di rimarcare principi che, non senza stupore, paiono purtroppo ancora lontani dal potersi considerare scontati.

Ed in effetti, con tale decisione l’Autority ha ribadito che la libertà di esprimere un consenso non è garantita laddove, con un unico flag, l’interessato accetti una moltitudine eterogenea di trattamenti.

Ed è proprio questa la condotta rilevata (e sanzionata) a seguito delle indagini svolte presso uno dei maggiori player del settore retail di elettrodomestici.

In particolare, si è visto che tale società per diversi anni ha sottoposto ai propri clienti un form di iscrizione al programma fedeltà (fidelity card) nel quale veniva richiesto un consenso “con formula unica”, vale a dire inclusiva tanto delle finalità principali (contrattuali o pre contrattuali) quanto delle finalità di marketing.

Tale consenso, peraltro, risultava di fatto irrevocabile essendosi protratto l’invio delle e mail anche laddove gli interessati avevano esercitato il diritto di opposizione ai sensi degli artt. 15 e ss GDPR (o dell’art. 7 del previgente Codice).

Il Garante ha cosi sanzionato la società imponendo l’interruzione di tali trattementi e il ripensamento dell’intera procedura riguardante la raccolta del consenso, chiedendo che lo stesso sia da adesso in poi riconducibile alle varie e distinte finalità promozionali e/o di profilazione.

Nulla di particolarmente innovativo quindi, del resto è già dai tempi del Codice Privacy che il consenso può considerarsi legittimo solo se prestato in modo libero, specifico e informato.

Eppure, così scontato non è visto che:

  1. da un lato, a distanza di 16 anni dall’emanazione del Codice e a distanza di 3 anni dalla pubblicazione del GDPR, vi sono ancora aziende che raccolgono il consenso in modo erratto;
  2. dall’altro lato, nemmeno la Corte di Cassazione pare avere del tutto compreso l’effettivo significato dei caratteri essenziali del consenso.

Consenso al trattamento dati: il punto di contrasto

Ed in effetti da una lettura della Sentenza 17278/2018 appare chiara la confusione dei Giudici, specialmente nell’interpretare i concetti di consenso libero, specifico ed informato.

È proprio questo il motivo del contrasto: la diversa (o forse errata) interpretazione dei caratteri essenziali del consenso.

Nella decisione in esame, la Corte si è trovata a decidere il caso di un servizio di newsletter che subordinava l’iscrizione al rilascio del consenso per un generico “trattamento dei dati personali” che, in realtà, configurava un ulteriore servizio di mailing list avente carattere pubblicitario.

WHITEPAPER
Quali elementi considerare per capire se si è vulnerabili agli hacker?
IoT
Sicurezza

Inviando la richiesta di iscrizione senza validare la casella del consenso, appariva il messaggio “è richiesta la selezione della casella” in quanto tale flag era considerato obbligatorio da parte della società erogatrice.

Proprio partendo da tale presupposto, la Cassazione ha cercato di fornire un’interpretazione autorevole del termine “consenso libero”, percorrendo una strada a dir poco inedita rispetto a quella da sempre intrapresa dal Garante.

Ed invero, la Corte giunge alla conclusione che la mancanza di un libero consenso non possa darsi per scontata per il solo obbligo di accettare un servizio ulteriore rispetto a quello principale e debba essere invece ritenuta sussistente solo nel caso in cui tale obbligo sia correlato alla prestazione di un servizio infungibile ed irrinunciabile per l’interessato.

La Cassazione, in sintesi, ritiene che se il cliente può trovare un servizio simile altrove, il prestatore di tale servizio puo imporre l’obbligo di rilascio del consenso, ad esempio per delle newsletter. Questo perché, sempre per gli Ermellini, se all’interessato non sta bene l’idea di rilasciare un consenso (ad esempio alla newesletter commerciale), può sempre reperire il medesimo servizio altrove.

È però quantomeno pericolosa l’equiparazione del concetto di fungibilità a quello di libertà in quanto implica in qualche modo che il criterio passi da un piano oggettivo ad un piano soggettivo.

Si è difatti sempre ritenuto che il consenso potesse dirsi libero solo ove l’interessato non subisca conseguenze negative in caso di mancato rilascio, mentre ora si giunge a dire che, se esistono servizi capaci di soddifare la medesima esigenza del cliente, l’imprenditore ha la facoltà di sottoporre l’erogazione del servizio principale al rilascio del consenso ad un ulteriore servizio secondario.

Del resto le linee guida sul consenso sono chiare nel prevedere che “se il consenso è parte non negoziabile delle condizioni generali di contratto/servizio, si presume che non sia stato prestato liberamente. Di conseguenza, il consenso non sarà considerato libero se l’interessato non può rifiutarlo o revocarlo senza subire pregiudizio”.

In tutto questo, c’è da rilevare come la Corte, in realtà, sia consapevole di tali orientamenti (citati anche nella Sentenza in esame) scegliendo però di fornirvi un’interpretazione del tutto inedita.

Inedita, appunto, ma non per forza sbagliata a priori. Del resto, non è necessariamente errato affermare che, riprendendo la definizione data nelle linee guida, l’utente che abbia la possibilità di fruire di servizi analoghi (senza quindi prestare il consenso obbligatorio alla newsletter) di fatto non subisce alcun pregiudizio essendo egli libero di rivolgersi altrove. Non solo, la Cassazione in questo sostine in qualche modo il principio di libertà dell’iniziativa imprenditoriale, in base al quale, la società erogante il servizio è ritenuta libera di considerare il consenso alle mailing list commerciali un elemento essenziale nell’ottica del proprio business plan.

Lo sbaglio, a parere di chi scrive, si concretizza nel momento in cui la Cassazione si dimostra incapace di definire il concetto di specificità, dapprima confondendolo con quello di libertà del consenso e poi con l’idea di consenso informato.

Letterlamente la Sentenza afferma “il requisito della specificità si pone, nel disegno normativo, in stretto collegamento con quello della libertà del consenso, così da risolversi in un’endiadi” e ciò in quanto, secondo i Giudici, la libera determinazione non esisterebbe nemmeno se non fosse indirizzata alla produzione di effetti chiaramente rappresentati all’Interessato.

Così facendo la Corte dimostra di confondere irrimediabilmente i concetti di liberta e di specificità del consenso i quali, in un secondo momento vengono poi equiparati al consenso informato.

È difatti la Cassazione a ritenere che se l’utente ha la possibilità di determinare preventivamente il tipo di trattamenti, allora il suo consenso è sempre libero, specifico e informato.

Proprio questo passaggio è difficile da condividere. La prefigurazione del tipo di trattamento che verrà effettuato, non ha nulla a che vedere con la libertà del consenso, ma nemmeno con la specificità dello stesso.

Il consenso è specifico quando riguarda un singolo trattamento e non, come invece ritiene la Corte, quando viene rilasciato a seguito di un’informativa. Non solo, il consenso è libero quando può essere anche negato senza che ciò comporti l’impossibilità di accedere al servizio.

Non è quindi un caso che il Garante abbia ritenuto opportuno ribadire tali concetti con il succitato provvedimento del 20 giugno 2019 e, ancora di più con il precedente provvedimento del 12 giugno 2019 nel quale si afferma testualmente che la capacità di autodeterminazione degli interessati (e quindi la liberà del consenso) “non è assicurata né quando viene richiesto un unico consenso per più diverse finalità di trattamento, né quando si assoggetta la fruizione di un servizio […] alla previa autorizzazione a trattare i dati conferiti, ai fini di tale servizio, per finalità diverse qual è quella di promozione e quella statistica”.

In questo modo, di fatto, il Garante ribadisce fermamente la sua posizione rigettando, in maniera non troppo velata, tutto quanto affermato dalla Cassazione.

Consenso al trattamento dati: scenari futuri

Da tali opposti orientamenti nasce però un grosso problema per chi la norma la deve applicare, aziende e consulenti in primis. Meglio aderire alla tesi della Cassazione o alla tesi del Garante?

Ci si trova in quello che cinematograficamente viene chiamato “stallo messicano” in cui, di fatto, ogni mossa potrebbe essere sbagliata. Ed infatti, se si dovesse seguire l’interpretazione della Cassazione, imponendo ai propri clienti il consenso ai trattamenti per finalità di marketing, si rischierebbe l’intervento del Garante il quale, ricordiamolo, ad oggi anche grazie alla normativa europea gode di un potere sanzionatorio elevato. D’altro canto, la società che, prudenzialmente, decidesse di seguire la linea dettata dal Garante, potrebbe trovarsi svantaggiata rispetto a competitor dall’indole più temeraria che invece hanno seguito la linea dettata dagli Ermellini.

FORUM PA 6 - 11 LUGLIO
Costruire la fiducia digitale: cybersecurity e privacy
Network Security
Privacy

Pur avendo il Garante un’indubbia capacità di influenzare l’applicazione della norma, resta comunque incontestato il potere normofilattico riconosciuto di diritto soltanto alla Suprema Corte. Sarà interessante quindi seguire lo sviluppo di questo contrasto tra queste istituzioni diverse e, per certi versi, in netta sovrapposizione tra loro.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5