L'APPROFONDIMENTO

Consenso, il contrastro tra Garante privacy e Cassazione: le regole per un corretto trattamento dati

Il Garante ha ribadito che la libertà di esprimere un consenso non è garantita laddove, con un unico flag, l’interessato accetti una moltitudine eterogenea di trattamenti, contrastando quindi l’interpretazione della Cassazione sui concetti di consenso libero, specifico e informato. Facciamo il punto per un corretto trattamento dei dati personali

29 Lug 2019
D
Diego Dimalta

Co founders Privacy Network

Il provvedimento del 20 giugno 2019 in merito alla gestione del consenso al trattamento dei dati personali segna l’ennesimo tentativo del Garante di rimarcare principi che, non senza stupore, paiono purtroppo ancora lontani dal potersi considerare scontati.

Ed in effetti, con tale decisione l’Autority ha ribadito che la libertà di esprimere un consenso non è garantita laddove, con un unico flag, l’interessato accetti una moltitudine eterogenea di trattamenti.

Ed è proprio questa la condotta rilevata (e sanzionata) a seguito delle indagini svolte presso uno dei maggiori player del settore retail di elettrodomestici.

In particolare, si è visto che tale società per diversi anni ha sottoposto ai propri clienti un form di iscrizione al programma fedeltà (fidelity card) nel quale veniva richiesto un consenso “con formula unica”, vale a dire inclusiva tanto delle finalità principali (contrattuali o pre contrattuali) quanto delle finalità di marketing.

Tale consenso, peraltro, risultava di fatto irrevocabile essendosi protratto l’invio delle e mail anche laddove gli interessati avevano esercitato il diritto di opposizione ai sensi degli artt. 15 e ss GDPR (o dell’art. 7 del previgente Codice).

Il Garante ha cosi sanzionato la società imponendo l’interruzione di tali trattementi e il ripensamento dell’intera procedura riguardante la raccolta del consenso, chiedendo che lo stesso sia da adesso in poi riconducibile alle varie e distinte finalità promozionali e/o di profilazione.

Nulla di particolarmente innovativo quindi, del resto è già dai tempi del Codice Privacy che il consenso può considerarsi legittimo solo se prestato in modo libero, specifico e informato.

Eppure, così scontato non è visto che:

  1. da un lato, a distanza di 16 anni dall’emanazione del Codice e a distanza di 3 anni dalla pubblicazione del GDPR, vi sono ancora aziende che raccolgono il consenso in modo erratto;
  2. dall’altro lato, nemmeno la Corte di Cassazione pare avere del tutto compreso l’effettivo significato dei caratteri essenziali del consenso.

Consenso al trattamento dati: il punto di contrasto

Ed in effetti da una lettura della Sentenza 17278/2018 appare chiara la confusione dei Giudici, specialmente nell’interpretare i concetti di consenso libero, specifico ed informato.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy

È proprio questo il motivo del contrasto: la diversa (o forse errata) interpretazione dei caratteri essenziali del consenso.

Nella decisione in esame, la Corte si è trovata a decidere il caso di un servizio di newsletter che subordinava l’iscrizione al rilascio del consenso per un generico “trattamento dei dati personali” che, in realtà, configurava un ulteriore servizio di mailing list avente carattere pubblicitario.

Inviando la richiesta di iscrizione senza validare la casella del consenso, appariva il messaggio “è richiesta la selezione della casella” in quanto tale flag era considerato obbligatorio da parte della società erogatrice.

Proprio partendo da tale presupposto, la Cassazione ha cercato di fornire un’interpretazione autorevole del termine “consenso libero”, percorrendo una strada a dir poco inedita rispetto a quella da sempre intrapresa dal Garante.

Ed invero, la Corte giunge alla conclusione che la mancanza di un libero consenso non possa darsi per scontata per il solo obbligo di accettare un servizio ulteriore rispetto a quello principale e debba essere invece ritenuta sussistente solo nel caso in cui tale obbligo sia correlato alla prestazione di un servizio infungibile ed irrinunciabile per l’interessato.

La Cassazione, in sintesi, ritiene che se il cliente può trovare un servizio simile altrove, il prestatore di tale servizio puo imporre l’obbligo di rilascio del consenso, ad esempio per delle newsletter. Questo perché, sempre per gli Ermellini, se all’interessato non sta bene l’idea di rilasciare un consenso (ad esempio alla newesletter commerciale), può sempre reperire il medesimo servizio altrove.

È però quantomeno pericolosa l’equiparazione del concetto di fungibilità a quello di libertà in quanto implica in qualche modo che il criterio passi da un piano oggettivo ad un piano soggettivo.

Si è difatti sempre ritenuto che il consenso potesse dirsi libero solo ove l’interessato non subisca conseguenze negative in caso di mancato rilascio, mentre ora si giunge a dire che, se esistono servizi capaci di soddifare la medesima esigenza del cliente, l’imprenditore ha la facoltà di sottoporre l’erogazione del servizio principale al rilascio del consenso ad un ulteriore servizio secondario.

Del resto le linee guida sul consenso sono chiare nel prevedere che “se il consenso è parte non negoziabile delle condizioni generali di contratto/servizio, si presume che non sia stato prestato liberamente. Di conseguenza, il consenso non sarà considerato libero se l’interessato non può rifiutarlo o revocarlo senza subire pregiudizio”.

In tutto questo, c’è da rilevare come la Corte, in realtà, sia consapevole di tali orientamenti (citati anche nella Sentenza in esame) scegliendo però di fornirvi un’interpretazione del tutto inedita.

Inedita, appunto, ma non per forza sbagliata a priori. Del resto, non è necessariamente errato affermare che, riprendendo la definizione data nelle linee guida, l’utente che abbia la possibilità di fruire di servizi analoghi (senza quindi prestare il consenso obbligatorio alla newsletter) di fatto non subisce alcun pregiudizio essendo egli libero di rivolgersi altrove. Non solo, la Cassazione in questo sostine in qualche modo il principio di libertà dell’iniziativa imprenditoriale, in base al quale, la società erogante il servizio è ritenuta libera di considerare il consenso alle mailing list commerciali un elemento essenziale nell’ottica del proprio business plan.

Lo sbaglio, a parere di chi scrive, si concretizza nel momento in cui la Cassazione si dimostra incapace di definire il concetto di specificità, dapprima confondendolo con quello di libertà del consenso e poi con l’idea di consenso informato.

Letterlamente la Sentenza afferma “il requisito della specificità si pone, nel disegno normativo, in stretto collegamento con quello della libertà del consenso, così da risolversi in un’endiadi” e ciò in quanto, secondo i Giudici, la libera determinazione non esisterebbe nemmeno se non fosse indirizzata alla produzione di effetti chiaramente rappresentati all’Interessato.

Così facendo la Corte dimostra di confondere irrimediabilmente i concetti di liberta e di specificità del consenso i quali, in un secondo momento vengono poi equiparati al consenso informato.

È difatti la Cassazione a ritenere che se l’utente ha la possibilità di determinare preventivamente il tipo di trattamenti, allora il suo consenso è sempre libero, specifico e informato.

Proprio questo passaggio è difficile da condividere. La prefigurazione del tipo di trattamento che verrà effettuato, non ha nulla a che vedere con la libertà del consenso, ma nemmeno con la specificità dello stesso.

Il consenso è specifico quando riguarda un singolo trattamento e non, come invece ritiene la Corte, quando viene rilasciato a seguito di un’informativa. Non solo, il consenso è libero quando può essere anche negato senza che ciò comporti l’impossibilità di accedere al servizio.

Non è quindi un caso che il Garante abbia ritenuto opportuno ribadire tali concetti con il succitato provvedimento del 20 giugno 2019 e, ancora di più con il precedente provvedimento del 12 giugno 2019 nel quale si afferma testualmente che la capacità di autodeterminazione degli interessati (e quindi la liberà del consenso) “non è assicurata né quando viene richiesto un unico consenso per più diverse finalità di trattamento, né quando si assoggetta la fruizione di un servizio […] alla previa autorizzazione a trattare i dati conferiti, ai fini di tale servizio, per finalità diverse qual è quella di promozione e quella statistica”.

In questo modo, di fatto, il Garante ribadisce fermamente la sua posizione rigettando, in maniera non troppo velata, tutto quanto affermato dalla Cassazione.

Consenso al trattamento dati: scenari futuri

Da tali opposti orientamenti nasce però un grosso problema per chi la norma la deve applicare, aziende e consulenti in primis. Meglio aderire alla tesi della Cassazione o alla tesi del Garante?

Ci si trova in quello che cinematograficamente viene chiamato “stallo messicano” in cui, di fatto, ogni mossa potrebbe essere sbagliata. Ed infatti, se si dovesse seguire l’interpretazione della Cassazione, imponendo ai propri clienti il consenso ai trattamenti per finalità di marketing, si rischierebbe l’intervento del Garante il quale, ricordiamolo, ad oggi anche grazie alla normativa europea gode di un potere sanzionatorio elevato. D’altro canto, la società che, prudenzialmente, decidesse di seguire la linea dettata dal Garante, potrebbe trovarsi svantaggiata rispetto a competitor dall’indole più temeraria che invece hanno seguito la linea dettata dagli Ermellini.

Pur avendo il Garante un’indubbia capacità di influenzare l’applicazione della norma, resta comunque incontestato il potere normofilattico riconosciuto di diritto soltanto alla Suprema Corte. Sarà interessante quindi seguire lo sviluppo di questo contrasto tra queste istituzioni diverse e, per certi versi, in netta sovrapposizione tra loro.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr