Blog : Giurisprudenza Civile

IL RISPETTO DELLA PRIVACY NELLE PRATICHE DI MARKETING: QUALI LE FONDAMENTALI REGOLE

IL RISPETTO DELLA PRIVACY NELLE PRATICHE DI MARKETING: QUALI LE FONDAMENTALI REGOLE

Negli ultimi anni si sono sempre più sviluppate pratiche di telemarketing aggressivo, attuate maggiormente tramite un vero e proprio “assalto” alle utenze telefoniche dei privati; eppure esistono regole in grado di arginare tali prassi.

La norma principale che regola i contatti tra utente ed operatori economici è espressa dall’art. 23 del D.lgs. 196/2003 (di seguito Codice Privacy o Codice), in base al quale il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell’interessato.

Il consenso deve essere informato, ovvero, l’interessato deve ricevere un’informativa, attraverso la quale venga messo a conoscenza di tutte le informazioni relative all’esercizio dei propri diritti ed alle modalità di trattamento dei propri dati.

Ottenuto il consenso dell’interessato, il trattamento dovrà essere effettuato rispettando sempre il vincolo della finalità, non potendo andare oltre quanto previsto dallo scopo originario, riducendo al minimo l’utilizzo dei dati; è assurdo pensare che ottenuto il consenso, il titolare sia legittimato a trattare senza restrizioni i dati dell’interessato.

A tal proposito il Garante è intervenuto numerose volte in materia, sia con un provvedimento generale “Consenso al trattamento dei dati personali per finalità di “marketing diretto” attraverso strumenti tradizionali e automatizzati di contatto” e sia con le “Linee Guida in materia di attività promozionale e contrasto allo spam”, entrambi emanati nel 2013. L’Autorità Garante ha previsto che sia richiesto un consenso specifico per ogni finalità perseguita dal titolare del trattamento, come marketing, profilazione o diffusione.

Le società possono ricercare nuovi clienti ricavando le utenze dagli elenchi telefonici, al fine di chiedere il consenso a ricevere comunicazioni commerciali e solo nel caso in cui l’utenza non risulti iscritta al Registro Pubblico delle Opposizioni1. A partire dal 31 gennaio 2011 gli operatori di telemarketing sono tenuti sia a verificare, prima di contattare le utenze, se queste siano iscritte o meno a suddetto Registro e sia ad informare gli abbonati, nel corso della telefonata, della possibilità di iscriversi al Registro delle Opposizioni.

La violazione del diritto di opposizione, da parte degli operatori di telemarketing, è punita dall’art. 162 comma 2-quater del D.lgs. 196/2003 (di seguito Codice Privacy) con una sanzione amministrativa da 10.000 a 200.000 euro, senza possibilità di pagamento in forma ridotta.

Le decisioni dell’Autorità giurisdizionale in materia hanno spesso punito pesantemente le violazioni alla disciplina di tutela dei dati personali poste in essere dalle società; non da ultimo, la Corte di Cassazione con la sentenza n° 17143/2016 ha confermato la condanna all’operatore al pagamento di una maxi sanzione amministrativa di 300.000 euro.

Quale il precetto violato? La società di telecomunicazioni utilizzava banche dati, fornitele da due società, composte da oltre quattordici milioni di anagrafiche provenienti da elenchi telefonici formati prima dell’agosto 20052; in merito a tali banche dati, il Garante con Provvedimento del 12 marzo 2009 stabiliva che i titolari del trattamento, e solo questi, potevano accedere ad un regime più favorevole per il loro utilizzo, ovvero era sufficiente dare prova di aver fornito agli interessati l’informativa.

L’Autorità Garante per la protezione dei dati personali, dopo aver ricevuto numerose segnalazioni da parte di utenti contattati dall’operatore telefonico, ha eseguito un’ispezione nella sede e nei call center della società, emettendo nell’immediato un provvedimento inibitorio (Provv. 26 giugno 2008).

Le contestazioni mosse alla società di telecomunicazione nel provvedimento del Garante Privacy riguardavano:

  1. L’utilizzo di dati, acquisiti da terzi, provenienti da elenchi telefonici pubblicati antecedentemente al 1° agosto 2005;
  2. L’aver trattato dati acquisiti da altre società senza aver fornito idonea informativa3 e senza aver acquisito il consenso degli interessati4;
  3. L’aver commesso le suddette violazioni in relazione a banche dati di particolari rilevanza e dimensioni5.

La società di telecomunicazioni ha provveduto al pagamento in forma ridotta per tutte le violazioni contestatele, con eccezione dell’ultima in elenco, e per la quale il Garante ha irrogato, in un secondo provvedimento (Provv. 18 ottobre 2012), una sanzione autonoma di 300.000 euro.

Confermato il provvedimento anche dal Tribunale ordinario, l’operatore telefonico è ricorso in Cassazione avverso tale sentenza. Secondo la società risultava illegittimo il cumulo materiale effettuato tra le varie sanzioni, in quanto il bene giuridico sotteso era lo stesso, trovandosi quindi davanti alla violazione del principio giuridico del ne bis in idem.

Di contrario avviso sono stati i giudici della Suprema Corte, i quali hanno chiarito che trattandosi di due diversi beni giuridici (da una parte il dato personale e dall’altro le banche dati) la questione dibattuta riguarda non aspetti quantitativi, bensì qualitativi. Inoltre, l’utilizzo di banche dati di particolare rilevanza non integra un’ipotesi aggravata rispetto alle altre, ma configura un’ipotesi di illecito del tutto autonoma e, quindi, materialmente cumulabile alle altre sanzioni.

Per ciò che concerne la mancata informativa e l’assenza del consenso, i giudici di legittimità hanno ribadito come queste siano condizioni legittimanti il trattamento dei dati; chi acquisisce banche dati da terzi, deve accertarsi che gli interessati abbiano validamente espresso il proprio consenso sia alla trasmissione di dati e sia al trattamento per finalità di marketing.

Nel caso di specie, né le società che hanno formato le banche dati, né lo stesso operatore telefonico sono stati in grado di dar prova di aver fornito l’informativa e di aver ricevuto il consenso alla comunicazione ed al trattamento dei dati.

Appare evidente come le operazioni poste in essere dalla società di telecomunicazione abbiano violato la privacy di milioni di cittadini, invadendo la loro sfera privata e non rispettando le norme basilari sulla protezione dei dati personali.

Non da ultimo, un altro operatore telefonico è stato oggetto di analogo provvedimento del Garante (Provv. 22 giugno 2016), con il quale l’Autorità ha vietato alla società l’ulteriore trattamento per finalità di marketing dei dati di circa 7 milioni di ex clienti, i quali non avevano dato il consenso al trattamento dei propri dati.

E’ pacifico che, l’attuale sistema sanzionatorio non costituisce un concreto strumento di difesa dei diritti dei dati personali, contenuti in banche-dati ed utilizzati per le finalità di cui finora si è argomentato.

Non sarà così con l’operatività del Nuovo Regolamento UE n° 679/2016 che, a partire dal 25 Maggio 2018, prevedrà, tra le altre diverse e significative novità, anche l’inasprimento delle sanzioni per chi violerà la “privacy”, attesa la parametrazione al volume d’affari mondiale del trasgressore, variando dal 2% al 4% del fatturato. Nel caso di violazione dei principi di base del trattamento, comprese le condizioni relative al consenso, è prevista la sanzione pecuniaria fino a 20.000 000 di Euro, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore (art.83, comma 5 Reg. UE 679/20166).

1Il Registro Pubblico delle Opposizioni è un servizio a tutela del cittadino, il cui numero è presente negli elenchi telefonici pubblici. Iscrivendosi a tale Registro l’interessato manifesta la sua volontà di non voler più ricevere telefonate per scopi commerciali o di ricerche di mercato, e non potrà più essere contattato dalle società per tali finalità.

2In base al dettato dell’art.44 D.L. 207/08 (convertito nella l. 14/2009) “i dati personali presenti nelle banche dati costituite sulla base di elenchi telefonici pubblici formati prima del 1° agosto 2005 sono lecitamente utilizzabili per fini promozionali (sino al termine di sei mesi successivi alla data di entrata in vigore della legge di conversione del decreto-legge 25 settembre 2009, n. 135) , anche in deroga agli articoli 13 e 23 del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, dai soli titolari del trattamento che hanno provveduto a costituire dette banche dati prima del 1° agosto 2005.”

3 L’art. 161 del D.lgs. 196/2003 punisce l’omessa o inidonea informativa con una sanzione amministrativa da 6.000 a 36.000 euro.

4 L’art. 162 comma 2-bis del D.lgs. 196/2003 prevede una sanzione da 10.000 a 50.000 euro.

5 L’art. 164-bis punisce i trattamenti in violazione delle norme precedenti effettuati con riferimento a banche dati di particolare rilevanza, con una sanzione amministrativa dai 50.000 ai 300.000 euro.

6 In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore:

a) i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9;

b) i diritti degli interessati a norma degli articoli da 12 a 22;

c) i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49;

d) qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX;

e) l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo ai sensi dell’articolo 58, paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1.”

 

LA TUTELA DEI DATI SENSIBILI ED IL DIVIETO DI DIFFUSIONE NELLA GIURISPRUDENZA PIU’ RECENTE

LA TUTELA DEI DATI SENSIBILI ED IL DIVIETO DI DIFFUSIONE NELLA GIURISPRUDENZA PIU’ RECENTE

Il D.lgs. 196/2003 (di seguito Codice Privacy), sulla scia dei principi espressi nella nostra Carta Costituzionale1, fornisce una tutela rafforzata a quei dati che riguardano gli aspetti più intimi della vita di un individuo e che, se non trattati secondo i principi di liceità e correttezza, potrebbero arrecare grave danno all’interessato.

La classificazione dei dati personali, approntata dallo stesso Codice Privacy all’art. 4, riflette un sistema di tutele graduate in ragione della natura del dato e della sua capacità di incidere nel concreto vivere degli interessati.

I dati personali comuni identificano un individuo tramite ad esempio il nome ed il cognome, quelli sensibili rivelano gli orientamenti politici e sindacali, le convinzioni religiose, mentre sono considerati “supersensibili” i dati idonei a rilevare lo stato di salute e la vita sessuale delle persone.

La particolare tutela riconosciuta ai dati idonei a rivelare lo stato di salute è sancita dallo stesso Codice Privacy il quale ne vieta la diffusione, ovvero la divulgazione al pubblico o, comunque, ad un numero indeterminato di soggetti (ad esempio, è diffusione la pubblicazione di dati personali su un quotidiano o su una pagina web).

Secondo quanto stabilito dal Codice Privacy, i dati “supersensibili” devono essere trattati solo in forma anonima e mediante codici identificativi. È quindi pacifico che chiunque effettui il trattamento di tali dati, debba operare a maggior ragione con diligenza e perizia adottando ogni idonea misura di sicurezza2.

Il Garante ha posto la sua attenzione sulla diffusione dei dati “supersensibili” in svariate occasioni; nelle Linee Guida in materia di trattamento di dati personali per finalità di pubblicità e trasparenza sul web (provv. 15 maggio 2014) ha chiarito che “ è vietata la pubblicazione di qualsiasi informazione da cui si possa desumere, anche direttamente, lo stato di malattia o l’esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di disabilità, invalidità o handicap fisici e/o psichici”.

Ma vediamo più nel concreto cosa ha stabilito la Corte di Cassazione in merito ai trattamenti di dati sensibili, nel caso in cui questi siano stati diffusi senza essere anonimizzati.

Già con la sentenza n. 10947 del 19 maggio 2014, la I Sez. della Cassazione Civile aveva consolidato il principio per il quale deve essere accordata particolare tutela ai dati c.d. sensibili, in quanto in questi convergono la tutela della salute e quella della riservatezza3.

Nel caso in questione la Suprema Corte ha statuito che chi beneficia di un’indennità ex L. 201/1992 per aver contratto una malattia, a causa di errore medico, ha diritto al risarcimento del danno dovuto ad illegittimo trattamento dei dati sensibili, qualora la causale riportata nel bonifico bancario faccia riferimento a dati idonei a rivelare il suo stato di salute.

Secondo il dispositivo della sentenza in commento, la Regione e la Banca, “avrebbero dovuto rispettivamente diffondere e conservare i dati stessi, utilizzando cifrature o numeri di codice non identificabili.”, il riferimento nella causale del bonifico alla l.201/1992, si è quindi tradotto in un illecito trattamento di dati personali legittimante, quindi, la richiesta di risarcimento del danno da parte del ricorrente.

Non più di un mese fa è stata pubblicata la sentenza della Cassazione Sez. I n.10512 del 20 maggio 2016, con la quale gli Ermellini condannano la Corte dei conti per illecita diffusione di dati sanitari.

In breve, il ricorrente aveva richiesto al Tribunale di Palermo la condanna al risarcimento dei danni in capo alla Corte dei Conti ovvero alla Presidenza del Consiglio dei Ministri, per aver illecitamente diffuso propri dati sanitari. Il ricorrente difatti, aveva avanzato ricorso alla corte dei Conti in materia pensionistica e, successivamente, aveva visto pubblicata online la sentenza contenente dati riguardanti la propria invalidità.

La Suprema Corte, nel testo nella sentenza, ha effettuato una comparazione tra il principio, stabilito dall’art. 22 del Codice privacy, dell’assoluto divieto di diffusione dei dati relativi allo stato di salute e l’assunto dell’art. 52, il quale disciplina le modalità di diffusione delle sentenze e dei provvedimenti per finalità di informativa giuridica.

Ebbene, da tale valutazione la Cassazione ne ha dedotto che il divieto di diffusione di dati sensibili non ammette deroghe e prevale in ogni caso sull’interesse alla pubblicazione dei provvedimenti giurisdizionali a scopo di informativa giuridica.

La Suprema Corte ha, altresì, individuato un ulteriore argomentazione a favore della tesi del ricorrente nelle “Linee Guida sul trattamento dei dati nella riproduzione di provvedimenti giurisdizionali” del 02 dicembre 2010. Il Garante Privacy in tale documento ha fornito chiarimenti in merito alla opportunità di anonimizzare i provvedimenti, chiarendo che l’oscuramento dei dati degli interessati “non pregiudica la finalità di informazione giuridica sottesa alla diffusione di un provvedimento” ed ha posto a carico dell’Autorità giudiziaria, la attenta valutazione di tale profilo.

Per ciò che concerne l’aspetto risarcitorio della vicenda in esame, spetterà al giudice del rinvio stabilirne l’entità, valutando nel concreto le conseguenze pregiudizievoli dell’illecito trattamento, ricadendo però su colui che agisce in giudizio la prova del danno in concreto subito, in quanto la sola illiceità del trattamento non è sufficiente a dar luogo all’obbligazione risarcitoria.

E’ indubbio che la quantificazione in denari del danno non è di semplice definizione, non sempre il danno subito ha un valore economico, come nel caso del risarcimento per danno biologico o esistenziale. La Cassazione con la sentenza n. 1361 del 23 gennaio 2014, ha assunto il danno non patrimoniale quale categoria generale, e statuito che, in ossequio al principio della integralità del risarcimento, si deve tener conto di tutte le lesioni degli interessi della persona, di natura non prettamente economica, protetti dall’ordinamento.

L’utilizzo sempre maggiore di strumenti informatici e nuove tecnologie, come si è visto nelle due sentenze citate, sta incidendo in maniera sempre maggiore sulla tutela dei dati. Il trattamento di dati su larga scala è effettuato sia dai privati sia dagli enti pubblici, ed entrambe le categorie devono operare, soprattutto qualora ci si trovi davanti dati “supersensibili”, seguendo i dettami del Codice Privacy nonché dei provvedimenti del Garante.

Si tenga sempre a mente che le sanzioni in caso di illecito trattamento prevedono la reclusione sino a 3 anni, mentre nel caso di violazione delle misure di sicurezza è prevista un’ammenda che può arrivare nel massimo a centoventimila euro.

Ma le imprese e le pubbliche amministrazioni non sono lasciate sole nel difficile compito di trattare lecitamente i dati sensibili: per assisterle il Regolamento Europeo 2016/679 ha introdotto la figura del Data Protection Officer. Il Regolamento Europeo, all’art.37, stabilisce che tale figura sarà obbligatoria, a partire dal Maggio 2018, per tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici.

Da questa breve analisi si può evincere come da un lato il trattamento dei dati sensibili richieda particolari tutele e il non osservarle può avere risvolti pesanti sul versante sanzionatorio, ma dall’altro sicuramente con l’ausilio del Data Protection Officer il compito dei titolari del trattamento sarà in gran parte semplificato.

1L’art. 3 della Costituzione stabilisce che non possono essere fatte distinzioni in base al sesso, alla razza, alla lingua, alla religione, alle opinioni politiche ed alle condizioni personali e sociali.

2Le uniche deroghe presenti nel Codice Privacy riguardano il trattamento effettuato dagli esercenti professioni sanitarie e dagli organismi sanitari pubblici, trovando applicazione in caso di trattamento effettuato per la tutela della salute dell’interessato. L’art. 76 del Codice Privacy prevede modalità semplificate per il consenso, il quale può essere manifestato anche oralmente in un’unica dichiarazione

3Al riguardo Cass. n. 19635 del 2011 e Cass. n 18980 del 2013.