La Cassazione, nell’ordinanza n. 17665/2018 (che potete visionare a questo link) si occupa di nuovo di privacy, fornendo chiarimenti in merito al fatto di poter considerare l’indirizzo e-mail un dato personale.
La vicenda vede protagonista una società che, tramite il sito di proprietà, raccoglie nome, cognome, ed e-mail dei clienti senza richiedere uno specifico ed esplicito consenso. La Corte, dopo aver precisato che i dati raccolti dalla società devono considerarsi “personali”, dispone il rigetto del ricorso considerato che per il loro trattamento è necessario chiedere un esplicito e specifico consenso.
Anche se la Corte si basa ancora unicamente sul Codice Privacy D.Lgs. 196/2003, e non sul combinato disposto delle previsioni del Codice con quelle del GDPR (Regolamento europeo in materia di protezione dei dati personali 2016/679), fornisce comunque un chiarimento fondamentale anche per lo stesso GDPR, visto che questo riprende sia la nozione di dato personale contenuta nella Direttiva 95/96 su cui il Codice si fondava, sia l’adempimento della informativa di cui il GDPR ne ha esteso il contenuto minimo obbligatorio.

La vicenda processuale

Nel 2011 la Guardia di Finanza notifica alla società ricorrente tre verbali di contestazione per violazione amministrativa. Nel corso delle ispezioni, i militari constatano che la società effettua il trattamento dei dati personali dei clienti raccogliendoli attraverso la compilazione di una scheda comprendente il cognome, il nome e l’indirizzo mail; si accerta, inoltre, che “i dati venivano trattati/conservati su supporto informatico del sito …, creando un archivio” e che l’interessato, a cui non veniva richiesto uno specifico ed esplicito consenso al trattamento dei dati, risultava in seguito un potenziale destinatario di “newsletter” al segnalato indirizzo e-mail.

Da precisare che “il titolare del trattamento non informava previamente l’interessato circa i punti di cui all’art. 13 d.lgs. 196/2003 (informativa), con la conseguenza che il trasgressore si era reso responsabile della violazione amministrativa di cui all’art. 161 del d.lgs. 196/2003, per l’inottemperanza a quanto previsto dall’art. 13 dello stesso decreto.” Motivo per il quale viene emessa ordinanza-ingiunzione con cui si ordina di pagare una sanzione amministrativa pecuniaria.

L’azienda ricorrente impugna l’ordinanza poiché a suo avviso “le persone che avevano fornito i loro dati personali lo avevano fatto volontariamente e spontaneamente, dimostrando così di fornire un consenso implicito al trattamento dei dati personali”. A quel punto si è costituito il Garante chiedendo il rigetto dell’opposizione. Il Tribunale rigetta l’opposizione e l’amministratore della società ricorre in Cassazione.
Tra i motivi del ricorso, ha parlato della “violazione ed errata/falsa applicazione degli artt. 4, 13 e 16 I. 196/2003 (cd. Codice privacy), con riferimento all’art. 360, co. 1, nn. 3 e 5, c.p.c., per aver il Tribunale omesso di valutare la distinzione legale tra dati “personali” e dati meramente “identificativi”, non tenendo conto, per l’effetto, che solo per i primi erano richiesti gli adempimenti previsti dall’art. 13.”

Per trattare i dati personali occorre l’informativa preventiva.

L’ordinanza n. 17665-2018 Cassazione ritiene suddetto motivo infondato.
Scrivono i giudici della seconda sezione civile che “premesso che la definizione di ‘dato personale’ è molto ampia (contemplando qualsiasi informazione che consenta di identificare una persona fisica) e comprende senz’altro il nome, il cognome e l’indirizzo di posta elettronica, a ben vedere il concetto di ‘dato identificativo’ non va tenuto distinto da quello di ‘dato personale’, rappresentando una species all’interno del genus principale”.
Invero, mentre il “dato personale” è quel dato che consente di identificare, anche indirettamente una determinata persona fisica, i “dati identificativi” sono dati personali che permettono tale identificazione direttamente.
Pertanto, in questa prospettiva, “dato personale”, oggetto di tutela, è “qualunque informazione” relativa a soggetti, che siano “identificati o identificabili”, anche “indirettamente mediante riferimento a qualsiasi altra informazione”. In tal senso, si fanno rientrare in questa nozione anche i dati personali presenti nelle banche dati costituite sulla base degli elenchi telefonici pubblici, per la cui utilizzazione è prescritta la previa informativa di cui all’art. 13 del d.lgs. n. 196 del 2003 (cd.”codice della privacy “) con relativa acquisizione del consenso. Viene quindi confermata la riconduzione nel novero dei dati personali di cui all’art. 4 per i quali si impone la preventiva informativa di cui all’art. 13, anche del nome e del cognome dell’interessato nonché dell’indirizzo di posta elettronica, dati raccolti appunto dalla ricorrente, sicché risulta priva di fondamento la tesi sostenuta da parte ricorrente circa l’inapplicabilità alla fattispecie della previsione di cui all’art. 13 I. n. 196/2003