Titolo

Autem vel eum iriure dolor in hendrerit in vulputate velit esse molestie consequat, vel illum dolore eu feugiat nulla facilisis at vero eros et dolore feugait.

Archivio per categoria Privacy

GDPR-Privacy: come affrontare l’ispezione della Guardia di Finanza (ciclo di incontri)

L’idea del ciclo di incontri gratuiti “A Tu per Tu con i professionisti”, che si tiene presso il nostro Studio Legale in Abano Terme – Via Previtali n. 30, nasce con l’obiettivo di offrire informazioni, aggiornamenti e chiarimenti sulle tematiche giuridiche che interessano la quotidianità di tutti.

Gli incontri, di tipo divulgativo, vogliono trasmettere conoscenze e promuovere consapevolezza in argomenti che riguardano sia la vita lavorativa (ad es. privacy, contrattualistica, recupero crediti) che la vita privata (ad es. rapporti figli e genitori separati, alcoltest e guida in stato di ebbrezza).

Ogni incontro è diviso in due parti: nella prima, a cura dei relatori, viene analizzato il tema oggetto della serata. La seconda parte prevede, invece, una partecipazione attiva di tutti i presenti, creando un’occasione di confronto e scambio reciproco di idee con i relatori che si rendono disponibili a dialogare ed a rispondere alle eventuali domande/dubbi.

La tematica “Privacy: come affrontare l’ispezione della Guardia di Finanza”, trattata all’incontro inaugurale del 9 ottobre scorso, ha suscitato un numero di richieste di partecipazione oltre le aspettative che ci ha spinto a riproporla già per altri appuntamenti.

Intervengono con me all’incontro, l’Ing. Sandro Morassut di Regola Team il quale racconta la sua esperienza personale quale consulente informatico di un’azienda recentemente sottoposta ad un controllo GDPR-Privacy, l’Avv. Massimiliano Fabiani (Foro di Bologna) nonché l’Avv. Marco Martinoia (Studio Legale Calvello).

Diritto all’oblio e diritto di cronaca: le Sezioni Unite chiariscono il discrimine

(di Avv. Marco Martinoia – Studio Legale Calvello)

Per comprendere il discrimine tra diritto all’oblio e diritto di cronaca è, senz’altro, necessario esaminare la normativa (italiana ed europea) e la recente giurisprudenza in materia.

La Corte di Cassazione (20.03.2018, n. 6919) aveva chiarito il seguente principio: “l’esistenza del cd. “diritto all’oblio” è stata affermata, sia nella giurisprudenza Europea che in quella nazionale, con riferimento a fattispecie differenti, nelle quali si è sempre posta, peraltro, l’esigenza di un contemperamento tra due diversi diritti fondamentali: il diritto di cronaca, posto al servizio dell’interesse pubblico all’informazione, ed il diritto della persona a che certe vicende della propria vita, che non presentino più i caratteri dell’attualità, ovverosia che non siano più suscettibili di soddisfare un interesse apprezzabile della collettività a conoscerle, non trovino più diffusione da parte dei media.”

La Suprema Corte, sempre con il provvedimento citato (20.03.2018, n. 6919), ha stilato il seguente elenco di specifici presupposti, alla presenza dei quali il diritto all’oblio può subire una compressione, a favore del diritto di cronaca.

1) il contributo dalla diffusione dell’immagine/notizia ad un dibattito di interesse pubblico;

2) l’interesse effettivo ed attuale alla diffusione dell’immagine o della notizia (per ragioni di giustizia, di polizia o di tutela dei diritti e delle libertà altrui, ovvero per scopi scientifici, didattici o culturali), da reputarsi mancante in caso di prevalenza di un interesse divulgativo o, peggio, meramente economico o commerciale del soggetto che diffonde la notizia o l’immagine;

3) l’elevato grado di notorietà del soggetto rappresentato, per la peculiare posizione rivestita nella vita pubblica e, segnatamente, nella realtà economica o politica del Paese;

4) le modalità impiegate per ottenere e nel dare l’informazione, che deve essere veritiera (poiché attinta da fonti affidabili, e con un diligente lavoro di ricerca), diffusa con modalità non eccedenti lo scopo informativo, nell’interesse del pubblico, e scevra da insinuazioni o considerazioni personali, sì da evidenziare un esclusivo interesse oggettivo alla nuova diffusione;

5) la preventiva informazione circa la pubblicazione o trasmissione della notizia o dell’immagine a distanza di tempo, in modo da consentire all’interessato il diritto di replica prima della sua divulgazione al grande pubblico.

A seguito dell’entrata in vigore del Regolamento UE n. 2016/679, meglio noto come G.D.P.R., il diritto all’oblio trova altresì una sua specifica collocazione normativa e, il comma 3 dell’art. 17 del Regolamento europeo individua i casi in cui il trattamento dei dati è necessario:

  1. esercizio del diritto di libertà d’espressione;
  2. adempimento di un obbligo legale;
  3. motivi di interesse pubblico (sanità);
  4. fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici;
  5. accertamento, esercizio o difesa di un diritto in sede giudiziaria.

Da ultimo, la III Sezione della Corte di Cassazione, con l’ordinanza 5 novembre 2018 n. 28084, ha riconosciuto l’urgenza, ormai, di individuare univoci criteri di riferimento che consentano agli operatori del diritto di conoscere preventivamente i presupposti in presenza dei quali un soggetto può invocare il diritto all’oblio ed, a tal fine, ha rimesso la questione al Presidente per l’assegnazione della stessa alle Sezioni Unite (Supremo organo nomofilattico).

Nell’ordinanza in esame, la Terza Sezione della Suprema Corte ha affermato, infatti, che “dalla lettura della su menzionata ord. 20 marzo 2018, n. 6919 (e della giurisprudenza delle Corti europee) non è dato evincere se i presupposti indicati – per altro di diversa natura, essendo i primi tre una specificazione del requisito della pertinenza, il quarto di carattere riepilogativo ed il quinto di ordine procedurale – siano richiesti in via concorrente ovvero, come sembra a questo Collegio, in via alternativa.

Le Sezioni Unite della Cassazione, con la recentissima sentenza 22.07.2019 n. 19681, hanno definito il seguente principio di diritto:

“In tema di rapporti tra il diritto alla riservatezza (nella sua particolare connotazione del c.d. diritto all’oblio) e il diritto alla rievocazione storica di fatti e vicende concernenti eventi del passato, il giudice di merito – ferma restando la libertà della scelta editoriale in ordine a tale rievocazione, che è espressione della libertà di stampa e di informazione protetta e garantita dall’art. 21 Cost. – ha il compito di valutare l’interesse pubblico, concreto ed attuale alla menzione degli elementi identificativi delle persone che di quei fatti e di quelle vicende furono protagonisti. Tale menzione deve ritenersi lecita solo nell’ipotesi in cui si riferisca a personaggi che destino nel momento presente l’interesse della collettività, sia per ragioni di notorietà che per il ruolo pubblico rivestito; in caso contrario, prevale il diritto degli interessati alla riservatezza rispetto ad avvenimenti del passato che li feriscano nella dignità e nell’onore e dei quali si sia ormai spenta la memoria collettiva (nella specie, un omicidio avvenuto ventisette anni prima, il cui responsabile aveva scontato la relativa pena detentiva, reinserendosi poi positivamente nel contesto sociale)”.

GDPR Privacy e servizio di newsletter commerciale (soft spam – marketing diretto)

(di Avv. Marco Martinoia – Studio Legale Calvello)

Premesso che

Per verificare la compatibilità dell’attività di newsletter commerciale (con finalità di marketing) alla luce della nuova normativa in materia di dati personali, risulta necessario prendere come riferimento il Regolamento UE n. 679/2016 (GDPR), il Titolo X (intitolato “Comunicazioni Elettroniche”) del D.Lgs. n. 196/2003 (Codice Privacy) così come novellato dal D.Lgs. n. 101/2018 ed i numerosi provvedimenti del Garante.[1]

Ai sensi dell’art. 6 G.D.P.R., il trattamento dei dati personali è lecito solo se e nella misura in cui ricorre almeno una delle condizioni espressamente indicate.

Per quanto di interesse, le condizioni che legittimano un servizio di newsletter (soft spam – marketing diretto) sono le seguenti.

  • CONSENSO DELL’INTERESSATO: il consenso espresso dell’interessato deve ritenersi il caposaldo di tutta la disciplina in materia di dati personali.

Il Garante per la protezione dei dati personali, infatti, ha chiarito[2], in primo luogo, che risulta sufficiente richiedere al soggetto interessato un unico consenso per trattamenti riconducibili al marketing ed, in secondo luogo, che il consenso, prestato per la ricezione di comunicazioni commerciali tramite modalità automatizzate (es. fax, sms, e-mail etc..), si estende anche alle modalità tradizionali di contatto meno invasive (es. posta cartacea).

  • INTERESSE LEGITTIMO DEL TITOLARE: il legittimo interesse del Titolare del trattamento può essere utilizzato quale unica base giuridica dei trattamenti ai fini di marketing, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato (cfr. Considerando n. 47 G.D.P.R.).

Tale deroga al principio del cd. opt-in è fondata sulla considerazione che, nella relazione con la clientela preesistente, appare ragionevole consentire al Titolare del trattamento, che ha legittimamente ottenuto le coordinate elettroniche dei propri clienti, di continuare ad utilizzarle per finalità commerciali.

Infatti, il quarto comma dell’art. 130 del Codice della Privacy prevede che: “[…] se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall’interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell’interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l’interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni. L’interessato, al momento della raccolta e in occasione dell’invio di ogni comunicazione effettuata per le finalità di cui al presente comma, è informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente.”

Tutto ciò premesso, si può ritenere che sia legittimo utilizzare un servizio di newsletter commerciale (soft spam – marketing diretto) nei confronti dei propri Clienti, anche qualora non si abbia un preventivo consenso a tale tipologia di trattamento dei loro dati personali, purché vengano rispettate le seguenti condizioni:

  • informare i Clienti – preventivamente ed adeguatamente – circa l’ulteriore utilizzo del loro indirizzo e-mail per le citate finalità garantendo agli stessi la possibilità di opporsi al suddetto trattamento in qualunque momento, gratuitamente ed in maniera agevole (es. apposito link all’interno di ogni e-mail).
  • Le e-mails devono riguardare servizi analoghi a quelli oggetto del rapporto preesistente, rispetto ai quali il soggetto interessato ha già manifestato il proprio interesse.
  • Il destinatario NON abbia (già) manifestato un rifiuto a tale utilizzo dei suoi dati personali.
  • Sia consentito, al destinatario, in modo chiaro e distinto, di opporsi al suddetto trattamento.

[1] Cfr. G. Borghi, Il marketing all’interno del Regolamento UE n. 679/2016, in Opinioni, www.ilcaso.it

[2] Provvedimento del Garante n. 330 del 04.07.2013.

Privacy violata dal giornalista che diffonde dati anagrafici ove ciò non sia indispensabile

Pubblichiamo quanto cortesemente inviatoci dal Collega Avv. Luca Trocagnara del Foro di Padova.

Sentenza n. 1258/11, Giudice di Pace di Padova, Dr.ssa Avv. Elena Biasutti.

IL PASSO SALIENTE DELLA SENTENZA

“Il giornalista, nell’esprimere la notizia, non ha tenuto adeguatamente conto che la diffusione dei dati anagrafici della Sig.ra […], quali nome cognome, luogo di residenza comprensivo di numero civico, potesse essere pregiudizievole per la stessa. La Sig.ra […] si è sentita lesa e compromessa nel suo diritto alla privacy. [omissis] Il diritto alla riservatezza impone la tutela di situazioni e vicende strettamente personali e familiari da ingerenze che, sia pur compiute con mezzi leciti e senza arrecare danno all’onore, al decoro o alla reputazione, non siano tuttavia giustificate da un interesse pubblico preminente.”

diritto-privacy

Scarica il PDF

GDPR Privacy: ne discutiamo in modo pratico giovedi 18 aprile alle ore 21.00 ad Este (Pd)

(di Avv. Marco Martinoia – Studio Legale Calvello)

Dal 25 maggio 2018 è stata sancita l’obbligatorietà della nuova normativa europea in materia di privacy (Regolamento UE 2016/679, meglio noto come G.D.P.R.). Nel nostro Paese, per la tutela dei dati personali, è stato successivamente emanato il D. Lgs. n. 101/2018, entrato in vigore il 19 settembre 2018, con l’intento di armonizzare il testo del Codice Privacy con quello del Regolamento europeo.

Nel decreto, il Legislatore italiano ha stabilito un periodo transitorio di “tolleranza” di otto mesi (19.09.2018 – 19.05.2018) in cui il Garante dovrà tenere conto della fase iniziale di attuazione, esercitando una certa gradualità nel comminare le sanzioni alle aziende e professionisti in ritardo nell’adeguamento. Nonostante sia passato, ormai, quasi un anno e stia per scadere il suddetto periodo transitorio di “tolleranza” concesso dal D. Lgs. n. 101/2018, ancora in molti NON si sono adeguati alla nuova normativa poiché, sottovalutano la questione non conoscendo i gravi rischi che corrono.

In primo luogo, ci tengo a ricordare che, indipendentemente dal volume di affari o dalla tipologia di attività svolta, la nuova normativa interessa TUTTI coloro che trattano dati di persone fisiche (es. clienti, dipendenti, associati, follower, utenti/navigatori ecc..).
Il Garante per la protezione dei dati personali, infatti, ha stilato un elenco esemplificativo dei soggetti obbligati alla tenuta del registro dell’attività di trattamento (ai sensi dell’articolo 30 G.D.P.R.) tra i quali rientrano anche i piccoli esercizi commerciali, gli artigiani, i liberi professionisti, le associazioni, fondazioni e comitati, i condominii, gli alberghi ecc..

Non bisogna, poi, dimenticare che i controlli per la verifica del corretto adeguamento vengono effettuati dagli Agenti della Guardia di Finanza (nucleo operativo specializzato privacy) e che la segnalazione alle Autorità competenti può essere effettuata, non solo da chi lamenta una violazione nel trattamento dei propri dati (cliente, dipendente ecc..), ma da CHIUNQUE, come, ad esempio, un competitor/concorrente commerciale.
In caso di violazione della disciplina sul trattamento dei dati personali, la normativa italiana prevede delle gravi conseguenze in ambito amministrativo, civile ed anche penale! Il Regolamento europeo (G.D.P.R.) prevede, infatti, delle gravissime sanzioni amministrative: fino ad un massimo di 20 milioni o il 4% del fatturato aziendale.
Il Legislatore italiano ha, inoltre, previsto, sotto il profilo penale, una serie di specifici reati per il trattamento illecito di dati personali puniti, nei casi più gravi, anche con la reclusione fino a sei anni.

Infine, ci tengo a segnalare a tutti i lettori che, indipendentemente dalle possibili ispezioni della GdF – che sinceramente mi auguro “lascino in pace” i piccoli operatori commerciali e concentrino la loro attenzione verso i grandi gruppi imprenditoriali che effettuano una gestione massiva di dati personali (es. Facebook, Google ecc..) – è importante adeguare la propria attività professionale per non rischiare di trovarsi letteralmente “sotto scacco” nei confronti di un cliente o di un dipendente “scontento”. Infatti, qualsiasi persona fisica (es. cliente, dipendente, collaboratore, associato ecc..) che ritenga di aver subito un danno causato dalla non corretta applicazione della nuova normativa ha il diritto di chiedere ed ottenere il risarcimento dei danni dal Titolare del Trattamento.

In ogni caso, per chiarire tutti i dubbi in materia, Estensione ha organizzato un incontro con l’Avv. Claudio Calvello del Foro di Padova e l’informatico Dottor Luca Stivali di Meconline.net. L’evento sarà diviso in due parti: nella prima, gli ospiti, esperti nel settore privacy, illustreranno le più frequenti problematiche che devono affrontare artigiani, professionisti e piccoli imprenditori nell’adeguamento alla nuova normativa. La seconda parte prevede, invece, una partecipazione attiva di tutti i presenti, l’Avv. Claudio Calvello (già DPO di aziende, alberghi e cliniche private) e il Dottor Stivali si rendono, infatti, disponibili a rispondere alle domande/dubbi del pubblico nonché a fornire ai lettori di Estensione, gratuitamente, una preliminare consulenza personalizzata sul corretto adeguamento alla nuova disciplina al fine di evitare le sanzioni o le richieste di risarcimento danni.

L’appuntamento è per la sera di giovedì 18 aprile 2019 ore 20.45 presso la sede di Estensione ad Este in Via Guido Negri 9/B (sopra l’ufficio del Turismo). La partecipazione all’incontro è libera ma considerata la capienza massima della sala è gradita la prenotazione. Per assicurarti la partecipazione all’evento, pertanto, ti invitiamo a riservare il tuo posto scrivendo un’e-mail a info@estensione.org.

Qui di seguito il link

GDPR Privacy: Estensione organizza un incontro per chiarire i dubbi

Qui il link all’evento Facebook per maggiori dettagli.

GDPR – Privacy: i chiarimenti del Garante sull’applicazione in Ambito Sanitario (Report marzo 2019)

di Avv. Marco Martinoia – Studio Legale Calvello

Con un articolato provvedimento (n. 55 del 07 marzo 2019 – consultabile al seguente link: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9091942) il Garante ha pubblicato dei chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario.

In estrema sintesi l’Autorità ha fornito le seguenti precisazioni

1. Consenso (non necessario) del paziente per i cc.dd. “trattamento necessari”: come già chiarito, a seguito dell’emanazione del D.lgs. 101/2018, il professionista sanitario, soggetto al segreto professionale, non deve più richiedere il consenso del paziente per i trattamenti necessari alla prestazione sanitaria richiesta dall’interessato, indipendentemente dalla circostanza che operi in qualità di libero professionista (presso uno studio medico) ovvero all’interno di una struttura sanitaria pubblica o privata;

2. Informazioni da fornire al paziente

a. Progressività del conferimento delle informazioni: con specifico riferimento ai titolari del trattamento che effettuano una pluralità di operazioni connotate da particolare complessità (es. aziende sanitarie), il Garante ha ritenuto opportuno suggerire di fornire all’interessato le informazioni previste dal Regolamento in modo progressivo. Ciò significa che nei confronti della generalità dei pazienti afferenti a una struttura sanitaria potrebbero essere fornite solo le informazioni relative ai trattamenti che rientrano nell’ordinaria attività di erogazione delle prestazioni sanitarie, mentre, gli elementi informativi relativi a particolari attività di trattamento (es. fornitura di presidi sanitari, modalità di consegna dei referti medici on-line, finalità di ricerca) potrebbero essere resi, infatti, in un secondo momento, solo ai pazienti effettivamente interessati da tali servizi e ulteriori trattamenti. Ciò andrebbe a beneficio di una maggiore attenzione alle informazioni veramente rilevanti, fornendo la piena consapevolezza circa gli aspetti più significativi del trattamento.

b. Periodo di conservazione dei dati: con particolare riferimento alla documentazione sanitaria, il Garante ricorda che l’Ordinamento giuridico prevede numerosi e differenziati riferimenti ai tempi di conservazione della stessa, che non sono stati modificati dalla disciplina sulla protezione dei dati personali e che, quindi, rimangono pienamente in vigore.

Ad esempio:

  • documentazione inerente agli accertamenti effettuati nel corso delle visite per il rilascio del certificato di idoneità all’attività sportiva agonistica, che deve essere conservata, a cura del medico visitatore, per almeno cinque anni (art. 5, D.M. 18/02/1982);
  • conservazione delle cartelle cliniche che, unitamente ai relativi referti, vanno conservate illimitatamente (Circolare del Ministero della Sanità del 19 dicembre 1986 n.900 2/AG454/260);
  • documentazione iconografica radiologica, che deve essere conservata per un periodo non inferiore a dieci anni (art. 4, d.m. 14 febbraio 1997).

Nel caso in cui, invece, i tempi di conservazione di specifici documenti sanitari non siano stabiliti da una disposizione normativa, il titolare del trattamento, in virtù del principio di responsabilizzazione, dovrà individuare tale periodo in modo che i dati siano conservati, in una forma che consenta l’identificazione degli interessati, per un arco di tempo non superiore al conseguimento delle finalità per le quali i dati sono trattati (principio di limitazione della conservazione, art. 5, par. 1, lett. e) del Regolamento) e indicare tale periodo (o i criteri per determinarlo) tra le informazioni da rendere all’interessato.

3. DPO – RPD: poiché la designazione del DPO – RPD risulta obbligatoria esclusivamente per alcuni soggetti, il Garante ha chiarito che:

a. Deve ritenersi obbligatoria per

  • i trattamenti dei dati personali relativi a pazienti effettuati da un’azienda sanitaria appartenente al SSN, sia in relazione alla natura giuridica di “organismo pubblico” del titolare, sia in quanto rientrano nella condizione prevista dall’art. 37, par. 1, lett. c), considerato che le attività principali del titolare consistono nel trattamento, su larga scala, di dati sulla salute;
  • il trattamento dei dati relativi a pazienti svolto da un ospedale privato, da una casa di cura o da una residenza sanitaria assistenziale (RSA) possa rientrare, in linea generale, nel concetto di larga scala;

b. Deve ritenersi esclusivamente consigliata (ma non obbligatoria) per il singolo professionista sanitario che operi in regime di libera professione a titolo individuale.

4. Obbligo della tenuta del Registro delle attività di trattamento: secondo la nuova normativa, il registro delle attività di trattamento rappresenta uno degli elementi essenziali per la gestione dei trattamenti dei dati e per l’efficace individuazione di quelli a maggior rischio.

*****In merito, il Garante ha chiarito che, IN AMBITO SANITARIO, deve ritenersi DEVE RITENERSI SUSSISTERE L’OBBLIGO DELLA TENUTA DEL SUDDETTO REGISTRO.*****

Pertanto, non rientrano, nelle ipotesi di esenzione dall’obbligo di tenuta del registro i singoli professionisti sanitari che agiscano in libera professione, i medici di medicina generale/pediatri di libera scelta (MMG/PLS), gli ospedali privati, le case di cura, le RSA e le aziende sanitarie appartenenti al SSN, nonché le farmacie, le parafarmacie e le aziende ortopediche.

GDPR – Privacy: scade il termine del periodo transitorio di “tolleranza”

Premessa

Dal 25 maggio 2018 è stata sancita l’obbligatorietà del Regolamento comunitario (UE) 2016/679, denominato GDPR (General Data Protection Regulation), che regolamenta la protezione delle persone fisiche con riguardo al trattamento dei dati personali (qualsiasi informazione riguardante una persona fisica identificata o identificabile), nonché alla libera circolazione degli stessi, per tutti gli Stati membri dell’Unione europea.

In Italia, per la materia è stato successivamente emanato il D. Lgs. n. 101/2018, entrato in vigore il 19 settembre 2018, con l’intento di armonizzare il testo del nostro Codice Privacy con quello del Regolamento europeo.[1]

Nonostante l’auspicio di molti, che venisse decretato un vero e proprio “periodo di grazia” che prevedesse anche una temporanea sospensione delle ispezioni, nel decreto è stato previsto un periodo di otto mesi (19.09.2018 – 19.05.2018) in cui il Garante dovrà tenere conto della fase iniziale di attuazione, esercitando una certa gradualità nel comminare le sanzioni alle aziende e professionisti ritardatari.

Chi deve adeguarsi (o meglio dovrebbe già essere adeguato)

È importante chiarire che la nuova normativa interessa TUTTI coloro che trattano dati di persone fisiche, indipendentemente dal volume di affari o dalla tipologia di attività svolta.

Il Garante per la protezione dei dati personali ha stilato un elenco esemplificativo dei soggetti obbligati alla tenuta del registro dei trattamenti (articolo 30 G.DP.R.):

1) esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente/collaboratore (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o che trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);

2) liberi professionisti con almeno un dipendente/collaboratore e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);

3) associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso);

4) il condominio ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).

Sanzioni

In caso di violazione della disciplina sul trattamento dei dati personali, la normativa italiana prevede gravi conseguenze in ambito amministrativo, civile ed anche penale.

In primo luogo, è importante ricordare che:

  • i controlli vengono effettuati dagli Agenti della Guardia di Finanza (nucleo operativo privacy);
  • la segnalazione alle Autorità competenti può essere effettuata, non solo da chi lamenta una violazione nel trattamento dei propri dati, ma da CHIUNQUE, come, ad esempio, un competitor/concorrente commerciale.

Conseguenze amministrative (multe)

Il Regolamento europeo (G.D.P.R.) prevede delle gravissime sanzioni amministrative:

– fino ad un massimo di 10 milioni di euro o, per le imprese, il 2% del fatturato (se superiore) – per l’inosservanza di principi come la privacy by design o la carenza di misure adatte a garantire un buon standard di sicurezza.

- fino ad un massimo di 20 milioni o il 4% del fatturato – per la trasgressione dei principi fondamentali, come la negazione del diritto all’oblio (richiesta di cancellazione dei propri dati) o l’opacità nella richiesta di consenso dei dati.

Conseguenze civili (risarcimento danni)

Qualsiasi persona fisica (es. cliente/dipendente/collaboratore etc..) subisca un danno causato da una violazione della nuova normativa ha il diritto di ottenere il risarcimento dei danni dal Titolare del trattamento.

Conseguenze penali (carcere)

Il Legislatore italiano ha, inoltre, previsto una serie di sanzioni penali, tra le quali quelle per il trattamento illecito di dati, punito con la reclusione da sei mesi a un anno e sei mesi.

Rischia, invece, la reclusione da uno a tre anni di carcere chi trasferisce illecitamente dati personali all’estero o commette violazioni riguardanti i trattamenti dei c.d. “dati particolari” o per violazioni delle misure e gli accorgimenti imposti dal Garante.

Viene introdotto anche il reato di “acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala”, punito con la, reclusione fino a quattro anni e rischia addirittura fino a sei anni di carcere chi comunica o diffonde illecitamente banche dati che sono oggetto di trattamento su larga scala.

Sono inoltre previste pene detentive anche per chi dichiara il falso al Garante, non ne rispetta i provvedimenti, o di chi interrompe l’esecuzione dei compiti o l’esercizio dei poteri dell’Autorità. [2]

Conclusioni

In conclusione, l’approccio con la privacy è totalmente cambiato con l’avvento del GDPR e le imprese ed i professionisti devono considerare l’attuazione del GDPR non come un costo ma come un investimento fondamentale per sviluppare il proprio futuro nell’attuale mercato globalizzato e digitalizzato. Proteggere i dati, infatti, non significa solo tutelare i propri utenti ma, soprattutto, assicurare la qualità del trattamento in un’ottica di continua crescita informatico-digitale della propria struttura aziendale e/o amministrativa.

[1] Redazione Ipsoa, Nuovo Codice della Privacy: adeguamento in salita. E le sanzioni?, in www.ipsoa.it

[2] Così, Redazione Ipsoa, ivi.

PRIVACY – GDPR: chi si deve adeguare?

Il Garante per la protezione dei dati personali ha pubblicato le risposte alle domande più frequenti rivolte all’Ufficio del Garante prima fra tutte quella su CHI DEVE TENERE il REGISTRO delle attività di trattamento. Il Garante coglie l’occasione per precisare che si tratta di un documento che ha forma scritta (anche in “formato elettronico”) che deve essere istituito e tenuto aggiornato sia dal titolare del trattamento che da parte del responsabile del trattamento. Attraverso lo strumento del registro del trattamento, evidenzia il Garante, si esprime il principio di accountability ossia il principio di responsabilizzazione in base al quale occorre essere in grado di comprovare di aver rispettato puntualmente i principi applicabili al trattamento dei dati personali. Il Registro va tenuto costantemente aggiornato (nel senso che bisogna tenere traccia delle modifiche che nel corso del tempo dovessero intervenire. Ma veniamo al punto: il Garante ha chiarito che è obbligato alla tenuta del registro dei trattamenti (oltre alle imprese con più di 250 dipendenti): a) qualunque titolare o responsabile che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato; b) qualunque titolare o responsabile che effettui trattamenti non occasionali; qualunque titolare o responsabile che effettui trattamenti delle categorie particolari di dati o di dati personali relativi a condanne penali e reati. E’ chiaro che le ipotesi che restano “scoperte” dall’obbligo di tenuta del registro dei trattamenti siano veramente limitate e, comunque, anche in quei casi (ossia nelle ipotesi in cui la tenuta del registro dei trattamenti non sia obbligatoria) il Garante suggerisce caldamente di istituirlo e tenerlo aggiornato in quanto il registro dei trattamenti “contribuisce a meglio attuare, con modalità semplici e accessibili a tutti, il principio di accountability e, al contempo, ad agevolare in maniera dialogante e collaborativa l’attività di controllo del Garante stesso”. Val la pena ricordare che i controlli vengono effettuati dalla Guardia di Finanza. Interessanti sono, inoltre, le esemplificazioni fatte dal Garante circa i soggetti obbligati alla tenuta del registro dei trattamenti tra i quali si indicano: 1) esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente/collaboratore (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o che trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.); 2) liberi professionisti con almeno un dipendente/collaboratore e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale); 3) associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso); 3) il condominio ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali). Attesa la delicatezza della materia, nonché la pesantezza delle sanzioni previste, consiglio vivamente di mettersi in contatto col proprio consulente di fiducia in mancanza del quale il mio Studio è disponibile a fornire chiarimenti e, se del caso, supporto operativo per l’adeguamento.

Newsletter promozionali e privacy: è necessario il consenso esplicito e specifico (Cass. 17278/18)

Cass. civ. Sez. I, Sent., (ud. 11-05-2018) 02-07-2018, n. 17278

IL FATTO

Il Tribunale di Arezzo accoglieva l’opposizione proposta ai sensi del D.Lgs. 30 giugno 2003, n. 196, art. 152 (c.d. Codice della privacy) da AdSpray S.r.l. nei confronti dell’Autorità garante per la protezione di dati personali contro il provvedimento n. 427 del 25 settembre 2014 con cui quest’ultima aveva dichiarato illecito il trattamento dei dati personali posto in essere da AdSpray S.r.l. per finalità promozionali, effettuato dalla medesima senza aver ottenuto un consenso libero e specifico degli interessati ex artt. 23 e 130 Codice della privacy. Nel contraddittorio con il Garante, che resisteva all’opposizione, l’adito Tribunale, osservava tuttavia che non erano condivisibili le argomentazioni del Garante, il quale aveva sostenuto che il trattamento dei dati personali fosse stato effettuato in mancanza di un consenso prestato in conformità all’art. 23 del Codice della privacy e che, in definitiva, si era in presenza di un servizio prestato ad utenti che del tutto liberamente e volontariamente avevano optato per l’adesione allo stesso. Per la cassazione della sentenza l’Autorità garante per la protezione dei dati personali proponeva, quindi, ricorso.

IL PRINCIPIO ENUNCIATO DALLA CORTE

In tema di consenso al trattamento dei dati personali, la previsione dell’art. 23 del Codice della privacy, nello stabilire che il consenso è validamente prestato solo se espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, consente al gestore di un sito Internet, di condizionare la fornitura del servizio al trattamento dei dati per finalità pubblicitarie, sempre che il consenso sia singolarmente ed inequivocabilmente prestato in riferimento a tale effetto, il che comporta altresì la necessità, almeno, dell’indicazione dei settori merceologici o dei servizi cui i messaggi pubblicitari saranno riferiti.

CONSIDERAZIONE CONCLUSIVA

Le coordinate giuridiche enucleate dalla Suprema Corte sono certamente trasponibili al Regolamento generale n. 679/2016 (GDPR). Anche per la nuova normativa, infatti, il consenso deve essere esplicito (art. 9 GDPR) e specifico, cioè relativo alla finalità per la quale è eseguito quel trattamento e, se il trattamento abbia più finalità, il consenso dovrebbe essere prestato per ogni finalità (Cfr. Considerando 32 GDPR).

Considerando 32: “Il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso.”

LA SENTENZA INTEGRALE

REPUBBLICA ITALIANA

IN NOME DEL POPOLO ITALIANO

LA CORTE SUPREMA DI CASSAZIONE

SEZIONE PRIMA CIVILE

Composta dagli Ill.mi Sigg.ri Magistrati:

Dott. GENOVESE Francesco A. – Presidente –

Dott. DE CHIARA Carlo – Consigliere –

Dott. ACIERNO Maria – Consigliere –

Dott. DI MARZIO Mauro – rel. Consigliere –

Dott. TRICOMI Laura – Consigliere –

ha pronunciato la seguente:

SENTENZA

sul ricorso 8194/2017 proposto da:

Autorità Garante per la Protezione dei Dati Personali, in persona del legale rappresentante pro tempore, domiciliata in Roma, Via dei Portoghesi n. 12, presso l’Avvocatura Generale dello Stato, che la rappresenta e difende ope legis;

– ricorrente –

contro

AD SPRAY S.r.l., in persona del legale rappresentante pro tempore, elettivamente domiciliata in Roma, Via G. Pisanelli n.4, presso lo studio dell’avvocato Gigli Giuseppe, che la rappresenta e difende unitamente all’avvocato Pugi Giuseppe, giusta procura a margine del controricorso;

– controricorrente –

avverso la sentenza n. 522/2016 del TRIBUNALE di ARMO, depositata il 20/09/2016;

udita la relazione della causa svolta nella pubblica udienza del 11/05/2018 dal cons. DI MARZIO MAURO;

udito il P.M., in persona del Sostituto Procuratore Generale FEDERICO SORRENTINO che ha concluso per l’accoglimento del ricorso;

udito, per la controricorrente, l’Avvocato Giuseppe Pugi che ha chiesto il rigetto del ricorso.

Svolgimento del processo

  1. – Con sentenza del 29 aprile 2016 il Tribunale di Arezzo ha accolto l’opposizione proposta ai sensi del D.Lgs. 30 giugno 2003, n. 196, art. 152 (c.d. Codice della privacy) da AdSpray S.r.l. nei confronti dell’Autorità garante per la protezione di dati personali contro il provvedimento n. 427 del 25 settembre 2014 con qui quest’ultima:
  2. a) aveva dichiarato illecito il trattamento dei dati personali posto in essere da AdSpray S.r.l. per finalità promozionali, effettuato dalla medesima senza aver ottenuto un consenso libero e specifico degli interessati ex artt. 23 e 130 Codice della privacy;
  3. b) aveva vietato ad AdSpray S.r.l., ai sensi dell’art. 143, comma 1, lett. c), art. 144 e art. 154, comma 1, lett. d), dello cit. Codice, il trattamento dei dati personali di cui alla precedente lettera a), già raccolti, degli utenti registrati al servizio di newsletter per le finalità di invio di messaggi promozionali, ferma restando l’utilizzabilità degli stessi per la fornitura dei servizi;
  4. c) aveva prescritto ad AdSpray S.r.l., ai sensi dell’art. 143, comma 1, lett. b), art. 144 e art. 154, comma 1, lett. c) Codice, qualora quest’ultima avesse inteso continuare ad utilizzare lo strumento della posta elettronica per l’invio di comunicazioni promozionali, di adottare le misure necessarie e opportune, atte a garantire la completa ottemperanza a quanto stabilito dagli artt. 23 e 130 medesimo Codice, prevedendo la possibilità per gli interessati di esprimere uno specifico consenso e fornendone adeguata documentazione al Garante entro sessanta giorni dalla ricezione del provvedimento.
  5. – Nel contraddittorio con il Garante, che ha resistito all’opposizione, l’adito Tribunale, per quanto rileva, ha osservato: -) che non erano condivisibili le argomentazioni del Garante, il quale aveva sostenuto che il trattamento dei dati personali fossa stato effettuato in mancanza di un consenso prestato in conformità all’art. 23 del Codice della privacy, dal momento che detta norma non era suscettibile di essere integrata con la previsione di obblighi, da essa non previsti, bensì introdotti da provvedimenti del Garante medesimo, quali le linee guida adottate in data 4 luglio 2013;

-) che, in particolare, doveva escludersi che il consenso espresso dall’utente nell’accedere alle prestazioni offerte da AdSpray S.r.l. non potesse considerarsi “libero”, giacchè la norma non individua un obbligo tout court per il gestore del portale di offrire comunque le proprie prestazioni, a prescindere dal consenso al trattamento dei dati personali da parte dell’utente;

-) che, in definitiva, si era in presenza di un servizio prestato ad utenti che del tutto liberamente e volontariamente avevano optato per l’adesione allo stesso.

  1. – Per la cassazione della sentenza l’Autorità garante per la protezione dei dati personali ha proposto ricorso per un motivo. AdSpray S.r.l. ha resistito con controricorso.

Motivi della decisione

  1. – Il ricorso denuncia violazione e falsa applicazione degli artt. 23 e 130 Codice della privacy, in relazione all’art. 360 c.p.c., comma 1, n. 3.

Secondo il Garante, il Tribunale avrebbe errato nel ritenere che le Linee guida da esso elaborate costituissero un’integrazione del precetto posto dall’art. 23 del Codice della privacy, giacchè esse recavano invece soltanto la corretta interpretazione del dato normativo, alla luce del quale occorreva che il consenso al trattamento dei dati personali fosse espresso liberamente e specificamente, mancando nel caso di specie una specifica manifestazione di volontà volta alla ricezione di messaggi promozionali via mail, essendo obbligatorio prestare il consenso alla loro ricezione per potersi iscrivere al servizio di newsletter offerto dalla società.

  1. – Il ricorso è fondato.

2.1. – Come emerge dalla sentenza impugnata, e come è d’altronde incontroverso, AdSpray S.r.l. offriva per il tramite del portale www.laretediclo.it un servizio di newsletter su tematiche legate alla finanza, al fisco, al diritto e al lavoro. Per accedere alla newsletter era richiesto l’inserimento, da parte dell’utente, del proprio indirizzo e-mail e, in calce al form di raccolta dati, era presente una casella di spunta (c.d. checkbox) con la quale il contraente poteva esprimere il consenso “al trattamento dei dati personali”; inviando la rich esta di iscrizione senza validare la casella del consenso non era passibile accedere al servizio e appariva il messaggio “è richiesta la selezione della casella”. Non era evidenziato direttamente dalla pagina in cosa consistesse il “trattamento dei dati personali” e quali effetti producesse: è la stessa controricorrente a riferire, a pagina 2 del controricorso, che l’utente poteva visionare la normativa sulla privacy attraverso un apposito link ipertestuale che, una volta cliccato, specificava che i dati personali acquisiti attraverso l’iscrizione alla newsletter sarebbero stati utilizzati non solo per la fornitura di tale servizio, ma anche per l’invio di comunicazioni promozionali nonchè di informazioni commerciali da parte di terzi.

2.2. – Ciò detto, occorre rammentare che il D.Lgs. 30 giugno 2003, n. 196, art. 23 stabilisce nei suoi tre commi che:

-) il trattamento di dati personali è ammesso solo con il consenso espresso dell’interessato;

-) il consenso può riguardare l’intero trattamento ovvero una o più operazioni dello stesso;

-) il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se sono state rese all’interessato le informazioni di cui all’art. 13.

Tale ultima disposizione, poi, contiene una dettagliata elencazione delle informazioni che devono essere somministrate all’interessato.

Il citato art. 23 reca così uno dei principi fondanti della materia giacchè, anche per la collocazione sistematica della disposizione nel Titolo 3 del Codice, che pone le regole generali per il trattamento dei dati, sta a significare che il consenso è condizione – fatti salvi casi eccettuati che qui non rilevano – della liceità del trattamento.

Il principio così posto si armonizza con il dettato dall’art. 2, lettera h) della direttiva 95/46/CE del Parlamento Europeo e del Consiglio del 24 ottobre 1995, che definisce il consenso come “qualsiasi manifestazione di volontà libera, specifica e informata con la quale la persona interessata accetta che i dati personali che la riguardano siano oggetto di un trattamento”, direttiva in cui si chiarisce ulteriormente, all’art. 7, che il trattamento dei dati personali può essere effettuato soltanto quando “la persona interessata ha manifestato il proprio consenso in maniera inequivocabile”.

Ed in una prospettiva di ulteriore specificazione del concetto, utile ad intendere anche la portata dal menzionato art. 23, il “consenso dell’interessato”, all’undicesima delle definizioni date in apertura del Regolamento (UE) 2016/679 del Parlamento Europeo e del consiglio del 27 aprile 2016 (c.d. GDPR, General Data Protection Regulation), è inteso come: “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”. Dopodichè il trentaduesimo considerando dello stesso testo aggiunge che: “Il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento…”).

2.4. – Sorge dunque il problema dell’identificazione e delimitazione della nozione di consenso adottata dal legislatore con il richiamato art. 23.

Orbene, è anzitutto da escludere che il consenso considerato da tale disposizione sia semplicemente il medesimo consenso in generale richiesto a fini negoziali, ossia il consenso prestato da un soggetto capace di intendere e volere e non viziato da errore, violenza o dolo, ovvero, in determinati frangenti, da pericolo o da bisogno: consenso, quello così previsto, che pur sussiste quantunque perturbato, al di sotto di una determinata soglia, in ragione dei vizi indicati, secondo quanto risulta dagli artt. 1428, 1435 e 1439 c.c..

Una simile lettura minimale dell’art. 23 – che è in definitiva quella che pare emergere, sia pur senza adeguata consapevolezza, dal provvedimento impugnato – non ha fondamento, almeno per due ragioni:

-) in primo luogo, se il consenso dovesse essere inteso nella medesima accezione in cui esso è di regola richiesto a fini negoziali, la norma del Codice della privacy sarebbe superflua, non potendosi dubitare che, anche senza di essa, un trattamento dei dati senza consenso non sia ipotizzabile, dal momento che i dati personali costituiscono beni attinenti alla persona;

-) in secondo luogo il legislatore non discorre qui di un generico consenso, bensì di un consenso manifestato, oltre che espressamente, liberamente e specificamente, a condizione che all’interessato siano state previamente offerte le informazioni elencate dall’art. 13 del Codice della privacy.

Non v’è dubbio, allora, che, nel suo complesso la previsione di un consenso in tal modo “rafforzato” sia dettato dall’esigenza di rimediare alla intrinseca situazione di debolezza dell’interessato, sia sotto il profilo della evidente “asimmetria informativa “, sia dal versante della tutela contro possibili tecniche commerciali aggressive o suggestive. La normativa in questione, dunque, sorge dall’esigenza di affrontare i rischi per la persona posti dal trattamento in massa dei dati personali, così come reso possibile dall’evoluzione tecnologica. Può dunque dirsi che il consenso in questione debba essere ricondotto alla nozione di “consenso informato”, nozione ampiamente impiegata in taluni settori – basti menzionare il campo delle prestazioni sanitarie – in cui è particolarmente avvertita l’esigenza di tutelare la pienezza del consenso, in vista dell’esplicazione del diritto di autodeterminazione dell’interessato, attraverso la previsione di obblighi di informazione contemplati in favore della parte ritenuta più debole.

Tale lettura trova conferma nel rinvio al già citato art. 13, il quale enumera le informazioni che devono essere fornite all’interessato prima che questi esprima il suo consenso, ed altresì nella previsione dell’art. 11, comma 1, lett. b e d, del Codice della privacy, il quale consente l’utilizzo dei dati solo per gli scopi per cui sono stati raccolti e che devono essere comunicati all’interessato prima che egli manifesti il suo consenso.

Ne discende che il consenso in discorso, alla luce del dato normativo, è tale da non ammettere compressioni di alcun genere e non sopporta di essere sia pure marginalmente perturbato non solo per effetto di errore, violenza o dolo, ma anche per effetto de l’intero ventaglio di possibili disorientamenti, stratagemmi, opacità, sotterfugi, slealtà, doppiezze o malizie comunque adottate dal titolare del trattamento.

In tal senso va inteso il dato normativo alla luce del quale deve trattarsi di un consenso libero, ossia pienamente consapevole ed informato e non già frutto di alcun condizionamento, e specifico, ossia inequivocabilmente riferito a ciascun particolare effetto del trattamento.

2.5. – Più in specifico, con riguardo all’aspetto della libertà, occorre esaminare, in relazione al caso in esame, la questione se il condizionamento di cui si è detto, tale da far sì che il consenso non sia conforme al dettato normativo, possa essere ravvisato nell’ipotesi in cui l’offerta di un determinato servizio da parte del gestore di un sito Internet sia – per l’appunto – condizionato al Nasi del consenso all’utilizzo dei dati personali per il successivo invio, da parte di terzi, di messaggi pubblicitari: quesito al quale si riferisce, oggi, il comma 4 dell’art. 7 del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016, secondo cui:

“Nel valutare se il consenso sia stato liberamente prestato, tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto”.

Ritiene la Corte, nel quadro di applicazione del citato art. 23, che la risposta al quesito non possa essere univoca e, cioè, che il condizionamento non possa sempre e comunque essere dato per scontato e debba invece essere tanto più ritenuto sussistente, quanto più la prestazione offerta dal gestore del sito Internet sia ad un tempo infungibile ed irrinunciabile per l’interessato, il che non può certo dirsi accada nell’ipotesi di offerta di un generico servizio informativo del tipo di quello in discorso, giacchè all’evidenza si tratta di informazioni agevolmente acquisibili per altra via, eventualmente attraverso siti a pagamento, se non attraverso il ricorso all’editoria cartacea, con la conseguenza che ben può rinunciarsi a detto servizio senza gravoso sacrificio.

Non può allora essere condiviso l’argomento svolto dal giudice di merito secondo cui, dando credito alla tesi sostenuta dal Garante, si finirebbe per “delineare una sorta di obbligo tout court, per il gestore del portale, di offrire comunque le proprie prestazioni, a prescindere dalla prestazione del consenso al trattamento dei dati personali da parte dell’utente”: e, in buona sostanza, per obbligare così il gestore del portale a rinunciare al tornaconto economico dell’operazione che egli compie, proveniente dall’attività pubblicitaria realizzata tramite l’impiego dei dati personali acquisiti.

Nulla, infatti, impedisce al gestore del sito – beninteso, si ripete, in un caso come quello in questione, concernente un servizio nè infungibile, nè irrinunciabile -, di negare il servizio offerto a chi non si presti a ricevere messaggi promozionali, mentre ciò che gli è interdetto è utilizzare i dati personali per somministrare o far somministrare informazioni pubblicitarie a colui che non abbia effettivamente manifestato la volontà di riceverli. Insomma, l’ordinamento non vieta lo scambio di dati personali, ma esige tuttavia che tale scambio sia frutto di un consenso pieno ed in nessun modo coartato.

2.6. – Oltre che libero, il consenso, come si diceva, deve essere specifico: ed è manifesto che il requisito della specificità si pone, nel disegno normativo, in stretto collegamento con quello della libertà del consenso, così da risolversi in un’endiadi, giacchè la libertà della determinazione volitiva in ordine al trattamento dei dati personali non sarebbe neppure astrattamente configurabile, nel suo atteggiarsi quale consenso informato, se non fosse univocamente indirizzata alla produzione di effetti che l’utente abbia preventivamente avuto modo di rappresentarsi, singolarmente, con esattezza.

L’interessato deve essere allora con certezza posto in condizione di raffigurarsi, in maniera inequivocabile, gli effetti del consenso prestato al trattamento dei suoi dati: di guisa che, se detto consenso comporta una pluralità di effetti – come nel caso di specie, in cui esso si estende alla ricezione di messaggi promozionali anche da parte di terzi -, lo stesso va singolarmente prestato in riferimento a ciascuno di essi, di modo che, con totale trasparenza, risulti palese che proprio ciascuno di tali effetti egli ha voluto.

E’ dunque senz’altro da escludere che il consenso possa dirsi specificamente, e dunque anche liberamente, prestato in un’ipotesi in cui, ove gli effetti del consenso non siano indicati con completezza accanto ad una specifica “spunta” apposta sulla relativa cartella di una pagina Web, ma siano invece descritti in altra pagina Web linkata alla prima, non vi sia contezza che l’interessato abbia consultato detta altra pagina, apponendo nuovamente una diversa “spunta” finalizzata a manifestare il suo consenso.

Inoltre, ritiene il Collegio, perchè il consenso possa essere detto specifico, che esso, per la contraddizione che non lo consente, non possa essere genericamente riferito a non meglio identificati messaggi pubblicitari, sicchè colui il quale abbia chiesto di fruire di un servizio di informazioni giuridico-fiscali, si debba vedere poi raggiunto da pubblicità di servizi o prodotti non attinenti alle ricerche effettuate. E’ allora specifico, per questo aspetto, il consenso se riferito “ad un trattamento chiaramente individuato”, il che comporta la necessità, almeno, dell’indicazione dei settori merceologici o dei servizi cui i messaggi pubblicitari saranno riferiti.

2.7. – La sentenza impugnata, in definitiva, adottando una nozione generica ed onnicomprensiva di consenso, non conforme al dato normativo, non si è attenuta ai principi fin qui illustrati, che possono così riassumersi: “In tema di consenso al trattamento dei dati personali, la previsione dell’art. 23 del Codice della privacy, nello stabilire che il consenso è validamente prestato solo se espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, consente al gestore di un sito Internet, il quale somministri un servizio fungibile, cui l’utente possa rinunciare senza gravoso sacrificio (nella specie servizio di newsletter su tematiche legate alla finanza, al fisco, al diritto e al lavoro), di condizionare la fornitura del servizio al trattamento dei dati per finalità pubblicitarie, sempre che il consenso sia singolarmente ed inequivocabilmente prestato in riferimento a tale effetto, il che comporta altresì la necessità, almeno, dell’indicazione dei settori merceologici o dei servizi cui i messaggi pubblicitari saranno riferiti”. La sentenza va dunque cassata senza rinvio e, decidendo nel merito, va rigettata l’opposizione originariamente spiegata da AD SPRAY S.r.l..

  1. – Le spese seguono la soccombenza.

P.Q.M.

accoglie il ricorso, cassa la sentenza impugnata e, decidendo nel merito, rigetta l’opposizione proposta da AD SPRAY S.r.l. nei confronti dell’Autorità Garante per la Protezione dei Dati Personali, condannando la controricorrente al rimborso, in favore della ricorrente, delle spese sostenute per il giudizio di merito, liquidate in complessivi Euro 4.800,00 di cui Euro 200,00 per esborsi ed il resto per compenso, oltre alle spese forfettarie nella misura del 15% ed agli accessori di legge, nonchè delle spese sostenute per questo giudizio di legittimità, liquidate in complessivi Euro 5.200,00, di cui Euro 200,00 per esborsi ed il resto per compenso, oltre alle spese forfettarie nella misura del 15% ed agli accessori di legge.

Così deciso in Roma, nella camera di consiglio della prima sezione civile, il 11 maggio 2018.

Depositato in Cancelleria il 2 luglio 2018

 

Fatturazione elettronica: il Garante privacy la vieta per le prestazioni sanitarie nei confronti dei privati

FATTURA ELETTRONICA: il Garante privacy la vieta per le prestazioni sanitarie nei confronti dei privati

(a cura di Avv. Marco Martinoia – Studio Legale Calvello)

La Legge di Bilancio (L. 30 dicembre 2018, n. 145 – pubblicata in G.U. n. 302 del 31.12.2018 – entrata in vigore il 01.01.2019) ha stabilito che per il periodo d’imposta 2019, gli operatori sanitari non possono emettere fatture elettroniche con riferimento alle prestazioni i cui dati potrebbero essere inviati al Sistema tessera sanitaria.

Il Parlamento è, infatti, intervenuto con questa importante modifica a causa dell’azione decisiva del Garante per la protezione dei dati personali il quale, negli ultimi mesi del 2018, ha emesso due fondamentali provvedimenti.

Il 15 novembre scorso, il Garante privacy aveva già evidenziato le sue perplessità segnalando all’Agenzia delle Entrate che il nuovo obbligo della fatturazione elettronica, così come era stato regolato “presenta(va) rilevanti criticità in ordine alla compatibilità con la normativa in materia di protezione dei dati personali”, in particolar modo relativamente alle prestazioni degli operatori sanitari nei confronti dei privati.[1] [provvedimento consultabile al seguente link:

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9059949 ]

Così, nelle settimane seguenti veniva costituito un tavolo di lavoro tecnico, con l’Agenzia delle Entrate il Mef (Ministero dell’economia e delle finanze), l’Agid (Agenzia per l’Italia digitale), il Consiglio nazionale dei dottori commercialisti e degli esperti contabili, il Consiglio nazionale dell’ordine dei consulenti del lavoro e l’associazione dei produttori di software gestionale e fiscale (AssoSoftware) per analizzare le criticità indicate dal Garante. [2]

All’esito di tale lavoro, il Garante per la protezione dei dati personali è nuovamente intervenuto con il provvedimento n. 511 del 20 dicembre 2018 e prendendo atto dell’insufficienza delle modifiche apportate al sistema “fattura elettronica” ha ingiunto all’Agenzia delle Entrate “di dare idonee istruzioni ai soggetti che erogano prestazioni sanitarie, affinché in nessun caso sia emessa una fattura elettronica attraverso lo SDI concernente l’erogazione di una prestazione sanitaria, a prescindere dall’invio dei dati attraverso il sistema TS;”.[3] [provvedimento consultabile al seguente link:

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9069072 ]

A seguito di questo ulteriore intervento, da ultimo, la Legge di Bilancio ha stabilito che le prestazioni, anche potenzialmente interessate alla trasmissione dei dati al Sistema TS (vale a dire le fatture emesse nei confronti di persone fisiche) dovranno obbligatoriamente essere fatturate, per l’anno 2019, in cartaceo, e non in elettronico (anche nel caso in cui il paziente esprima opposizione alla trasmissione al Sistema TS)[4].

Questo mutamento normativo risulta di estrema importanza soprattutto perché permette di comprendere la sempre maggiore rilevanza che ha assunto il parere del Garante privacy il quale ha, per la prima volta, esercitato il nuovo potere correttivo di avvertimento, attribuitogli dalla nuova normativa GDPR.[5]

[1] Sul punto si veda G. Lanciano, Il Garante Privacy blocca la fatturazione elettronica, in miolegale.it.

[2] Cfr. Garante privacy, Fatturazione elettronica: niente banca dati dell’Agenzia delle entrate. Esentate le fatture per prestazioni sanitarie, in garanteprivacy.it.

[3] Così M. Nicotra, D. Tumietto, Fatturazione elettronica, tutta la privacy dopo l’intervento del Garante: che cambia nel 2019, in agendadigitale.eu.

[4] In tal senso, L. Mondardini, Fattura elettronica e attività sanitarie, in studiomondardini.it.

[5] Così M. Peirolo, Fatture elettroniche e privacy, in Guida alla Fatturazione 2019, Ipsoa.