La regola del consenso quale fondamento della disciplina delle comunicazion

Come già accennato, la fonte di riferimento in Italia è il Codice della Privacy (di seguito “Codice”). Recependo le fin troppo generiche definizioni di “trattamento” e “dati

105 _{Come esplicitato nel considerando n. 13 del regolamento. In tema cfr. anche P. de HERT, V.} PAPAKONSTANTINOU, The new General Data Protection Regulation: Still a sound system for the protection of individuals? in Computer Law & Security Review, n. 32, 2016.

106 _{Per un quadro generale sul regolamento cfr. F. PIZZETTI, Privacy e il diritto europeo alla protezione} dei dati personali. Dalla Direttiva 95/46 al nuovo Regolamento europeo, Giappichelli, 2016, M. STANZIONE, Il regolamento europeo sulla privacy. Origini e ambito di applicazione, in Europa e diritto privato, n. 4, 2016.

111

personali” fornite dalle normative europee108_{, l’art. 4 del Codice permette di inserire la}

raccolta delle informazioni necessarie all’invio di e-mail a scopo pubblicitario tra le azioni di trattamento dei dati109_{, e come è noto, l’Autorità garante per la protezione dei}

dati personali (di seguito “Garante”) ha specificato in più di un’occasione che i singoli indirizzi di posta elettronica costituiscono “dati personali”110_{. Le norme più rilevanti in}

tema di comunicazioni elettroniche con scopo promozionale si rinvengono principalmente nelle disposizioni di cui agli artt. 13, 23, 24 e 130 del Codice. Il primo riguarda l’informativa che deve essere fornita dal responsabile del trattamento dei dati all’interessato, sia esso persona fisica o giuridica111_{, in qualunque occasione di}

trattamento dati. Il Regolamento specifica molto più in dettaglio i requisiti dell’informativa, stabilendo agli artt. 12 e 13 la necessaria forma concisa, trasparente, intelligibile per l'interessato e facilmente accessibile; il linguaggio utilizzato deve essere chiaro e semplice, e per i minori occorre prevedere formati idonei. L’informativa deve essere data, in linea di principio, per iscritto e preferibilmente in formato elettronico. Novità rilevante che si discosta dalla vigente normativa italiana è che ai sensi dell’art. 14, par. 4, nelle ipotesi in cui il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati ottenuti, spetta allo stesso

108 _{Nel contesto online una dicitura troppo generica non permette una chiara identificazione delle azioni} connesse al trattamento dei dati. In questo senso cfr. R. JONES, D. TAHRI, An overview of EU data protection rules on use of data collected online, in Computer Law & Security Review, n. 27, 2011. 109_{«qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici,} concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati», art. 4, D. Lgs. 196/2003.

110 _{A partire dal provvedimento del 29 maggio 2003 “Spamming. Regole per un corretto invio delle e-mail} pubblicitarie - Provvedimento generale”, quindi precedentemente all’emanazione del vigente Codice della privacy, secondo il Garante «gli indirizzi di posta elettronica recano dati di carattere personale da trattare nel rispetto della normativa in materia».

111 _{Riguardo l’applicazione del codice alle persone giuridiche, in seguito alla modifica delle nozioni di} “interessato” e “dato personale” fornita dal d.l. 201/2011, il Garante aveva esplicitato come le persone giuridiche non potessero essere più considerate come “interessati”; ma l’introduzione della qualifica di “contraente” avvenuta a seguito del recepimento della Direttiva 2009/136/CE, lo scenario è cambiato. Infatti «con ordinanza-ingiunzione 7 maggio 2015, n. 276, il Garante ha osservato che nel caso in cui i trattamenti di dati personali effettuati dal titolare siano riconducibili all’ambito di applicazione di quelli previsti dall’art. 130, comma 1, del Codice, ai fini dell’attribuzione della responsabilità dell’illecito amministrativo derivante dalla disapplicazione dell’istituto del consenso, si può fare riferimento alla definizione di “contraente” prevista dall’art. 4, comma 2, lett. f), del Codice, che include anche le persone giuridiche. Ne discende che, nelle ipotesi di cui al cit. art. 130, comma 1, la tutela del dato personale ricomprende anche la persona giuridica contraente e che la mancata acquisizione del consenso della stessa al trattamento configura una violazione del Codice.» cit. M. SOFFIENTINI, Privacy. Protezione e trattamento dei dati, Ipsoa, 2016.

112

titolare valutare se la prestazione dell'informativa agli interessati comporti uno sforzo sproporzionato, ciò a differenza di quanto prevede l'art. 13, comma 5, lettera c) del Codice.

L’art. 130 del Codice si riferisce più specificatamente alle modalità operative che si devono porre in essere nelle comunicazioni commerciali; esso costituisce una norma speciale di diretta derivazione comunitaria e ricalca l’art. 13 della Direttiva e-Privacy, che stabilisce espressamente che «l'uso di sistemi automatizzati di chiamata senza intervento di un operatore (dispositivi automatici di chiamata), del telefax o della posta elettronica a fini di commercializzazione diretta è consentito soltanto nei confronti degli abbonati che abbiano espresso preliminarmente il loro consenso». Come esplicitato nel secondo comma ottenere il previo consenso dell’interessato è necessario anche per le comunicazioni elettroniche; ciò viene ribadito anche in un provvedimento del Garante112_,

che stabilisce la necessità del requisito con riferimento alle comunicazioni «effettuate per le finalità ivi indicate, mediante posta elettronica, telefax, messaggi del tipo Mms (Multimedia Messaging Service) o Sms (Short Message Service) o di altro tipo». Dalla lettura delle due disposizioni si può desumere che il consenso al trattamento automatizzato è più “forte” e si estende anche alle modalità di contatto tradizionali meno invasive, diversamente dal consenso prestato per la ricezione di materiale tradizionale (posta cartacea) che invece non si spinge ad inglobare anche quello relativo alle modalità automatizzate113_.

Il Codice si rifà quindi alla regola comunitaria del cosiddetto opt-in, secondo cui l’invio di materiale commerciale è lecito solo se il destinatario ha dichiarato di volerlo ricevere. A tale regola il comma 4 pone un’attenuazione (soft spam), prevedendo la possibilità per il titolare del trattamento di non dover richiedere il consenso qualora questo sia stato già fornito nell’ambito della vendita di un prodotto o servizio, sempre a condizione che il destinatario, adeguatamente informato della possibilità di opporsi a tale trattamento in qualsiasi momento, non ne rifiuti l’uso.

Il Garante ha specificato i casi in cui si configura tale possibilità al paragrafo 2.7 delle “Linee guida in materia di attività promozionale e contrasto allo spam”114 _{(di seguito}

112 _{Provvedimento n. 242 del 15 maggio 2013 “Consenso al trattamento dei dati personali per finalità di} “marketing diretto” attraverso strumenti tradizionali e automatizzati di contatto”, pubblicato sulla Gazzetta Ufficiale n. 174 del 26 luglio 2013.

113 _{M. SOFFIENTINI, Privacy. Protezione e trattamento dei dati, cit.}

113

Linee Guida), atto non facilmente inquadrabile in una determinata categoria giuridica; le “linee guida” delle autorità amministrative indipendenti dovrebbero costituire infatti un «mero strumento interpretativo non vincolante»115_{, ma in alcuni casi esse assumono un}

vero e proprio valore normativo; ne discendono problemi di classificazione, dal momento che tali atti vengono a collocarsi in «una zona grigia tra normazione e amministrazione»116_.

Assumendolo quale strumento interpretativo di supporto, le linee guida sul contrasto allo spam “integrano” l’art. 130 del Codice, specificando le condizioni per le quali può omettersi la richiesta di consenso:

- I messaggi devono essere trasmessi tramite posta elettronica (l’eccezione non si estende cioè ad altri mezzi, ad esempio il telefono);

- le coordinate e-mail devono essere quelle fornite nel contesto della precedente vendita di un prodotto o di un servizio;

- devono essere messaggi inviati a fini di vendita diretta di prodotti e/o servizi forniti dal titolare del trattamento (e non da terzi o per conto di terzi) e sempre analoghi a quelli oggetto della vendita;

- l’interessato, adeguatamente informato, non deve aver rifiutato tale uso inizialmente o in occasione di successive comunicazioni e deve avere sempre poter scegliere di «opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente».

La disciplina generale relativa al consenso è contenuta negli artt. 23 e 24 del Codice: esso può essere considerato valido solo se «espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se sono state rese all'interessato le informazioni di cui all'articolo 13»117_{. L’art. 24 elenca}

invece i casi nei quali il trattamento può avvenire senza consenso dell’interessato, ma come anche specificato dal Garante al paragrafo 2.7 delle Linee Guida, tali cause di esonero non valgono nelle ipotesi di cui all’art. 130 commi 1 e 2: in questi casi infatti si fa riferimento al soft spam (di cui all’art. 130, comma 4) come unica possibile eccezione.

115 _{Trib. Bassano del Grappa, 12 maggio 2009.}

116 _{G. DI COSIMO, Sulle linee guida del Garante della privacy, in Osservatoriosullefonti, n. 1, 2016,} secondo cui «la legittimità dell’esercizio da parte delle autorità indipendenti di simili poteri dipende dall’accezione del principio di legalità che si assume, laddove un significato forte del principio porta a ritenere che possano esercitare solo poteri espressamente previsti dal legislatore, mentre un significato debole ammette il ricorso anche a poteri non disciplinati».

114

Il consenso dell’interessato è il fulcro normativo dell’intera disciplina. Le criticità relative alla determinazione delle condizioni in presenza delle quali può essere definito come “liberamente prestato” si sollevano in particolare alla luce di quelle fattispecie in cui la prestazione del consenso al trattamento dei dati per finalità ulteriori (prevalentemente pubblicitarie) funge da corrispettivo per l’erogazione di servizi. La questione solleva interessanti quesiti circa la commerciabilità o meno dei diritti della personalità, comunemente considerati come diritti indisponibili118_{. Nella normativa}

italiana la libertà del consenso è intesa come conseguenza di un atteggiamento consapevole e ponderato rispetto all’informativa fornita, ovvero il consenso può definirsi libero quando è informato e rivolto specificatamente ad un tipo di trattamento. Se è difficile ricavare questa interpretazione dalla giurisprudenza, dal momento che raramente si è soffermata su questo aspetto, si può dire con certezza che riflette la posizione consolidata del Garante, che in più provvedimenti ha ribadito l’assoluta necessità che il consenso sia svincolato da ogni altra prestazione accessoria.

non può definirsi "libero", e risulta indebitamente necessitato, il consenso a ulteriori trattamenti di dati personali che l'interessato "debba" prestare quale condizione per conseguire una prestazione richiesta, e che gli interessati devono essere messi in grado di esprimere consapevolmente e liberamente le proprie scelte in ordine al trattamento dei dati che li riguardano, manifestando il proprio consenso per ciascuna distinta finalità perseguita dal titolare119_.

Quindi deve risultare esplicito il fatto che l’interessato debitamente informato acconsenta al trattamento dei dati per una determinata finalità, senza dover rendere il proprio consenso per qualsivoglia prestazione accessoria. In questo senso si muove anche il recente Regolamento, ricalcando la suddetta impostazione sia nel preambolo120_{, sia nel}

testo normativo121_.

118 _{S. THOBANI, La libertà del consenso al trattamento dei dati personali e lo sfruttamento economico dei} diritti della personalità, in Europa e diritto privato, n. 2, 2016.

119 _{Provvedimento n. 200 del 19 maggio 2011. Tale orientamento risulta confermato da molti altri} provvedimenti: provv. 22 febbraio 2007, provv. 12 ottobre 2005, provv. 3 novembre 2005, provv. 10 maggio 2006, provv. 15 luglio 2010.

120 _{Considerando 32 e 43.}

121 _{«Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione} l'eventualità, tra le altre, che l'esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all'esecuzione di tale contratto», art. 7, comma 4.

115

Tale puntualizzazione in merito alla caratterizzazione del consenso assume rilievo, in quanto l’assimilazione della prestazione del consenso al trattamento dei dati a condizione necessaria per poter usufruire di determinati servizi è una pratica diffusa tra le strategie di marketing delle imprese. Può accadere infatti che il consumatore si veda costretto ad acconsentire al trattamento dei dati per finalità promozionali solo al fine di poter accedere al servizio di ricezione di newsletter; si tratta di due servizi diversi e non connessi, e di conseguenza «i trattamenti di dati per finalità commerciali esulano da quelli necessari per adempiere al contratto di fornitura del servizio e pertanto per il conseguimento di tali finalità, proprio perché ulteriori rispetto a quelle di carattere contrattuale, il titolare è tenuto alla preventiva acquisizione di uno specifico consenso»122_.

4.3. La raccolta degli indirizzi e-mail sul web e l’invio di comunicazioni