Con la sentenza n. 17278/2018, la Corte di Cassazione sembra porsi in contrasto con la vigente normativa in tema di privacy, stabilendo che la prestazione di un servizio informatico “fungibile” può essere condizionata al consenso al trattamento dei dati personali.
Dunque, secondo quanto stabilito dai giudici supremi, è legittima la scelta del gestore di un sito internet di negare un servizio offerto a chi non dia la propria autorizzazione al trattamento dati proposto, a patto che si tratti di un servizio fungibile come la newsletter e che non comporti un sacrificio gravoso per l’utente.
Una sentenza importante all’interno del dibattito sul consenso ai sensi degli articoli 7 e 8 del Regolamento UE 2016/679, il GDPR in vigore dal 25 maggio 2018.
Consenso libero e specifico
Il caso in esame faceva riferimento all’articolo 23 del Codice della Privacy e riguardava la scelta di un gestore di un sito internet di offrire un servizio di newsletter su tematiche specifiche.
Per accedere alla newsletter veniva richiesto di inserire il proprio indirizzo email e di esprimere il consenso al trattamento dei dati personali. In assenza di quest’ultimo la richiesta di accedere al servizio veniva rifiutata.
Per visionare la normativa sulla privacy era necessario selezionare un apposito link ipertestuale che, una volta cliccato, specificava che i dati personali acquisiti attraverso l’iscrizione alla newsletter sarebbero stati utilizzati non solo per la fornitura di tale servizio ma anche per l’invio di comunicazioni promozionali nonché di informazioni commerciali da parte di terzi.
Constatato tale vizio, l’Autorità garante per la protezione di dati personali emetteva dunque un provvedimento nei confronti del gestore del sito.
I giudici di legittimità confermano che non mettere gli utenti in grado di sapere con chiarezza ed in anticipo a cosa sta acconsentendo è un comportamento in contrasto con le norme sulla privacy.
Servizio infungibile o irrinunciabile
La Cassazione chiarisce inoltre che la valutazione della legittimità della decisione del gestore di condizionare la fruizione di un determinato servizio al rilascio del consenso all’utilizzo dei dati personali per il successivo invio, da parte di terzi, di messaggi pubblicitari dipende dalla fungibilità e irrinunciabilità del servizio per l’interessato:
- può ritenersi sussistente un condizionamento se la prestazione offerta dal gestore del sito Internet sia infungibile ed irrinunciabile per l’interessato;
- diverso il caso, come quello esaminato, in cui il gestore offre un servizio informativo, divulgando informazioni facilmente acquisibili per altra via, eventualmente anche attraverso siti a pagamento o attraverso il ricorso all’editoria cartacea, dunque quando l’interessato può rinunciare a tale servizio “fungibile”, senza gravoso sacrificio.
Nella sentenza si legge infatti:
la previsione dell’articolo 23 del Codice della privacy […] consente al gestore di un sito Internet, il quale somministri un servizio fungibile, cui l’utente possa rinunciare senza gravoso sacrificio [..] di condizionare la fornitura del servizio al trattamento dei dati per finalità pubblicitarie, sempre che il consenso sia singolarmente ed inequivocabilmente prestato in riferimento a tale effetto, il che comporta altresì la necessità, almeno, dell’indicazione dei settori merceologici o dei servizi cui i messaggi pubblicitari saranno riferiti.
Ora, per conoscere realmente l’impatto che avrà la sentenza nel contesto oggi regolato dal GDPR bisognerà capire concretamente quando un servizio informatico offerto dai gestori di siti web possa considerarsi infungibile o irrinunciabile.