Privacy, sanzionato l’invio della newsletter senza il consenso
Con una seconda decisione la Cassazione ha confermato la “multa” per la non corretta gestione della banca dati da parte di Telecom
Con due sentenze depositate oggi la Cassazione conferma le sanzioni emesse nei confronti di due società per violazione della privacy. Diversi i casi affrontati e differenti anche gli enti sanzionati, nel primo caso a essere “multata” con 10mila euro è una piccola internet company rea di aver iscritto abusivamente a una newsletter gli utenti registrati alla piattaforma di comparazione per gli acquisiti; la seconda condanna (a quasi un milione) riguarda invece un colosso delle Telco per aver mal gestito il trasferimento dei dati della propria maxi banca dati dal vecchio al nuovo gestionale, divulgando le anagrafiche degli ignari clienti.
Iscrizione alla mailing list - Con l’ordinanza n. 15881, la Seconda sezione civile conferma la decisione del tribunale di Roma che aveva respinto l’opposizione della società - che gestiva il sito Internet www.youppit.it - contro l’ingiunzione del Garante della Privacy a pagare una multa avendo accertato che effettuava un trattamento di dati personali consistente nella creazione di una mailing list e nell’invio ai propri utenti, tramite email, di una newsletter periodica e di informazioni di natura commerciale e promozionale senza che fosse stato acquisito il consenso dell’interessato nelle forme previste dall’articolo 23 del codice privacy. Considerato poi che il sito non è un normale e-shop ma un “aggregatore di offerte”, non opera neppure l’esimente delineata dall’art. 24 co. 1 lett. b), prevista nella diversa ipotesi in cui “il titolare del trattamento utilizza, ai fini di vendita diretta dei propri prodotti o servizi, le coordinate di posta elettronica fornite dall’interessato nel contesto della vendita di un prodotto o di un servizio”.
Per la Suprema corte, dunque, il consenso dell’interessato non è necessario “se il titolare del trattamento, ai fini della vendita diretta di propri prodotti o servizi, utilizza le coordinate di posta elettronica fornite dal destinatario nel contesto della vendita, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l’interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni”. “Diversamente, deve essere richiesto il consenso, ai sensi del primo e del secondo comma dello stesso articolo, nell’ipotesi in cui l’interessato abbia solamente effettuato la registrazione sul sito web, abbia concluso un contratto di prova o comunque abbia concluso un contratto a titolo gratuito con il titolare del trattamento”.
Gestione banca dati - Con l’ordinanza n. 15882, confermando la decisione del Tribunale di Milano del 2019, la Cassazione ha poi reso definitiva la sanzione pecuniaria di 800mila euro irrogata dal Garante, nel maggio del 2018, a Telecom Italia per violazione del Codice della Privacy. In particolare, sotto la lente dell’Authority è finita l’illecita gestione della banca dati della Telco con la comunicazione dei dati di clienti a terzi (società di recupero dei crediti per il mancato pagamento delle fatture intestate erroneamente ai clienti; erroneo inserimento del codice fiscale nelle fatture emesse nei confronti dei veri intestatari). A seguito di una ispezione era emerso che al primo utente reclamante erano state ingiustificatamente assegnate 826 linee telefoniche. L’arbitraria assegnazione di utenze si era protratta dal 2003 al 2015 coinvolgendo “numerosi utenti, del tutto ignari”. Da una verifica a campione, era emerso che 644 utenti erano intestatari di oltre 7.000 linee telefoniche. Telecom, si è difesa sostenendo che un’anomalia del software in occasione della migrazione massiva di dati dal vecchio al nuovo gestionale non poteva tradursi in una violazione della privacy, trattandosi di meri errori tecnici.
Giustificazioni bocciate dalla Suprema corte in quanto la condotta illecita permane sia sul piano oggettivo che dal punto di vista dell’elemento psicologico, a causa dell’irregolare associazione delle anagrafiche delle linee telefoniche.
Telecom, precisa la decisione bocciando una seconda doglianza, è responsabile per non avere trattato in maniera lecita e corretta i dati della platea degli utenti, non già per non avere acquisito il preventivo consenso a un ipotetico trattamento illecito dei dati personali riconducibile a un mero errore da parte del titolare del trattamento
La Telco ha poi contestato anche l’entità della sanzione pari a 4 volte il minimo. Per la Corte di merito, e la Cassazione oggi ha confermato, la quadruplicazione è giustificata dalla “dimensione dell’incresciosa vicenda”, che ha coinvolto “moltissime utenze di cittadini che, senza saperlo, hanno subito l’illecito trattamento dei loro dati, a causa di una gestione anomala, che si è protratta dal 2003 al 2015, a fronte della quale Telecom, società leader nel settore della telefonia, avente un importante fatturato (quale elemento che, per la giurisprudenza di legittimità, rileva ai fini della quantificazione della sanzione), non ha posto in essere alcuna tempestiva e autonoma misura strutturale o forma efficace di intervento”.
