Il dato personale tra ‘vecchia’ e ‘nuova’ normativa

La Corte di Cassazione ha offerto uno spunto interessante sulla definizione di ‘dato personale’, sull’ampiezza di tale concetto e sulle implicazioni pratiche che esso comporta.

L’ordinanza 17665/18 del 5 luglio scorso prende le mosse dalla sanzione erogata dalla Guardia di Finanza contro una società, rea di aver effettuato attività e-mail marketing verso i propri clienti senza aver raccolto specifico consenso attraverso l’informativa, in violazione di quanto disposto dall’art. 13 del D.Lgs. 196/2003. La società ha impugnato l’ingiunzione di pagamento, adducendo come motivazione il volontario e spontaneo conferimento dei dati (nome, cognome e indirizzo di posta elettronica) da parte dei clienti, con la conseguente possibilità di individuare una sorta di “implicito consenso” in tale atteggiamento.

Il Tribunale di Pavia, a marzo 2013 ha rigettato l’opposizione della società. I temi addotti a sostegno del rifiuto sono sostanzialmente di tre ordini: le caratteristiche intrinseche dell’informativa, che ai sensi del citato art. 13 del Codice Privacy deve avere forma orale o scritta; l’applicabilità dello stesso art. 13, qui pienamente prevista in virtù della presenza di ‘dati personali’ di cui all’art. 4 del medesimo Codice Privacy; l’impossibilità di applicare le deroghe previste all’art. 13 circa il rilascio dell’informativa.

La società si è quindi rivolta alla Suprema Corte. Tra le differenti motivazioni presentate dalla ricorrente, trova particolare rilievo quanto dedotto sul tema della definizione di “dato personale”. Stando a quanto ricostruito da questa, infatti, gli articoli del Codice Privacy non si applicherebbero al caso di specie, vertendo la questione su ‘dati identificativi’, diversi dai ‘dati personali’ di cui all’art. 4 della norma. L’infondatezza della posizione sostenuta è di facile configurazione, come dimostrato dalla Corte: nome, cognome ed indirizzo mail sono sicuramente informazioni relative a persone fisiche, che ne consentono per di più l’identificazione diretta, secondo quello che è il disposto dell’art. 4 del D.Lgs. 196/2003; identificazione diretta che, pertanto, qualifica tali ‘dati personali’ come “dati identificativi’. L’art. 13 trova dunque piena e legittima applicazione, prefigurando l’informativa come elemento necessario a fronte della raccolta dei predetti dati.

Altro elemento che rileva nel presente commento, e che viene contestato dalla Corte, è quello dell’incompletezza dei documenti informativi (i “form” prodotti dalla ricorrente) in materia di trattamento dei dati personali resi dalla società ai propri clienti, risultando essi privi di indicazioni fondamentali costituenti lo schema essenziale dell’informativa, quali modalità e finalità del trattamento, dati del titolare, soggetti destinatari di eventuali comunicazioni di dati personali.

La Corte di Cassazione respinge così il ricorso, confermando la sanzione pecuniaria inflitta in origine.

Nonostante si fondi su quanto previsto dalla disciplina previgente rispetto al Regolamento Eu n. 679/2016, la sentenza permette di riflettere sulla modulabilità del concetto di “dato personale”; la mancanza di contorni ben precisi e la genericità dei confini di tale definizione è uno dei punti di contatto tra ‘vecchia’ e ‘nuova’ normativa. Anche all’art. 4 del GDPR, non a caso, si parla di “dato personale” come “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”. Le maglie della norma sono volutamente ampie, così che la decisiva comprensione di cosa sia o non sia “dato personale” costituisca non solo un mero esercizio logico, ma l’effettivo presupposto per un trattamento lecito e legittimo, oltre che rappresentare la base per una corretta applicazione della normativa.

Pubblicato su Il Caffé Digitale