Il dato personale tra ‘vecchia’ e ‘nuova’ normativa

09/11/2018
di Yuri Monti

La Corte di Cassazione ha offerto uno spunto interessante sulla definizione di ‘dato personale’, sull’ampiezza di tale concetto e sulle implicazioni pratiche che esso comporta.

L’ordinanza 17665/18 del 5 luglio scorso prende le mosse dalla sanzione erogata dalla Guardia di Finanza contro una società, rea di aver effettuato attività e-mail marketing verso i propri clienti senza aver raccolto specifico consenso attraverso l’informativa, in violazione di quanto disposto dall’art. 13 del D.Lgs. 196/2003. La società ha impugnato l’ingiunzione di pagamento, adducendo come motivazione il volontario e spontaneo conferimento dei dati (nome, cognome e indirizzo di posta elettronica) da parte dei clienti, con la conseguente possibilità di individuare una sorta di “implicito consenso” in tale atteggiamento.

Il Tribunale di Pavia, a marzo 2013 ha rigettato l’opposizione della società. I temi addotti a sostegno del rifiuto sono sostanzialmente di tre ordini: le caratteristiche intrinseche dell’informativa, che ai sensi del citato art. 13 del Codice Privacy deve avere forma orale o scritta; l’applicabilità dello stesso art. 13, qui pienamente prevista in virtù della presenza di ‘dati personali’ di cui all’art. 4 del medesimo Codice Privacy; l’impossibilità di applicare le deroghe previste all’art. 13 circa il rilascio dell’informativa.

La società si è quindi rivolta alla Suprema Corte. Tra le differenti motivazioni presentate dalla ricorrente, trova particolare rilievo quanto dedotto sul tema della definizione di “dato personale”. Stando a quanto ricostruito da questa, infatti, gli articoli del Codice Privacy non si applicherebbero al caso di specie, vertendo la questione su ‘dati identificativi’, diversi dai ‘dati personali’ di cui all’art. 4 della norma. L’infondatezza della posizione sostenuta è di facile configurazione, come dimostrato dalla Corte: nome, cognome ed indirizzo mail sono sicuramente informazioni relative a persone fisiche, che ne consentono per di più l’identificazione diretta, secondo quello che è il disposto dell’art. 4 del D.Lgs. 196/2003; identificazione diretta che, pertanto, qualifica tali ‘dati personali’ come “dati identificativi’. L’art. 13 trova dunque piena e legittima applicazione, prefigurando l’informativa come elemento necessario a fronte della raccolta dei predetti dati.

Altro elemento che rileva nel presente commento, e che viene contestato dalla Corte, è quello dell’incompletezza dei documenti informativi (i “form” prodotti dalla ricorrente) in materia di trattamento dei dati personali resi dalla società ai propri clienti, risultando essi privi di indicazioni fondamentali costituenti lo schema essenziale dell’informativa, quali modalità e finalità del trattamento, dati del titolare, soggetti destinatari di eventuali comunicazioni di dati personali.

La Corte di Cassazione respinge così il ricorso, confermando la sanzione pecuniaria inflitta in origine.

Nonostante si fondi su quanto previsto dalla disciplina previgente rispetto al Regolamento Eu n. 679/2016, la sentenza permette di riflettere sulla modulabilità del concetto di “dato personale”; la mancanza di contorni ben precisi e la genericità dei confini di tale definizione è uno dei punti di contatto tra ‘vecchia’ e ‘nuova’ normativa. Anche all’art. 4 del GDPR, non a caso, si parla di “dato personale” come “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”. Le maglie della norma sono volutamente ampie, così che la decisiva comprensione di cosa sia o non sia “dato personale” costituisca non solo un mero esercizio logico, ma l’effettivo presupposto per un trattamento lecito e legittimo, oltre che rappresentare la base per una corretta applicazione della normativa.

Pubblicato su Il Caffé Digitale

Riproduzione riservata ©

ALTRE NEWS

L’UE aumenta le tutele. Perché l’e-commerce quando arriva, arriva

Immancabili a Natale, arrivano le previsioni sullo shopping online. L’e-commerce cresce a livello internazionale, europeo, italiano. Eurostat riporta una quota di fatturato online del 17%… Leggi Tutto

Impronta della mano e privacy dei lavoratori

Uso dei dati biometrici per particolari esigenze di sicurezza e per tempi strettamente necessari. Il Garante ha autorizzato, con particolari cautele, l’uso dei dati ricavati… Leggi Tutto

Inviare sms non è molestia!

Inviare sms indesiderati non è configurabile come reato di molestia. Questo quanto stabilito dalla Corte di Cassazione con sentenza n. 18449/2005, a seguito di ricorso… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






    Utilizzando questo modulo accetti la memorizzazione e la gestione dei tuoi dati da questo sito web.