Il dato personale tra ‘vecchia’ e ‘nuova’ normativa

09/11/2018
di Yuri Monti

La Corte di Cassazione ha offerto uno spunto interessante sulla definizione di ‘dato personale’, sull’ampiezza di tale concetto e sulle implicazioni pratiche che esso comporta.

L’ordinanza 17665/18 del 5 luglio scorso prende le mosse dalla sanzione erogata dalla Guardia di Finanza contro una società, rea di aver effettuato attività e-mail marketing verso i propri clienti senza aver raccolto specifico consenso attraverso l’informativa, in violazione di quanto disposto dall’art. 13 del D.Lgs. 196/2003. La società ha impugnato l’ingiunzione di pagamento, adducendo come motivazione il volontario e spontaneo conferimento dei dati (nome, cognome e indirizzo di posta elettronica) da parte dei clienti, con la conseguente possibilità di individuare una sorta di “implicito consenso” in tale atteggiamento.

Il Tribunale di Pavia, a marzo 2013 ha rigettato l’opposizione della società. I temi addotti a sostegno del rifiuto sono sostanzialmente di tre ordini: le caratteristiche intrinseche dell’informativa, che ai sensi del citato art. 13 del Codice Privacy deve avere forma orale o scritta; l’applicabilità dello stesso art. 13, qui pienamente prevista in virtù della presenza di ‘dati personali’ di cui all’art. 4 del medesimo Codice Privacy; l’impossibilità di applicare le deroghe previste all’art. 13 circa il rilascio dell’informativa.

La società si è quindi rivolta alla Suprema Corte. Tra le differenti motivazioni presentate dalla ricorrente, trova particolare rilievo quanto dedotto sul tema della definizione di “dato personale”. Stando a quanto ricostruito da questa, infatti, gli articoli del Codice Privacy non si applicherebbero al caso di specie, vertendo la questione su ‘dati identificativi’, diversi dai ‘dati personali’ di cui all’art. 4 della norma. L’infondatezza della posizione sostenuta è di facile configurazione, come dimostrato dalla Corte: nome, cognome ed indirizzo mail sono sicuramente informazioni relative a persone fisiche, che ne consentono per di più l’identificazione diretta, secondo quello che è il disposto dell’art. 4 del D.Lgs. 196/2003; identificazione diretta che, pertanto, qualifica tali ‘dati personali’ come “dati identificativi’. L’art. 13 trova dunque piena e legittima applicazione, prefigurando l’informativa come elemento necessario a fronte della raccolta dei predetti dati.

Altro elemento che rileva nel presente commento, e che viene contestato dalla Corte, è quello dell’incompletezza dei documenti informativi (i “form” prodotti dalla ricorrente) in materia di trattamento dei dati personali resi dalla società ai propri clienti, risultando essi privi di indicazioni fondamentali costituenti lo schema essenziale dell’informativa, quali modalità e finalità del trattamento, dati del titolare, soggetti destinatari di eventuali comunicazioni di dati personali.

La Corte di Cassazione respinge così il ricorso, confermando la sanzione pecuniaria inflitta in origine.

Nonostante si fondi su quanto previsto dalla disciplina previgente rispetto al Regolamento Eu n. 679/2016, la sentenza permette di riflettere sulla modulabilità del concetto di “dato personale”; la mancanza di contorni ben precisi e la genericità dei confini di tale definizione è uno dei punti di contatto tra ‘vecchia’ e ‘nuova’ normativa. Anche all’art. 4 del GDPR, non a caso, si parla di “dato personale” come “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”. Le maglie della norma sono volutamente ampie, così che la decisiva comprensione di cosa sia o non sia “dato personale” costituisca non solo un mero esercizio logico, ma l’effettivo presupposto per un trattamento lecito e legittimo, oltre che rappresentare la base per una corretta applicazione della normativa.

Pubblicato su Il Caffé Digitale

Riproduzione riservata ©

ALTRE NEWS

Protocollo informatico e protezione dei dati personali dei lavoratori: la parola del Garante

Lo spunto per la discussione arriva dal provvedimento n. 280 dell’11 Ottobre 2012, ultima tappa di un lungo iter conoscitivo al termine del quale il… Leggi Tutto

Pagamenti elettronici: la responsabilità del fornitore

Pubblicato su Pm@business, L´informatica per la piccola e media impresa. Le nuove tecnologie applicate al commercio permettono oggi di acquistare in rete ogni tipo di… Leggi Tutto

Contraffazione dei segni distintivi in internet

Spesso le aziende possono essere oggetto di un danno economico derivante dalla contraffazione del proprio marchio sulla rete, mediante, in particolare, l’appropriazione da parte di… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form