Il dato personale tra ‘vecchia’ e ‘nuova’ normativa

09/11/2018
di Yuri Monti

La Corte di Cassazione ha offerto uno spunto interessante sulla definizione di ‘dato personale’, sull’ampiezza di tale concetto e sulle implicazioni pratiche che esso comporta.

L’ordinanza 17665/18 del 5 luglio scorso prende le mosse dalla sanzione erogata dalla Guardia di Finanza contro una società, rea di aver effettuato attività e-mail marketing verso i propri clienti senza aver raccolto specifico consenso attraverso l’informativa, in violazione di quanto disposto dall’art. 13 del D.Lgs. 196/2003. La società ha impugnato l’ingiunzione di pagamento, adducendo come motivazione il volontario e spontaneo conferimento dei dati (nome, cognome e indirizzo di posta elettronica) da parte dei clienti, con la conseguente possibilità di individuare una sorta di “implicito consenso” in tale atteggiamento.

Il Tribunale di Pavia, a marzo 2013 ha rigettato l’opposizione della società. I temi addotti a sostegno del rifiuto sono sostanzialmente di tre ordini: le caratteristiche intrinseche dell’informativa, che ai sensi del citato art. 13 del Codice Privacy deve avere forma orale o scritta; l’applicabilità dello stesso art. 13, qui pienamente prevista in virtù della presenza di ‘dati personali’ di cui all’art. 4 del medesimo Codice Privacy; l’impossibilità di applicare le deroghe previste all’art. 13 circa il rilascio dell’informativa.

La società si è quindi rivolta alla Suprema Corte. Tra le differenti motivazioni presentate dalla ricorrente, trova particolare rilievo quanto dedotto sul tema della definizione di “dato personale”. Stando a quanto ricostruito da questa, infatti, gli articoli del Codice Privacy non si applicherebbero al caso di specie, vertendo la questione su ‘dati identificativi’, diversi dai ‘dati personali’ di cui all’art. 4 della norma. L’infondatezza della posizione sostenuta è di facile configurazione, come dimostrato dalla Corte: nome, cognome ed indirizzo mail sono sicuramente informazioni relative a persone fisiche, che ne consentono per di più l’identificazione diretta, secondo quello che è il disposto dell’art. 4 del D.Lgs. 196/2003; identificazione diretta che, pertanto, qualifica tali ‘dati personali’ come “dati identificativi’. L’art. 13 trova dunque piena e legittima applicazione, prefigurando l’informativa come elemento necessario a fronte della raccolta dei predetti dati.

Altro elemento che rileva nel presente commento, e che viene contestato dalla Corte, è quello dell’incompletezza dei documenti informativi (i “form” prodotti dalla ricorrente) in materia di trattamento dei dati personali resi dalla società ai propri clienti, risultando essi privi di indicazioni fondamentali costituenti lo schema essenziale dell’informativa, quali modalità e finalità del trattamento, dati del titolare, soggetti destinatari di eventuali comunicazioni di dati personali.

La Corte di Cassazione respinge così il ricorso, confermando la sanzione pecuniaria inflitta in origine.

Nonostante si fondi su quanto previsto dalla disciplina previgente rispetto al Regolamento Eu n. 679/2016, la sentenza permette di riflettere sulla modulabilità del concetto di “dato personale”; la mancanza di contorni ben precisi e la genericità dei confini di tale definizione è uno dei punti di contatto tra ‘vecchia’ e ‘nuova’ normativa. Anche all’art. 4 del GDPR, non a caso, si parla di “dato personale” come “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”. Le maglie della norma sono volutamente ampie, così che la decisiva comprensione di cosa sia o non sia “dato personale” costituisca non solo un mero esercizio logico, ma l’effettivo presupposto per un trattamento lecito e legittimo, oltre che rappresentare la base per una corretta applicazione della normativa.

Pubblicato su Il Caffé Digitale

Riproduzione riservata ©

ALTRE NEWS

Privacy dei cittadini europei a rischio. Lacune normative a vantaggio dei colossi della rete

Dopo essere riusciti ad aggirare la tanto discussa “web tax” i colossi della rete potrebbero averla vinta anche su altri fronti. Approfittando della consueta lentezza… Leggi Tutto

DPO e avvisi pubblici. Requisiti privi di attinenza. Prime sentenze in Italia

Nomina del Responsabile per la Protezione dei Dati e Pubblica Amministrazione. A pochi mesi dal fatidico traguardo del 25 maggio, nascono i primi dibattiti in… Leggi Tutto

Pagamenti alle PP.AA: linee guida

Le Linee Guida per l’effettuazione dei pagamenti elettronici a favore delle pubbliche amministrazioni e dei gestori di servizi pubblici sono state finalmente approvate con parere… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






Utilizzando questo modulo accetti la memorizzazione e la gestione dei tuoi dati da questo sito web.