Inviare una comunicazione per acquisire il consenso privacy è già una comunicazione commerciale non autorizzata

Con l’Ordinanza n. 9920 del 28 marzo 2022, la Corte di Cassazione ha riconosciuto – accogliendo il ricorso dell’Autorità Garante per la protezione dei dati personali – l’illiceità dei trattamenti di dati personali consistenti nell’invio di comunicazioni volte a richiedere il consenso al trattamento per finalità di marketing nei confronti di interessati che in precedenza non avevano fornito o avevano ritirato tale consenso.

L’ordinanza prende le mosse da un ricorso proposto dal Garante per la protezione dei dati nel quale veniva rappresentata una violazione in quanto una società, con l’invio di sms finalizzati all’acquisizione del consenso per l’effettuazione di attività di marketing a un bacino di utenti i cui dati personali erano stati trattati in difetto del consenso originario, aveva posto in essere un’attività “contra legem”, costituente essa stessa un trattamento illecito di dati personali per finalità di marketing nei riguardi di chi quel consenso non lo aveva manifestato.

“La Corte di Cassazione ha condiviso l’orientamento del Garante Privacy fornendo le seguenti osservazioni:

  • l’art. 130, comma 1, del Codice Privacy, che disciplina le cd. “comunicazioni indesiderate”, non richiede il consenso esclusivamente per l’invio di materiale o per la vendita diretta, ma anche e più semplicemente per l’invio di generiche “comunicazioni commerciali”;
  • la richiesta di consenso per l’effettuazione di successive attività promozionali costituisce essa stessa una “comunicazione commerciale”, dal momento che è teleologicamente preordinata, connessa e finalizzata all’invio di comunicazioni commerciali;
  • tale considerazione era già stata sostenuta dalla Corte di Cassazione in relazione alla comunicazione telefonica finalizzata a ottenere il consenso per fini di marketing da chi l’abbia precedentemente negato, poiché la finalità alla quale è imprescindibilmente collegato il consenso richiesto per il trattamento concorre a qualificare il trattamento stesso (si veda ordinanza Cass. Civ. sez. I – 26/04/2021, n. 11019);
  • il trattamento dei dati personali delle persone contattate, in assenza di consenso legittimamente manifestato, è illecito a prescindere dal fatto che l’interessato sia iscritto nel registro pubblico delle opposizioni (si veda ordinanza Cass. Civ. sez. I – 26/04/2021 n. 11019).
  • l’art. 130, comma 2, del Codice Privacy, estende l’applicazione del comma 1 anche alle comunicazioni elettroniche, effettuate per finalità di marketing, mediante posta elettronica, telefax, messaggi del tipo Mms (Multimedia Messaging Service) o Sms (Short Message Service) o di altro tipo.

Con questa recente ordinanza quindi la Cassazione afferma che tali comunicazioni configurano di per sé un trattamento illecito di dati personali, poiché la “ratio” sottesa alla normativa in materia di protezione dei dati personali induce ad equiparare la mancanza del consenso al dissenso, con esplicita esclusione dell’applicabilità del regime dell’opt-out della volontà dell’interessato.

Di conseguenza, nel caso in cui il consenso per finalità di marketing non sia stato prestato precedentemente all’inizio del trattamento, ad esempio all’atto di stipula di un contratto o della richiesta di un servizio, non sarebbe possibile esperire successivi ed estemporanei tentativi di acquisizione in carenza di un valido presupposto di liceità del trattamento.”

TRATTAMENTO ILLECITO
Si ricorda che in caso di trattamento senza consenso la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 di Euro, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore (ex art. 83 del GDPR 679/2016).

Fonte: www.e-lex.it

Per maggiori informazioni o contatti – Servizio Privacy e Cyber Security

Potrebbe interessarti anche

ASSOCIATI