Come inviare una newsletter a prova di GDPR?

Cass. Sez. I Civ, 11/05/2018 - 2-07.2018, n.17278

Oramai l’invio di newsletter è uno dei più diffusi strumenti marketing per le aziende. Ma come deve essere fatta la raccolta degli indirizzi email?

Recentemente la Corte di Cassazione si è pronunciata su di un caso estremamente frequente, offrendo interessanti suggerimenti per la corretta raccolta di account per l’invio della newsletter.

Ecco il caso.

Un’azienda offre tramite un portale un servizio di newsletter su tematiche legate a finanza, fisco, diritto e lavoro. Per accedere alla newsletter l’utente doveva inserire il proprio indirizzo email in un form di raccolta dati dove è riportata una casella di spunta con la quale il contraente può esprimere il consenso «al trattamento dei dati personali».

Se l’utente non “clicca” sul consenso non si accede al servizio. Nel modulo non è presente la descrizione di cosa consiste il «trattamento dei dati personali» e quali effetti produce. Gli estremi del trattamento sono descritti in un altro link ipertestuale che specifica che “i dati personali acquisiti attraverso l’iscrizione alla newsletter sono utilizzati non solo per la fornitura di tale servizio, ma anche per l’invio di comunicazioni promozionali nonché di informazioni commerciali da parte di terzi.”

Tale modalità di raccolta dati e acquisizione consenso è stato censurato dal Garante per violazione degli articoli 23 e 130 del Codice Privacy. L’azienda, titolare del trattamento ha impugnato il provvedimento del Garante e il Tribunale aveva dato ragione al Titolare del trattamento ribaltando la decisione del Garante. Quest’ultimo però si è rivolto alla Corte di Cassazione. Quest’ultima di fatto conferma la decisione del Garante, esaminando il consenso del titolare anche alla luce di quanto previsto dal Regolamento 2016/679.

Più precisamente la Cassazione verifica la sussistenza nel consenso dei tre requisiti fondamentali previsti dal Regolamento e, secondo cui il consenso deve essere: libero, specifico e informato.

1. LIBERTÀ DEL CONSENSO. La Corte applica il comma 4 dell’articolo 7 del Regolamento (UE) 2016/679, secondo cui: «Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto».

Nel caso di specie, la Corte ritiene che il servizio offerto dal sito internet non si tratti di un servizio infungibile ed irrinunciabile per l'interessato il quale potrebbe acquisire le medesime informazioni per altre vie.

In altri termini: per i servizi offerti dal sito internet può ritenersi legittima la scelta del gestore del sito internet di negare il servizio offerto a chi non si presti a ricevere messaggi promozionali, mentre ciò che gli è interdetto è utilizzare i dati personali per somministrare o far somministrare informazioni pubblicitarie a colui che non abbia effettivamente manifestato la volontà di riceverli.

L’assenza di libertà dell’interessato a conferire il consenso è data, nel caso di specie, da altri aspetti.

2. SPECIFICITÀ DEL CONSENSO. Per la Corte, perché il consenso possa essere detto specifico non può essere genericamente riferito a non meglio identificati messaggi pubblicitari. Ne consegue che chi chiede di fruire di un servizio di informazioni giuridico-fiscali non dovrebbe ricevere pubblicità di servizi o prodotti non attinenti alle ricerche effettuate. Quindi:

   il consenso per essere   riferito «ad un trattamento chiaramente individuato», dovrebbe riportare l’indicazione dei settori merceologici o dei servizi cui i messaggi pubblicitari saranno riferiti.

3. CONSENSO INFORMATO. Per la Corte l’assenza nel caso di specie di idonea informativa porta ad escludere che il consenso possa dirsi specificamente, e dunque anche liberamente, prestato. Gli effetti del consenso dovevano essere riportati accanto ad una specifica «spunta» apposta sulla relativa casella di una pagina Web, ma siano invece descritti in altra pagina Web linkata alla prima, non vi sia contezza che l’interessato abbia consultato detta altra pagina, apponendo nuovamente una diversa «spunta» finalizzata a manifestare il suo consenso.

Per la Corte quindi: «In tema di consenso al trattamento dei dati personali, la previsione dell’articolo 23 del Codice della privacy, nello stabilire che il consenso è validamente prestato solo se espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, consente al gestore di un sito Internet, il quale somministri un servizio fungibile, cui l’utente possa rinunciare senza gravoso sacrificio (nella specie servizio di newsletter su tematiche legate alla finanza, al fisco, al diritto e al lavoro), di condizionare la fornitura del servizio al trattamento dei dati per finalità pubblicitarie, sempre che il consenso sia singolarmente ed inequivocabilmente prestato in riferimento a tale effetto, il che comporta altresì la necessità, almeno, dell’indicazione dei settori merceologici o dei servizi cui i messaggi pubblicitari saranno riferiti».