Civile.it
/internet
Osservatorio sul diritto e telecomunicazioni informatiche, a cura del dott. V. Spataro dal 1999, 9267 documenti.

Il dizionario e' stato letto volte.



Segui via: Email - Telegram
  Dal 1999   spieghiamo il diritto di internet  Store  Podcast  Dizionario News alert    
             

  


WPkit.it: privacy, formulari, check up per WordPress

Temi attuali:
Algoritmi ChatGPT Intelligenza artificiale Privacy WordPress



Privacy 27.08.2018    Pdf    Appunta    Letti    Post successivo  

La sanzione per newsletter ai clienti senza informativa. La Cassazione

A quanto ammonta ? Nel caso in oggetto la Cassazione conferma 14.000 e rotti euro
Spataro

 

l

la seguente

ORDINANZA

sul ricorso 27100-2015 proposto da: Alfa Alfa Alfa S.R.L., con sede in ..., alla Via T. ... n. 18 (C.F./P. IVA: ...), in persona dell'amministratore unico - legale rappresentante p.t. Riccardi Carlo, domiciliata in ROMA presso la Cancelleria della Corte di Cassazione, e rappresentata e difesa dall'avvocato PAOLO PANUCCI, in forza di mandato speciale a margine del ricorso;

- ricorrente
-
contro GARANTE PER LA PROTEZIONE DEI DATI PERSONALI, rappresentato e difeso dall'Avvocatura Generale dello Stato, presso i cui uffici domicilia in Roma, alla Via dei Portoghesi n. 12;

- controricorrente
-
avverso la sentenza n. 278/2015 del TRIBUNALE di PAVIA, depositata il 13/08/2015; udita la relazione della causa svolta nella camera di consiglio del 04/05/2018 dal Consigliere Dott. MAURO CRISCUOLO;

RITENUTO IN FATTO

In data 13 luglio 2011, la Guardia di Finanza, Tenenza di ..., notificava all'odierno opponente tre verbali di contestazione per violazione amministrativa, avendo, nel corso delle attività ispettive, i militari constatato che la società "Alfà Alfa Alfa s.r.l." effettuava il trattamento dei dati personali dei propri clienti raccogliendo gli stessi attraverso compilazione di una scheda comprendente il cognome, il nome e l'indirizzo mai!. Gli operanti accertavano, altresì, che "i dati venivano trattati/conservati su supporto informatico del sito ..., creando un archivio" e che l'interessato, al quale non veniva richiesto uno specifico ed esplicito consenso al trattamento dei dati, risultava potenziale destinatario di "newsletters" presso lo spontaneamente segnalato indirizzo e-mail.
In tutti e tre i casi indicati, gli operanti evidenziavano che "il titolare del trattamento non informava previamente l'interessato circa i punti di cui all'art. 13 d.lgs. 196/2003 (informativa), con la conseguenza che il trasgressore si era reso responsabile della violazione amministrativa di cui all'art. 161 del d.lgs. 196/2003, per l'inottemperanza a quanto previsto dall'art. 13 dello stesso decreto.
Pertanto, nei confronti del trasgressore veniva emessa l'ordinanza-ingiunzione n. 352 del 11.07.2013, con la quale veniva ordinato di pagare il complessivo importo di euro 14.400,00 a titolo di sanzione amministrativa pecuniaria. Parte ricorrente impugnava l'ordinanza-ingiunzione, evidenziando che le persone che avevano fornito i loro dati Ric. 2015 n. 27100 sez. 52 - ud. 04-05-2018 -2- personali lo avevano fatto volontariamente e spontaneamente, dimostrando così di fornire un consenso implicito al trattamento dei dati personali, ed allegando, inoltre, che buona parte dei dati in questione erano stati acquisiti sotto il vigore della precedente versione dell'art. 161 d.lgs. 196/2003, che prevedeva una sanzione di importo inferiore. Si costituiva in giudizio il Garante convenuto, chiedendo il rigetto della proposta opposizione e la conferma dell'ordinanza-ingiunzione impugnata. L'efficacia dell'ordinanza-ingiunzione impugnata veniva sospesa in via provvisoria con provvedimento inaudita altera parte.
Il Tribunale di Pavia, con sentenza del 29.3.2013, ha rigettato l'opposizione sulla base, per quanto nella presente sede ancora rileva, delle seguenti considerazioni:
1) dalla lettera dell'art. 13, d.lgs. 196/2003 risultava evidente che l'informativa dovesse essere fornita oralmente o per iscritto, salve alcune eccezioni espressamente previste dalla normativa;
2) non vi era dubbio che la fattispecie oggetto del presente giudizio rientrasse nella sfera di applicazione dell'art. 13 citato, atteso che, ai sensi dell'art. 4, comma 1, lett. b), è definito "dato personale" "qualunque informazione relativa a persona fisica, identificata o identificabile anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale";
3) parimenti, non vi era dubbio sul fatto che la fattispecie oggetto del presente giudizio non rientrasse in alcuna delle ipotesi escluse dall'applicabilità dell'art. 13 in esame; Ric. 2015 n. 27100 sez. 52 - ud. 04-05-2018 -3-
4) del resto, parte opponente non aveva contestato nel merito la sussistenza dei tre trattamenti effettuati dei dati personali, in assenza della prescritta informativa, essendosi limitata ad allegare che le persone avessero fornito i loro dati personali volontariamente e facoltativamente, con ciò dimostrando in via implicita un consenso al trattamento dei dati personali;
5) premesso che l'informativa di cui all'art. 13 richiedeva un preciso contenuto, che doveva essere fornito all'interessato, nessuna prova era stata raggiunta sul punto;
6) quanto alla deduzione secondo cui, relativamente ai dati acquisiti fino all'entrata in vigore del d.l. 207/2008 (convertito in legge 27.02.2009 n. 14), doveva ritenersi applicabile la previgente e meno penalizzante sanzione amministrativa, a prescindere dal fatto che parte opponente non aveva chiesto di provare quali e quante violazioni dell'art. 13 fossero state commesse prima dell'entrata in vigore del citato d.I., risultava fatto non contestato il protrarsi della violazione almeno fino all'anno 2011, ovvero fino al momento dell'accertamento eseguito dalla Guardia di Finanza. Per la cassazione della sentenza ha proposto ricorso la Alfa Alfa Alfa s.r.I., sulla base di quattro motivi.
Il Garante per la protezione dei dati personali ha resistito con controricorso.

CONSIDERATO IN DIRITTO

1. Con il primo motivo la ricorrente denuncia la violazione e falsa applicazione dell'art. 6, co. 11, I. n. 150/2011 (con riferimento all'art. 360, co. 1, nn. 3 e 5, c.p.c.), per non aver il Tribunale considerato che, anche a prescindere dalla mancata Ric. 2015 n. 27100 sez.
52 - ud. 04-05-2018 -4- contestazione nel merito della commissione delle infrazioni, avrebbe dovuto esaminare e valutare la sussistenza o meno dei presupposti di legge per ritenere responsabile o meno la CGR, alla luce della regola per cui il giudice "accoglie l'opposizione quando non vi sono prove sufficienti della responsabilità dell'opponente".
1.1. Il motivo è infondato. Nel giudizio di opposizione a sanzione amministrativa, grava sull'amministrazione opponente l'onere di provare gli elementi costitutivi dell'illecito, ma la sua inerzia processuale non determina l'automatico accertamento dell'infondatezza della trasgressione, in quanto il giudice è, comunque, chiamato alla ricostruzione dell'intero rapporto sanzionatorio e non soltanto alla valutazione di legittimità del provvedimento irrogativo della sanzione (cfr., sia pure con riferimento all'art. 23, sesto comma, della legge 24 novembre 1981, n. 689, ratione temporis applicabile, Cassazione civile, sez. VI, 11/03/2015, n. 4898). Orbene, il Tribunale ha fondato la propria decisione sia sui tre verbali di contestazione di violazione amministrativa redatti dalla Guardia di Finanza sia sul rilievo che la parte opponente non aveva contestato nel merito la sussistenza dei tre trattamenti effettuati dei dati personali, in assenza della prescritta informativa, essendosi limitata ad allegare che le persone avessero fornito i loro dati personali volontariamente e facoltativamente (sostenendo che ciò dimostrasse in via implicita un consenso al trattamento dei dati personali) ed a chiedere una riduzione della sanzione.
La ricorrente, in palese violazione del principio di specificità del ricorso, ha omesso di trascrivere quali sarebbero gli elementi di segno contrario che il giudice avrebbe omesso di prendere in Ric. 2015 n. 27100 sez. 52 - ud. 04-05-2018 -5- considerazione e che avrebbero condotto, se valutati, all'accoglimento della sua opposizione.
In ogni caso adduce che nella realtà non sussistono gli elementi per fondare la sua responsabilità alla luce di quanto invece dedotto nei motivi che seguono, risolvendosi quindi il motivo nella richiesta di rivalutare l'effettiva ricorrenza dell'illecito amministrativo sulla scorta delle critiche sviluppate negli altri motivi.
2. Con il secondo motivo la ricorrente deduce la violazione ed errata/falsa applicazione degli artt. 4, 13 e 16 I. 196/2003 (cd. Codice privacy), con riferimento all'art. 360, co. 1, nn. 3 e 5, c.p.c., per aver il Tribunale omesso di valutare la distinzione legale tra dati "personali" e dati meramente "identificativi", non tenendo conto, per l'effetto, che solo per i primi erano richiesti gli adempimenti previsti dall'art. 13.
2.1. Il motivo è infondato. Premesso che la definizione di "dato personale" è molto ampia (contemplando qualsiasi informazione che consenta di identificare una persona fisica) e comprende senz'altro il nome, il cognome e l'indirizzo di posta elettronica, a ben vedere il concetto di "dato identificativo" non va tenuto distinto da quello di "dato personale", rappresentando una species all'Interno del genus principale. Invero, mentre il "dato personale" è quel dato che consente di identificare, anche indirettamente una determinata persona fisica, i "dati identificativi" sono dati personali che permettono tale identificazione direttamente.
In tale prospettiva si è infatti chiarito che (cfr. Cass. n. 1593/2013) ai sensi dell'art. 4 del d.lgs. 30 giugno 2003, n. 196, "dato personale", oggetto di tutela, è "qualunque informazione" relativa a "persona fisica, giuridica, ente o Ric. 2015 n. 27100 sez.
52 - ud. 04-05-2018 -6- associazione", che siano "identificati o identificabili", anche "indirettamente mediante riferimento a qualsiasi altra informazione". Nella nozione de qua sono stati fatti pacificamente rientrare dalla giurisprudenza di questa Corte (cfr. Cass. n. 17143/2016) anche i dati personali presenti nelle banche dati costituite sulla base degli elenchi telefonici pubblici, per la cui utilizzazione è prescritta la previa l'informativa di cui all'art. 13 del d.lgs. n. 196 del 2003 (cd. "codice della privacy") per l'acquisizione del consenso degli interessati all'utilizzazione dei dati di loro pertinenza (si veda anche Cass. n. 14326/2014, circa la necessità dell'informativa preventiva, per l'invio di un fax promozionale ad un numero estratto dagli elenchi telefonici). Appare quindi confermata la riconduzione nel novero dei dati personali di cui all'art. 4 per i quali si impone la preventiva informativa di cui all'art. 13, anche del nome e del cognome dell'interessato nonché dell'indirizzo di posta elettronica, dati raccolti appunto dalla ricorrente, sicchè risulta priva di fondamento la tesi sostenuta da parte ricorrente circa l'inapplicabilità alla fattispecie della previsione di cui all'art. 13 I. n. 196/2003.
3. Con il terzo motivo la ricorrente lamenta la violazione ed errata/falsa applicazione degli artt. 13 e 16 I. 196/2003 (cd. Codice privacy), nonché la omessa valutazione e la contraddittoria motivazione, con riferimento all'art. 360, co. 1, nn. 3 e 5, c.p.c., per aver il tribunale omesso di considerare che l'informativa richiesta dall'art. 13 era stata fornita anche per iscritto, come documentato dai vari form prodotti ed allegati agli stessi verbali della Guardia di Finanza. Ric. 2015 n. 27100 sez. 52 - ud. 04-05-2018 -7-
3.1. Il motivo è infondato, dovendosi escludere in limine che il documento di cui si assume l'omesso esame abbia il carattere della decisività. Rileva in tal senso la circostanza che, secondo quanto riferito in ricorso/ i vari form prodotti ed allegati agli stessi verbali della Guardia di Finanza.' prevedevano che: "Firmando il presente modulo autorizzo, ai sensi del codice sulla privacy, ai sensi del codice della privacy, al trattamento dei dati personali che verranno utilizzati da CGR solo ai fini informativi". Tuttavia il motivo confonde l'autorizzazione al trattamento con la necessità della previa informativa, che, ai sensi dell'art. 13, riguarda non solo la finalità ma anche le modalità del trattamento, la natura obbligatoria o facoltativa del conferimento dei dati, le conseguenze di un eventuale rifiuto di rispondere; gli estremi identificativi del titolare; i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati, dati questi che non risulterebbero dai form di cui si denuncia l'omessa disamina.
4. Con il quarto motivo la ricorrente si duole della violazione ed errata/falsa applicazione degli artt. 161 e 164 bis I. 196/2003, nonché l'omessa valutazione ed applicazione di quest'ultima disposizione, con riferimento all'art. 360, co. 1, nn. 3 e 5, c.p.c., per non aver il Tribunale ridotto la sanzione anche per le altre due delle tre infrazioni non ridotte dal Garante, tenuto conto del tipo di dati raccolti, della finalità della stessa e dell'assenza di utilizzo per fini pubblicitari.
4.1. Il motivo è inammissibile per la novità della questione, che si sostanzia nella proposizione in realtà di un nuovo motivo di opposizione. Infatti, come si rileva anche dalla lettura del ricorso in opposizione introduttivo del giudizio, non risulta Ric. 2015 n. 27100 sez. 52 - ud. 04-05-2018 -8- specificamente dedotta la necessità di procedere ad una riduzione della sanzione sulla base dei dati allegati in motivo, atteso che, come si rileva anche dalla lettura del ricorso, la pretesa ad ottenere una sanzione di entità inferiore a quella irrogata trovava il suo fondamento nella tesi della società opponente secondo cui occorreva individuare la sanzione sulla base della previgente, e più favorevole formulazione dell'art. 161 del codice della privacy. Ne consegue che la diversa richiesta di ridurre la sanzione sulla base della valutazione degli elementi oggettivi della condotta e della finalità del trattamento dei dati costituisce la proposizione non consentita in sede di legittimità di una questione nuova che implica evidentemente accertamenti in fatto.
Il motivo andrebbe comunque disatteso, in quanto investe apprezzamenti rimessi alla discrezionalità del giudice di merito, la cui valutazione non è sindacabile ( cfr. Cass. n. 9255/2013; Cass. n. 9126/2017.
5. In definitiva, il ricorso deve essere rigettato.
6. Le spese seguono la soccombenza e si liquidano come da dispositivo.
7. Poiché il ricorso è stato proposto successivamente al 30 gennaio 2013 ed è rigettato, sussistono le condizioni per dare atto - ai sensi dell'art. 1, comma 17, della legge 24 dicembre 2012, n. 228 (Disposizioni per la formazione del bilancio annuale e pluriennale dello Stato - Legge di stabilità 2013), che ha aggiunto il comma 1-quater dell'art. 13 del testo unico di cui al d.P.R. 30 maggio 2002, n. 115 - della sussistenza dell'obbligo di versamento, da parte della ricorrente, dell'ulteriore importo a titolo di contributo unificato pari a quello dovuto per la stessa impugnazione principale.


p.q.m.


La Corte rigetta il ricorso, e condanna la ricorrente al rimborso delle spese del presente giudizio che liquida in complessivi C 2.300,00, oltre spese prenotate a debito; Ai sensi dell'art. 13, co. 1 quater, del d.P.R. n. 115/2002, inserito dall'art. 1, co. 17, I. n. 228/12, dichiara la sussistenza dei presupposti per il versamento da parte della ricorrente, del contributo unificato dovuto per il ricorso principale a norma

27.08.2018 Spataro



Osservatorio privacy - come trattare i dati di un dipendente infedele…
Caso Unicredit - alcune riflessioni
Banche - sanzione per misure organizzative e tecniche per accesso a dati comuni non finanziari - doc 9991020
Battesimo e privacy
Privacy in Svizzera: prevale il segreto bancario sull'interesse a conoscere
Garante provvedimento per cartelle inviate a pazienti sbagliati e integrazione software - n. 9988652
Come funziona la Privacy, l'intelligenza artificiale e il riconoscimento della posizione tramite fotografia.
FCC (USA): Robocall con voci generate dalla AI e' illegale. Elezioni e Marketing avvertiti.
Provvedimento del 7 dicembre 2023 [9978568] dating online, password e durata
Company offering electronic communication services – no complete information of the data subjects & no sufficient technical and organisational measures | European Data Protection Board



Segui le novità in materia di Privacy su Civile.it via Telegram
oppure via email: (gratis Info privacy)





dallo store:
visita lo store








Dal 1999 il diritto di internet. I testi sono degli autori e di IusOnDemand srl p.iva 04446030969 - diritti riservati - Privacy - Cookie - Condizioni d'uso - in 0.056