Sms elettorali e cessione dei numeri ad un terzo senza consenso? Costa caro, aggravante compreso

In caso di cessione non autorizzata di un database contenente numerosissime utenze telefoniche, senza aver preventivamente offerto l’apposita informativa, oltre a non aver ottenuto il consenso degli interessati alla cessione dei loro dati, è ininfluente accertare se e quanti soggetti siano stati effettivamente raggiunti dagli SMS.

Così la Cassazione con sentenza n. 18619/17 depositata il del 27 luglio 2017. La materia è davvero interessante ed il fatto particolarmente accattivante, trattandosi di illecito realizzatosi in occasione delle propagande elettorali. Il caso. Già da anni il Garante della Privacy si era espresso nel senso di ritenere illegittimo l'invio -da parte di un gestore del servizio di telefonia mobile di SMS aventi contenuto promozionale nel caso in cui non fosse risultato acquisito il consenso informato dell'interessato. Figuriamoci nel caso di specie che riguardava la cessione di un intero archivio di numeri telefonici a terzi, senza la consapevolezza dunque, l’informativa né l’acquisizione dello specifico consenso da parte degli interessati. Una apparente vittoria in appello la sanzione amministrativa viene ridotta nel suo ammontare. Due società, che chiameremo ‘società A’ e ‘società B’, proponevano opposizione avverso l'ordinanza di ingiunzione con la quale la Autorità Garante per la protezione dei dati personali aveva erogato loro in relazione alla violazione della normativa del Codice per la protezione dei dati personali la sanzione amministrativa per € 64.000,00. La predetta Autorità, infatti, applicava la citata sanzione perché le due aziende avevano comunicato a terzi dei dati presenti in un database, in mancanza di specifico consenso degli interessati e, dunque, in contrasto con gli articoli 13 e 23 del Codice della Privacy. Il Tribunale, in appello, accoglieva in parte l'opposizione e per l'effetto rideterminava la sanzione prevista nella misura di € 20.000,00. Ricostruiva così i fatti il Giudice dell’impugnativa la ‘società C’ aveva commissionato alla ‘società B’ la realizzazione di una campagna pubblicitaria mediante l'invio di SMS ad un database di anagrafica appartenente alla prima, che era anche titolare del trattamento dei dati, e la ‘società B’ si era poi rivolta ad un'altra s.p.a. incaricando quest'ultima dell'invio dei messaggi ai destinatari dell'archivio, nominando a tal uopo una dipendente di quest'ultima società come responsabile del trattamento. Ad avviso della sentenza, la successiva cessione del database da parte della ‘società B’ alla s.p.a. era illecita perché avvenuta senza la preventiva informativa degli interessati e senza aver raccolto il loro preventivo consenso. Né tantomeno tale illiceità poteva essere superata per effetto della nomina della dipendente della s.p.a. quale responsabile del trattamento, in quanto tale designazione non era avvenuta da parte della titolare originaria del database ma direttamente dalla ‘società B’ la quale, però, non era stata autorizzata a cedere a sua volte a terzi i dati presenti nel detto archivio. Pertanto, una volta esclusa la ricorrenza di una situazione di buona fede tale da elidere la responsabilità amministrativa, la ordinanza meritava conferma quanto alla valutazione di ricorrenza degli illeciti contestati. La riduzione, in merito alla entità della sanzione, il Tribunale lo giustificava considerando di dover escludere l'applicabilità dell'aggravante delle sanzioni che prevede la normativa sulla privacy per l'ipotesi in cui la violazione coinvolga numerosi interessati. Infatti, dalla istruttoria espletata era emerso solo il numero di utenze telefoniche presenti nel database, oltre 200.000, ma non numero dei soggetti effettivamente risultati destinatari degli SMS inviati dalla S.p.a. Con riferimento sempre alla graduazione della sanzione la sentenza –poi osservava che occorreva avere riguardo anche alla limitata rilevanza economica del contratto intercorso tra le parti, alla personalità dell'autore della violazione che non era risultata autrice di precedenti violazioni in materia , alle condizioni economiche di chi aveva agito, occorrendo –altresì valutare la modesta gravità della violazione in assenza di prova circa l'effettivo numero di utenti raggiunti da SMS. Il decisum che ribalta le sorti dei trasgressori. Per la Cassazione di tale sentenza proponeva ricorso alla Suprema Corte l'Autorità Garante per la protezione dei dati personali sulla base di un unico motivo, deducendo che doveva ritenersi erronea l'esclusione nella fattispecie dell'aggravante de qua poiché motivata in ragione della mancata prova che effettivamente gli SMS inviati avessero raggiunto una significativa quantità di soggetti presenti nel database. Gli Ermellini -a questo punto osservano che, in realtà, le violazioni contestate in virtù degli artt. 13 e 23 d.lgs. n. 196/2003, concernevano la cessione non autorizzata del database contenente oltre 200.000 utenze telefoniche e senza aver preventivamente offerto la apposita informativa oltre che senza aver ottenuto il consenso degli interessati alla cessione dei loro dati. In tale prospettiva, secondo la Suprema Corte, diviene irrilevante la circostanza che poi i titolari dei dati ceduti siano stati effettivamente raggiunti dagli SMS. Riteneva, dunque, fondato il ricorso del Garante per la Privacy perché nella -prospettiva normativa sopra delineata diviene ininfluente accertare se e quanti soggetti, le cui utenze telefoniche erano incluse nell'archivio illegittimamente ceduto, siano stati effettivamente raggiunti degli SMS, attenendo tale aspetto ad una diversa ipotesi di violazione delle previsioni sulla normativa della privacy, non oggetto della ordinanza impugnata. Ma occorreva, continuano gli Ermellini, guardare unicamente al coinvolgimento, per effetto della cessione avvenuta difformemente delle prescrizioni normative, al numero di soggetti interessati dal trasferimento dei dati ed al loro trattamento da parte del terzo. Ne consegue che la valutazione di insussistenza della contestata aggravante è frutto di una erronea applicazione della norma da parte del giudice di merito.

Corte di Cassazione, sez. II Civile, sentenza 3 maggio – 27 luglio 2017, n. 18619 Presidente Petitti – Relatore Criscuolo Fatto e diritto 1. La Softec S.p.A. e la BBJ S.r.l. proponevano opposizione avverso l’ordinanza ingiunzione n. 291 del 13/6/2013 con la quale l’Autorità Garante per la Protezione dei Dati Personali aveva irrogato, ai sensi degli artt. 161 e 162 co. 2 bis, ed in relazione alla violazione degli artt. 13 e 23 del Codice per la Protezione dei Dati Personali, la sanzione amministrativa di Euro 64.000,00 per avere comunicato a terzi dati presenti in un database, in mancanza di specifico consenso degli interessati. 2. Il Tribunale di Milano con la sentenza n. 1748 del 5 febbraio 2014 accoglieva in parte l’opposizione, e per l’effetto rideterminava la sanzione prevista nella misura di Euro 20.000,00, compensando integralmente le spese di lite. Quanto alla sussistenza delle violazioni di cui all’ordinanza impugnata, rilevava che la Cemit Interactive Media S.p.A. aveva commissionato alla BBJ la realizzazione di una campagna pubblicitaria mediante l’invio di sms ad un database di anagrafiche appartenente alla Cemit, che era anche titolare del trattamento dei dati, e che la BBJ si era poi rivolta alla Buongiorno Marketing S.p.A. incaricando quest’ultima dell’invio dei messaggi ai destinatari dell’archivio, nominando una dipendente della società Buongiorno come responsabile del trattamento. Ad avviso della sentenza, la successiva cessione del database da parte della BBJ cui nelle more era subentrata la Softec S.p.A. a seguito di un contratto di cessione di azienda alla Buongiorno, ed in violazione delle previsioni di cui agli artt. 13 e 23 del Codice della privacy era illecita, in quanto avvenuta senza la preventiva informativa degli interessati e senza avere raccolto il loro preventivo consenso. Né tale illiceità poteva essere superata per effetto della nomina della Buongiorno quale responsabile del trattamento, in quanto tale designazione non era avvenuta, come invece imposto dalla legge, da parte della Cemit, ma direttamente ad opera della BBJ, la quale non era stata però autorizzata a cedere a sua volta a terzi i dati presenti nell’archivio della prima società. Pertanto, una volta esclusa la ricorrenza di una situazione di buona fede tale da elidere la responsabilità amministrativa, e ritenuto non pertinente rispetto alla fattispecie in esame un parere reso dal Garante, l’ordinanza meritava conferma quanto alla valutazione di ricorrenza degli illeciti contestati. L’opposizione era invece accolta in ordine alla entità della sanzione. A tal fine riteneva di dover escludere l’applicabilità dell’aggravante di cui all’art. 164 bis del D. Lgs. n. 196/2003, che prevede l’aggravamento delle sanzioni per l’ipotesi in cui la violazione coinvolga numerosi interessati. Infatti, dall’istruttoria espletata era emerso solo il numero di utenze telefoniche presenti nel database oltre duecentomila ma non il numero dei soggetti effettivamente risultati destinatari degli sms elettorali, inviati dalla Buongiorno. Con riferimento alla graduazione della sanzione, la sentenza poi osservava che occorreva avere riguardo alla limitata rilevanza economica del contratto intercorso tra Cemit e BBJ, alla personalità dell’autore della violazione che non era risultata autrice di precedenti violazioni delle disposizioni in tema di trattamento dei dati personali , alle condizioni economiche dell’agente, occorrendo altresì valutare la modesta gravità della violazione in assenza di prova circa l’effettivo numero di utenti raggiunti da sms. Per l’effetto riduceva l’importo della sanzione ad Euro 20.000,00 di cui Euro 8.000,00 per la violazione della previsione di cui all’art. 13 ed Euro 12.000,00 per la violazione dell’art. 23. 3. Per la cassazione di tale sentenza ha proposto ricorso l’Autorità Garante per la Protezione dei Dati Personali sulla base di un motivo. La Softec S.p.A. ha resistito con controricorso. La BBJ S.r.l. non ha svolto difese in questa fase. 4. L’unico motivo di ricorso denunzia la violazione e falsa applicazione degli artt. 13, 23 e 164 bis co. 3 del D. Lgs. n. 196/2003 ai sensi dell’art. 360 co. 1 n. 3 c.p.c Si deduce che deve ritenersi erronea l’esclusione nella fattispecie dell’aggravante de qua che prevede che in altri casi di maggiore gravità e, in particolare, di maggiore rilevanza del pregiudizio per uno o più interessati, ovvero quando la violazione coinvolge numerosi interessati, i limiti minimo e massimo delle sanzioni di cui al presente Capo sono applicati in misura pari al doppio, poiché motivata in ragione della mancata prova che effettivamente gli sms inviati dalla Buongiorno Marketing, su incarico della BBJ, avessero raggiunto una significativa quantità di soggetti presenti nel database della Cemit. Si osserva che in realtà le violazioni contestate, ed oggetto dell’ordinanza opposta, concernevano la violazione degli artt. 13 e 23 del D. Lgs. n. 196/2003 e cioè la cessione non autorizzata del database, contenente oltre duecentomila utenze telefoniche, e senza avere preventivamente offerto l’apposita informativa e senza avere ottenuto il consenso degli interessati alla cessione dei loro dati. In tale prospettiva diviene quindi irrilevante, ed esula dall’oggetto dell’illecito contestato, la circostanza che poi i titolari dei dati ceduti siano stati effettivamente raggiunti da sms elettorali, in attuazione dell’incarico convenuto tra il cedente e la cessionaria, e tra quest’ultima e la subappaltatrice dell’incarico. Il ricorso è fondato. Preliminarmente deve essere disattesa l’eccezione di inammissibilità del ricorso formulata dalla controricorrente invocando la violazione dell’art. 366 bis c.p.c., per l’omessa formulazione da parte dell’Autorità ricorrente del quesito di diritto, atteso che, in ragione della data di pubblicazione del provvedimento impugnato, non può trovare applicazione la norma invocata, peraltro abrogata per effetto della legge n. 69/2009, e ciò in attuazione della disposizione transitoria di cui all’art. 47 co. 1 lett. d della medesima legge. Ed, invero, nel caso di specie la violazione contestata e ritenuta sussistente da parte del giudice di merito, che ha appunto rigettato l’opposizione in parte qua, concerne la cessione dei dati a soggetti terzi senza la previa informativa, e senza avere ottenuto il previo consenso, sicché la stessa prescinde poi dall’eventuale ricorrenza di una diversa violazione del codice della privacy, in ragione dell’utilizzo illegittimo dei dati, come nel caso di successivo invio di sms a finalità elettorali in tal senso si veda Cass. n. 25079/2015, che ha ritenuto che costituisca violazione dell’art. 13 del d.lgs. n. 196 del 2003, interpretato in combinazione con le disposizioni di cui al provvedimento dell’Autorità garante per la protezione dei dati personali del 7 settembre 2005, cd. decalogo elettorale, l’invio, tramite sms sul telefono cellulare, di messaggi di propaganda elettorale non preceduti dalla prescritta preventiva informativa obbligatoria all’interessato, acquisibile anche una tantum attraverso il consenso espresso alla ricezione di chiamate o messaggi per le indicate e specifiche finalità, ravvisando quindi la violazione della norma in esame, non già in relazione alla previa informativa in merito al soggetto al quale i dati sono comunicati, ma in relazione al diverso profilo di cui alla lettera a che concerne le specifiche finalità del trattamento . In tale prospettiva diviene quindi irrilevante accertare se e quanti soggetti, le cui utenze telefoniche erano incluse nell’archivio della Cemit, siano stati effettivamente raggiunti da sms elettorali inviati dalla Buongiorno Marketing, attenendo tale aspetto ad una diversa ipotesi di violazione delle previsioni di cui al D. Lgs. n. 196/2003, non oggetto dell’ordinanza oggi impugnata, ma occorreva unicamente guardare al coinvolgimento, per effetto della cessione avvenuta difformemente dalle prescrizioni normative, ed al numero di soggetti interessati dal trasferimento dei dati e dal loro trattamento da parte del terzo. Ne consegue che la valutazione di insussistenza della contestata aggravante è frutto di un’erronea applicazione della norma da parte del giudice di merito che, anziché guardare al numero dei soggetti, i cui dati erano interessati dalla cessione non autorizzata, ha preso in considerazione il diverso profilo del successivo trattamento ed utilizzo degli stessi dati per fini elettorali, attività questa che, come visto, ben può configurare una diversa violazione della medesima previsione di cui al citato art. 13. Il ricorso deve quindi essere accolto e la sentenza deve essere cassata, con rinvio per un nuovo esame al Tribunale di Milano, in persona di diverso magistrato che provvederà anche sulle spese del presente giudizio. P.Q.M. La Corte, accoglie il ricorso, cassa il provvedimento impugnato con rinvio al Tribunale di Milano, in persona di diverso magistrato, anche per le spese del presente giudizio.