Persona, diritti personalità - Riservatezza, privacy -  Mariagrazia Caruso - 24/07/2019

La tutela della privacy nel mondo di internet: quando il consenso al trattamento dei dati può essere omesso e le caratteristiche che deve rivestire quando è necessario

Il termine privacy indica il diritto alla riservatezza delle informazioni personali e della vita privata: the right to be let alone (diritto ad essere lasciato in pace), secondo la formulazione del giurista statunitense Louis Brandeis che nel 1890 fu il primo a formulare una legge sulla riservatezza insieme a Samuel Warren.
La privacy costituisce uno strumento posto a salvaguardia e a tutela della sfera privata del singolo individuo da intendere come la facoltà di impedire che le informazioni riguardanti tale sfera personale siano divulgate in assenza dell’autorizzazione dell’interessato od anche il diritto alla non intromissione nella sfera privata da parte di terzi assicurando, quindi, il controllo su tutte le informazioni e i dati riguardanti la vita privata  e mettendo a disposizione gli strumenti a tutela.
In Italia solo intorno agli anni 60/70 il diritto alla privacy viene elaborato come diritto alla libera determinazione nello svolgimento della propria personalità.
Tale concetto cardine nel tempo si è evoluto ed oggi si parla di privacy non più, e non solo, nel senso di protezione dei dati personali (quindi come diritto negativo volto a impedire la rilevazione di informazioni sul nostro conto) ma in una accezione più ampia anche quale diritto ad esprimere liberamente le proprie aspirazioni più profonde e a realizzarle attingendo liberamente alla proprie potenzialità e quindi, anche, come diritto all’autodeterminazione e alla sovranità su se stessi.
Come autorevolmente affermato dal prof. Stefano Rodotà:
“A me serve avere tutela dell’anonimato, a me serve la tutela della riservatezza, della privacy, non per isolarmi ma per partecipare. Solo se sono certo del mio anonimato potrò partecipare senza timore di essere discriminato o stigmatizzato a gruppi di discussione in Rete su temi politicamente sgraditi al potere dominante in un certo momento. Solo se avrò la certezza di non essere discriminato, potrò denunciare gli abusi, magari nel luogo dove io stesso lavoro.
Ecco allora che la riservatezza non è un problema di silenzio, di isolamento dagli altri, ma è uno strumento di comunicazione. Allo stesso modo, nell’area del commercio elettronico, la riservatezza diventa lo strumento attraverso il quale, con fiducia, io accedo all’acquisto di beni o di servizi, avendo ad esempio la sicurezza che quelle mie informazioni non saranno ulteriormente utilizzate, fatte circolare, elaborate per costruire profili della mia personalità che potrebbero avere anche effetti discriminatori”.
L’istituto è stato specificamente disciplinato in Italia con il codice per la protezione dei dati personali (comunemente noto anche come "codice della privacy") contenuto nel Decreto legislativo 30 giugno 2003, n. 196, in vigore dal 1º gennaio 2004.
Il Testo Unico riunisce la normativa vigente in materia accumulatasi dal 1996 prevedendo ampie garanzie per i cittadini mediante la razionalizzazione delle norme esistenti e la semplificazione degli adempimenti già previsti con la precedente normativa (legge 31 dicembre 1996, n. 675).
Il 4 maggio 2016 è stato, poi, pubblicato sulla Gazzetta ufficiale dell'Unione europea il nuovo Regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation - Regolamento UE 2016/679), direttamente applicabile, che è in vigore a partire dal 25 maggio 2018. Pertanto il 19 settembre 2018 è entrato in vigore il Decreto legislativo 10 agosto 2018, n. 101 per adeguare la normativa nazionale al nuovo regolamento europeo.
Andando a esplicitare la terminologia afferente l’istituto va innanzi tutto chiarito cosa si intende per dati personali, dati sensibili e dati giudiziari.
Sono dati personali le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc..
Rilevano senza dubbio a questo fine i dati che permettono l'identificazione diretta - come i dati anagrafici (ad esempio: nome e cognome), le immagini, ecc.  e i dati che permettono l'identificazione indiretta, come un numero di identificazione (ad esempio, il codice fiscale, l'indirizzo IP, il numero di targa).
Rientra, quindi, nella categoria dei dati personali qualunque informazione, anche isolata, che consenta, comunque, di identificare l’individuo e quindi anche gli strumenti e le modalità che consentono di identificare il browser o il dispositivo digitale tramite il quale la persona naviga in rete: cookie, fingerprint, adid sono, dunque, considerati dati personali.
Sul punto merita rilievo la sentenza Breyer contro Germania del 2016 con la quale la Corte di Giustizia europea ha espressamente definito l'indirizzo IP (Internet Protocol) come dato personale, anche con riferimento all'IP dinamico. L'account di un servizio online viene, pertanto, considerato certamente un dato personale, in quanto consente di identificare univocamente una persona, al pari della mail e del nickname. Da ciò discende che persone fisiche e persone giuridiche non possono chiedere all'ISP (fornitore di accesso ad Internet) il nominativo di un soggetto che ha scaricato file piratati online. Solo l'autorità giudiziaria può, infatti, accedere a tali informazioni. Rientrano, inoltre, nella categoria dei dati personali anche quelli che forniscono la geolocalizzazione.
I dati personali, come sopra individuati, possono essere oggetto di «trattamento» secondo le regole ed entro i limiti stabiliti dal Regolamento generale sulla protezione dei dati – GDPR (UE/2016/679).
Per trattamento dei dati personali si intende “qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione” (art. 4, punto 2 del GDPR).
Specificamente l’art. 5 prevede che i dati personali sono:
a) trattati in modo lecito, corretto e trasparente nei confronti dell'interessato («liceità, correttezza e trasparenza»);
b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all'articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»);
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);
d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);
e) conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all'articolo 89, paragrafo 1, fatta salva l'attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell'interessato («limitazione della conservazione»);
f) trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).
2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»).
Ai sensi dell’art. 6 del GDPR (Regolamento generale sulla protezione dei dati), il trattamento dei dati viene considerato lecito se e nella misura in cui ricorre almeno una delle seguenti condizioni:
l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso;
il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica;
il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento;
il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore.
Sono dati sensibili (oggi denominati categorie particolari di dati personali) quelli che rivelano l'origine razziale od etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l'appartenenza sindacale, relativi alla salute o alla vita sessuale. L’art. 9 del Regolamento (UE) 2016/679 (articolo 9) ha incluso in questa nozione anche i dati genetici, i dati biometrici e quelli relativi all'orientamento sessuale.
Come principio generale il GDPR stabilisce il divieto di trattare le categorie particolari di dati personali come sopra individuati.
Tuttavia tale divieto non si applica se si verifica uno dei seguenti casi:
a) l'interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell'Unione o degli Stati membri dispone che l'interessato non possa revocare il divieto di cui al paragrafo 1;
b) il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell'Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell'interessato;
c) il trattamento è necessario per tutelare un interesse vitale dell'interessato o di un'altra persona fisica qualora l'interessato si trovi nell'incapacità fisica o giuridica di prestare il proprio consenso;
d) il trattamento è effettuato, nell'ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l'associazione o l'organismo a motivo delle sue finalità e che i dati personali non siano comunicati all'esterno senza il consenso dell'interessato;
e) il trattamento riguarda dati personali resi manifestamente pubblici dall'interessato;
f) il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;
g) il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l'essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato;
h) il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell'Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3;
i) il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell'assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell'Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell'interessato, in particolare il segreto professionale;
j) il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici in conformità dell'articolo 89, paragrafo 1, sulla base del diritto dell'Unione o nazionale, che è proporzionato alla finalità perseguita, rispetta l'essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato.
I dati relativi a condanne penali e reati vengono, poi, classificati come "giudiziari" in quanto possono rivelare l'esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (ad esempio, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione) o la qualità di imputato o di indagato. Il Regolamento (UE) 2016/679 (articolo 10) ricomprende in tale nozione i dati relativi alle condanne penali e ai reati o a connesse misure di sicurezza e prevede che il trattamento degli stessi debba avvenire soltanto sotto il controllo dell'autorità pubblica o se il trattamento è autorizzato dal diritto dell'Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati. Un eventuale registro completo delle condanne penali deve essere tenuto soltanto sotto il controllo dell'autorità pubblica.
In conformità alla previsione di cui all’articolo 4, paragrafo 1, punto 1, del Regolamento UE 2016/679 interessato è la persona fisica alla quale si riferiscono i dati personali, titolare è la persona fisica, l'autorità pubblica, l'impresa, l'ente pubblico o privato, l'associazione, ecc., che adotta le decisioni sugli scopi e sulle modalità del trattamento (articolo 4, paragrafo 1, punto 7), del Regolamento UE 2016/679); responsabile è la persona fisica o giuridica alla quale il titolare richiede di eseguire per suo conto specifici e definiti compiti di gestione e controllo per suo conto del trattamento dei dati (articolo 4, paragrafo 1, punto 8), del Regolamento UE 2016/679). Il medesimo Regolamento UE ha introdotto, inoltre, la possibilità che un responsabile possa, a sua volta e secondo determinate condizioni, designare un altro soggetto c.d. "sub-responsabile" (articolo 28, paragrafo 2).
I rigorosi principi in materia di privacy sopra esposti manifestano, comunque, non poche crepe e difficoltà applicative in conseguenza dello sviluppo esponenziale dei mezzi di comunicazione telematica e, particolarmente, della rete mondiale Internet nonché dell’uso sempre più diffuso dei social media, (espressione con la quale si indicano le tecnologie e le pratiche on line che le persone adottano per condividere contenuti testuali, immagini, video e audio) che, di fatto,  mettono in crisi gli strumenti normativi in materia di tutela del trattamento dei dati personali in quanto la rete internet, per le sue particolari caratteristiche, non consente efficienti forme di controllo.
Di particolare interesse risultano le problematiche connesse alle ipotesi in cui le informazioni personali dei privati vengano inserite dagli stessi interessati  (come nel caso degli albi professionali ad esempio) oppure le ipotesi in cui i dati personali sono contenuti in registri pubblici agevolmente consultabili dai privati, risultando, però, anche in tali evenienze fondamentale per il privato che il trattamento dei dati relativi avvenga nel rispetto delle norme che li regolano e dell’autodeterminazione del singolo alla loro diffusione.
In conformità alla normativa sopra enunciata può senza dubbio affermarsi che tutti i dati inseriti in elenchi  e registri pubblici possano senza dubbio essere riutilizzati per fini privati ma non per fini pubblicitari.
Già, infatti, le “Linee guida in materia di attività promozionale e contrasto allo spam” - 4 luglio 2013 (Pubblicate sulla Gazzetta Ufficiale n. 174 del 26 luglio 2013) del Garante della protezione dei dati personali avevano, appunto, affermato l’illegittimità dell’invio di un “messaggio promozionale relativo a uno specifico prodotto o servizio da un’impresa che abbia tratto i dati personali del destinatario dal profilo del social network al quale egli è iscritto “, sulla base della considerazione che la facilità con cui si rintracciano i dati online (quali numeri di telefono o indirizzi di posta elettronica) non autorizza a poterli utilizzare per inviare comunicazioni promozionali automatizzate senza il consenso dei destinatari.
Può, ancora, senza dubbio affermarsi, sulla scorta della vigente normativa, che il riutilizzo delle informazioni personali “pubblicamente accessibili” (e quindi certamente tutti i dati contenuti nei registri pubblici anagrafici, registri di stato civile, registri imprese delle camere di commercio…) è consentito, a prescindere da un consenso informato dell’interessato, per usi con finalità coerenti con quelle che hanno dato luogo alla pubblicazione.
Si richiama sul punto la chiara norma contenuta nell’art. 9  del GDPR la quale espressamente prevede che i dati, qualora resi manifestamente pubblici dall’interessato, possono essere trattati senza consenso potendosi ben ritenere che rendere pubblici i propri dati personali, equivalga a un valido consenso al loro trattamento ove il trattamento avvenga per finalità coerenti con quelle per cui i dati sono stati resi pubblici dall’interessato.
Il riconoscimento all’azione positiva dell’interessato di valore equivalente a un valido consenso è peraltro coerente con le caratteristiche che il consenso ha nel GDPR, come si desume da diversi considerando (ad esempio, il 32) e dalla relativa definizione (art. 4, n.11): “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.
Resta comunque fermo il principio della finalità, come viene reso palese dall’art. 6, co. 4 GDPR, che condiziona in via generale la liceità del trattamento che non sia basato sul consenso, per finalità diverse da quelle originarie della raccolta, alla compatibilità di tali finalità successive con le prime, indicando al titolare – per la relativa verifica – la valutazione, tra l’altro: “(…) c) della natura dei dati personali, specialmente se siano trattate categorie particolari di dati personali ai sensi dell’articolo 9 (…); delle possibili conseguenze dell’ulteriore trattamento previsto per gli interessati; (…)”.
In proposito non va certamente, poi, sottaciuto il richiamo nei considerando del Regolamento (spec. 75 e 85) agli atti idonei a procurare all’interessato “danno sociale”, richiamando espressamente, tra gli altri, il “pregiudizio alla reputazione” dovendosi così ritenere che l’utilizzo di questi dati deve trovare un limite, oltre che nei principi generali che disciplinano il diritto alla protezione dei dati personali, anche nel rispetto degli altri diritti della personalità dell’interessato, con particolare riguardo all’identità personale: da ciò discende che nell’impianto del GDPR il relativo trattamento, anche se supportato da una precisa scriminante del consenso e da finalità astrattamente coerenti con quelle per cui i dati sono stati resi pubblici dall’interessato stesso, può risultare illegittimo – anche ai sensi della stessa normativa sulla protezione dei dati personali – qualora, per le modalità con cui il trattamento è realizzato o per gli effetti che produce, sia foriero di danno sociale o reputazionale per l’interessato.
Già peraltro il Codice Privacy aveva previsto il trattamento, senza consenso, dei dati personali resi “pubblici” e quello dei “dati personali relativi a circostanze o fatti resi noti direttamente dagli interessati o attraverso loro comportamenti in pubblico” nel contesto delle finalità giornalistiche o di altre manifestazioni del pensiero (anche artistiche) (combinato disposto degli artt. 137 comma 3 e 136 Cod. Privacy).
Costante Giurisprudenza del Garante sin dal 1999 ha, pertanto, ritenuto legittimo il trattamento e la diffusione di dati, anche sensibili, senza il consenso dell’interessato, senza obbligo di fornire la preventiva informativa e senza autorizzazione del Garante ove “resi noti direttamente dagli interessati o attraverso loro comportamenti in pubblico” (e dunque anche le informazioni postate sui social network), anche a prescindere dagli specifici limiti che l’ordinamento invece generalmente prevede per l’esercizio del diritto di cronaca quali per es. l’attualità e rilevanza per l’interesse pubblico dell’informazione oggetto di trattamento (sul punto vi è costante giurisprudenza del Garante sin dal 1999: cfr. Provv. “Privacy e informazione” – 18.10.1999: “Non c’è violazione della privacy né del codice deontologico dei giornalisti se le informazioni sono rese note direttamente dagli interessati o attraverso il loro comportamento in pubblico”; Provv. “Non viola la privacy pubblicare dati resi noti direttamente dall’interessato” – 28.10 1999: “Non viola i limiti al diritto di cronaca posti a tutela della privacy la diffusione su di un organo di stampa di circostanze, notizie e dati già resi noti dall’interessato attraverso “lettere aperte” inviate ad una pluralità indeterminata di soggetti”).
Ove necessaria e non omissibile, secondo quanto sopra, l’informativa deve contenere:
a) l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
b) i dati di contatto del responsabile della protezione dei dati (Data Protection Officer o DPO), ove nominato;
c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
d) qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f) (esistenza di un “legittimo interesse del titolare del trattamento o di terzi” che non leda i diritti e le libertà fondamentali dell’interessato), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
f) ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 46 o 47, o all’articolo 49, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.
nonchè:
a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
b) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
c) qualora il trattamento sia basato sul consenso prestato dall’interessato (ai sensi dell’6 comma 1 lett. a e art. 9 comma 2 lett. a del GDPR), l’esistenza del diritto di revocare il consenso in qualsiasi momento, senza però pregiudicare la liceità del trattamento effettuato sulla base del consenso prestato prima della revoca;
d) il diritto di proporre reclamo al Garante della Protezione dei Dati Personali;
e) se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
f) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, commi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.
In conformità alla previsione di cui all’art. 12 GDPR l’informativa deve essere concisa, trasparente, comprensibile, facilmente accessibile e di linguaggio semplice e chiaro e sia fornita “per iscritto o con altri mezzi” e anche “se del caso, con mezzi elettronici” e anche oralmente, “se richiesto dall’interessato”.
Su punto, da ultimo, risulta illuminante la recente sentenza della Cassazione   n. 17278/2018, sez. prima civile con la quale la Suprema Corte nell’accogliere il ricorso dell’Autorità Garante contro una decisione del tribunale di Arezzo in merito alla legittimità del trattamento dei dati personali posto in essere per finalità promozionali in violazione degli artt. 23 e 130 del Codice privacy ha chiarito che il D.Lgs. 30 giugno 2003, n. 196, art. 23 stabilisce nei suoi tre commi che:
-) il trattamento di dati personali è ammesso solo con il consenso espresso dell'interessato;
-) il consenso può riguardare l'intero trattamento ovvero una o più operazioni dello stesso;
-) il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se sono state rese all'interessato le informazioni di cui all'art. 13.
Tale ultima disposizione, poi, contiene una dettagliata elencazione delle informazioni che devono essere somministrate all'interessato.
Il citato art. 23 reca così uno dei principi fondanti della materia giacchè, anche per la collocazione sistematica della disposizione nel Titolo 3 del Codice, che pone le regole generali per il trattamento dei dati, sta a significare che il consenso è condizione - fatti salvi casi eccettuati che qui non rilevano - della liceità del trattamento.
Il principio così posto si armonizza con il dettato dall'art. 2, lettera h) della direttiva 95/46/CE del Parlamento Europeo e del Consiglio del 24 ottobre 1995, che definisce il consenso come "qualsiasi manifestazione di volontà libera, specifica e informata con la quale la persona interessata accetta che i dati personali che la riguardano siano oggetto di un trattamento", direttiva in cui si chiarisce ulteriormente, all'art. 7, che il trattamento dei dati personali può essere effettuato soltanto quando "la persona interessata ha manifestato il proprio consenso in maniera inequivocabile".
Ed in una prospettiva di ulteriore specificazione del concetto, utile ad intendere anche la portata dal menzionato art. 23, il "consenso dell'interessato", all'undicesima delle definizioni date in apertura del Regolamento (UE) 2016/679 del Parlamento Europeo e del consiglio del 27 aprile 2016 (c.d. GDPR, General Data Protection Regulation), è inteso come: "qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento". Dopodichè il trentaduesimo considerando dello stesso testo aggiunge che: "Il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l'interessato manifesta l'intenzione libera, specifica, informata e inequivocabile di accettare il trattamento...").
2.4. - Sorge dunque il problema dell'identificazione e delimitazione della nozione di consenso adottata dal legislatore con il richiamato art. 23.
Orbene, è anzitutto da escludere che il consenso considerato da tale disposizione sia semplicemente il medesimo consenso in generale richiesto a fini negoziali, ossia il consenso prestato da un soggetto capace di intendere e volere e non viziato da errore, violenza o dolo, ovvero, in determinati frangenti, da pericolo o da bisogno: consenso, quello così previsto, che pur sussiste quantunque perturbato, al di sotto di una determinata soglia, in ragione dei vizi indicati, secondo quanto risulta dagli artt. 1428, 1435 e 1439 c.c.
Una simile lettura minimale dell'art. 23 - che è in definitiva quella che pare emergere, sia pur senza adeguata consapevolezza, dal provvedimento impugnato - non ha fondamento, almeno per due ragioni:
-) in primo luogo, se il consenso dovesse essere inteso nella medesima accezione in cui esso è di regola richiesto a fini negoziali, la norma del Codice della privacy sarebbe superflua, non potendosi dubitare che, anche senza di essa, un trattamento dei dati senza consenso non sia ipotizzabile, dal momento che i dati personali costituiscono beni attinenti alla persona;
-) in secondo luogo il legislatore non discorre qui di un generico consenso, bensì di un consenso manifestato, oltre che espressamente, liberamente e specificamente, a condizione che all'interessato siano state previamente offerte le informazioni elencate dall'art. 13 del Codice della privacy.
Non v'è dubbio, allora, che, nel suo complesso la previsione di un consenso in tal modo "rafforzato" sia dettato dall'esigenza di rimediare alla intrinseca situazione di debolezza dell'interessato, sia sotto il profilo della evidente "asimmetria informativa", sia dal versante della tutela contro possibili tecniche commerciali aggressive o suggestive. La normativa in questione, dunque, sorge dall'esigenza di affrontare i rischi per la persona posti dal trattamento in massa dei dati personali, così come reso possibile dall'evoluzione tecnologica. Può dunque dirsi che il consenso in questione debba essere ricondotto alla nozione di "consenso informato", nozione ampiamente impiegata in taluni settori - basti menzionare il campo delle prestazioni sanitarie - in cui è particolarmente avvertita l'esigenza di tutelare la pienezza del consenso, in vista dell'esplicazione del diritto di autodeterminazione dell'interessato, attraverso la previsione di obblighi di informazione contemplati in favore della parte ritenuta più debole.
Tale lettura trova conferma nel rinvio al già citato art. 13, il quale enumera le informazioni che devono essere fornite all'interessato prima che questi esprima il suo consenso, ed altresì nella previsione dell'art. 11, comma 1, lett. b e d, del Codice della privacy, il quale consente l'utilizzo dei dati solo per gli scopi per cui sono stati raccolti e che devono essere comunicati all'interessato prima che egli manifesti il suo consenso.
Ne discende che il consenso in discorso, alla luce del dato normativo, è tale da non ammettere compressioni di alcun genere e non sopporta di essere sia pure marginalmente perturbato non solo per effetto di errore, violenza o dolo, ma anche per effetto de l'intero ventaglio di possibili disorientamenti, stratagemmi, opacità, sotterfugi, slealtà, doppiezze o malizie comunque adottate dal titolare del trattamento.
In tal senso va inteso il dato normativo alla luce del quale deve trattarsi di un consenso libero, ossia pienamente consapevole ed informato e non già frutto di alcun condizionamento, e specifico, ossia inequivocabilmente riferito a ciascun particolare effetto del trattamento.
2.5. - Più in specifico, con riguardo all'aspetto della libertà, occorre esaminare, in relazione al caso in esame, la questione se il condizionamento di cui si è detto, tale da far sì che il consenso non sia conforme al dettato normativo, possa essere ravvisato nell'ipotesi in cui l'offerta di un determinato servizio da parte del gestore di un sito Internet sia - per l'appunto - condizionato al Nasi del consenso all'utilizzo dei dati personali per il successivo invio, da parte di terzi, di messaggi pubblicitari: quesito al quale si riferisce, oggi, il comma 4 dell'art. 7 del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016, secondo cui:
"Nel valutare se il consenso sia stato liberamente prestato, tiene nella massima considerazione l'eventualità, tra le altre, che l'esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all'esecuzione di tale contratto".
Ritiene la Corte, nel quadro di applicazione del citato art. 23, che la risposta al quesito non possa essere univoca e, cioè, che il condizionamento non possa sempre e comunque essere dato per scontato e debba invece essere tanto più ritenuto sussistente, quanto più la prestazione offerta dal gestore del sito Internet sia ad un tempo infungibile ed irrinunciabile per l'interessato, il che non può certo dirsi accada nell'ipotesi di offerta di un generico servizio informativo del tipo di quello in discorso, giacchè all'evidenza si tratta di informazioni agevolmente acquisibili per altra via, eventualmente attraverso siti a pagamento, se non attraverso il ricorso all'editoria cartacea, con la conseguenza che ben può rinunciarsi a detto servizio senza gravoso sacrificio.
Non può allora essere condiviso l'argomento svolto dal giudice di merito secondo cui, dando credito alla tesi sostenuta dal Garante, si finirebbe per "delineare una sorta di obbligo tout court, per il gestore del portale, di offrire comunque le proprie prestazioni, a prescindere dalla prestazione del consenso al trattamento dei dati personali da parte dell'utente": e, in buona sostanza, per obbligare così il gestore del portale a rinunciare al tornaconto economico dell'operazione che egli compie, proveniente dall'attività pubblicitaria realizzata tramite l'impiego dei dati personali acquisiti.
Nulla, infatti, impedisce al gestore del sito - beninteso, si ripete, in un caso come quello in questione, concernente un servizio nè infungibile, nè irrinunciabile -, di negare il servizio offerto a chi non si presti a ricevere messaggi promozionali, mentre ciò che gli è interdetto è utilizzare i dati personali per somministrare o far somministrare informazioni pubblicitarie a colui che non abbia effettivamente manifestato la volontà di riceverli. Insomma, l'ordinamento non vieta lo scambio di dati personali, ma esige tuttavia che tale scambio sia frutto di un consenso pieno ed in nessun modo coartato.
2.6. - Oltre che libero, il consenso, come si diceva, deve essere specifico: ed è manifesto che il requisito della specificità si pone, nel disegno normativo, in stretto collegamento con quello della libertà del consenso, così da risolversi in un'endiadi, giacchè la libertà della determinazione volitiva in ordine al trattamento dei dati personali non sarebbe neppure astrattamente configurabile, nel suo atteggiarsi quale consenso informato, se non fosse univocamente indirizzata alla produzione di effetti che l'utente abbia preventivamente avuto modo di rappresentarsi, singolarmente, con esattezza.
L'interessato deve essere allora con certezza posto in condizione di raffigurarsi, in maniera inequivocabile, gli effetti del consenso prestato al trattamento dei suoi dati: di guisa che, se detto consenso comporta una pluralità di effetti - come nel caso di specie, in cui esso si estende alla ricezione di messaggi promozionali anche da parte di terzi -, lo stesso va singolarmente prestato in riferimento a ciascuno di essi, di modo che, con totale trasparenza, risulti palese che proprio ciascuno di tali effetti egli ha voluto.
E' dunque senz'altro da escludere che il consenso possa dirsi specificamente, e dunque anche liberamente, prestato in un'ipotesi in cui, ove gli effetti del consenso non siano indicati con completezza accanto ad una specifica "spunta" apposta sulla relativa cartella di una pagina Web, ma siano invece descritti in altra pagina Web linkata alla prima, non vi sia contezza che l'interessato abbia consultato detta altra pagina, apponendo nuovamente una diversa "spunta" finalizzata a manifestare il suo consenso.
Inoltre, ritiene il Collegio, perchè il consenso possa essere detto specifico, che esso, per la contraddizione che non lo consente, non possa essere genericamente riferito a non meglio identificati messaggi pubblicitari, sicchè colui il quale abbia chiesto di fruire di un servizio di informazioni giuridico-fiscali, si debba vedere poi raggiunto da pubblicità di servizi o prodotti non attinenti alle ricerche effettuate. E' allora specifico, per questo aspetto, il consenso se riferito "ad un trattamento chiaramente individuato", il che comporta la necessità, almeno, dell'indicazione dei settori merceologici o dei servizi cui i messaggi pubblicitari saranno riferiti.