Sms elettorali e cessione dei numeri ad un terzo senza consenso.
Corte di Cassazione, sez. II Civile, sentenza 3 maggio – 27 luglio 2017, n. 18619
Presidente Petitti – Relatore Criscuolo
Fatto e diritto
1. La Softec S.p.A. e la BBJ S.r.l. proponevano opposizione avverso l'ordinanza ingiunzione n. 291 del 13/6/2013 con la quale l'Autorità Garante per la Protezione dei Dati Personali aveva irrogato, ai sensi degli artt. 161 e 162 co. 2 bis, ed in relazione alla violazione degli artt. 13 e 23 del Codice per la Protezione dei Dati Personali, la sanzione amministrativa di Euro 64.000,00 per avere comunicato a terzi dati presenti in un database, in mancanza di specifico consenso degli interessati.
2. Il Tribunale di Milano con la sentenza n. 1748 del 5 febbraio 2014 accoglieva in parte l'opposizione, e per l'effetto rideterminava la sanzione prevista nella misura di Euro 20.000,00, compensando integralmente le spese di lite.
Quanto alla sussistenza delle violazioni di cui all'ordinanza impugnata, rilevava che la Cemit Interactive Media S.p.A. aveva commissionato alla BBJ la realizzazione di una campagna pubblicitaria mediante l'invio di sms ad un database di anagrafiche appartenente alla Cemit, che era anche titolare del trattamento dei dati, e che la BBJ si era poi rivolta alla Buongiorno Marketing S.p.A. incaricando quest'ultima dell'invio dei messaggi ai destinatari dell'archivio, nominando una dipendente della società Buongiorno come responsabile del trattamento.
Ad avviso della sentenza, la successiva cessione del database da parte della BBJ (cui nelle more era subentrata la Softec S.p.A. a seguito di un contratto di cessione di azienda) alla Buongiorno, ed in violazione delle previsioni di cui agli artt. 13 e 23 del Codice della privacy era illecita, in quanto avvenuta senza la preventiva informativa degli interessati e senza avere raccolto il loro preventivo consenso.
Né tale illiceità poteva essere superata per effetto della nomina della Buongiorno quale responsabile del trattamento, in quanto tale designazione non era avvenuta, come invece imposto dalla legge, da parte della Cemit, ma direttamente ad opera della BBJ, la quale non era stata però autorizzata a cedere a sua volta a terzi i dati presenti nell'archivio della prima società.
Pertanto, una volta esclusa la ricorrenza di una situazione di buona fede tale da elidere la responsabilità amministrativa, e ritenuto non pertinente rispetto alla fattispecie in esame un parere reso dal Garante, l'ordinanza meritava conferma quanto alla valutazione di ricorrenza degli illeciti contestati.
L'opposizione era invece accolta in ordine alla entità della sanzione. A tal fine riteneva di dover escludere l'applicabilità dell'aggravante di cui all'art. 164 bis del D. Lgs. n. 196/2003, che prevede l'aggravamento delle sanzioni per l'ipotesi in cui la violazione coinvolga numerosi interessati.
Infatti, dall'istruttoria espletata era emerso solo il numero di utenze telefoniche presenti nel database (oltre duecentomila) ma non il numero dei soggetti effettivamente risultati destinatari degli sms elettorali, inviati dalla Buongiorno.
Con riferimento alla graduazione della sanzione, la sentenza poi osservava che occorreva avere riguardo alla limitata rilevanza economica del contratto intercorso tra Cemit e BBJ, alla personalità dell'autore della violazione (che non era risultata autrice di precedenti violazioni delle disposizioni in tema di trattamento dei dati personali), alle condizioni economiche dell'agente, occorrendo altresì valutare la modesta gravità della violazione in assenza di prova circa l'effettivo numero di utenti raggiunti da sms.
Per l'effetto riduceva l'importo della sanzione ad Euro 20.000,00 di cui Euro 8.000,00 per la violazione della previsione di cui all'art. 13 ed Euro 12.000,00 per la violazione dell'art. 23.
3. Per la cassazione di tale sentenza ha proposto ricorso l'Autorità Garante per la Protezione dei Dati Personali sulla base di un motivo.
La Softec S.p.A. ha resistito con controricorso.
La BBJ S.r.l. non ha svolto difese in questa fase.
4. L'unico motivo di ricorso denunzia la violazione e falsa applicazione degli artt. 13, 23 e 164 bis co. 3 del D. Lgs. n. 196/2003 ai sensi dell'art. 360 co. 1 n. 3 c.p.c..
Si deduce che deve ritenersi erronea l'esclusione nella fattispecie dell'aggravante de qua che prevede che in altri casi di maggiore gravità e, in particolare, di maggiore rilevanza del pregiudizio per uno o più interessati, ovvero quando la violazione coinvolge numerosi interessati, i limiti minimo e massimo delle sanzioni di cui al presente Capo sono applicati in misura pari al doppio, poiché motivata in ragione della mancata prova che effettivamente gli sms inviati dalla Buongiorno Marketing, su incarico della BBJ, avessero raggiunto una significativa quantità di soggetti presenti nel database della Cemit.
Si osserva che in realtà le violazioni contestate, ed oggetto dell'ordinanza opposta, concernevano la violazione degli artt. 13 e 23 del D. Lgs. n. 196/2003 e cioè la cessione non autorizzata del database, contenente oltre duecentomila utenze telefoniche, e senza avere preventivamente offerto l'apposita informativa e senza avere ottenuto il consenso degli interessati alla cessione dei loro dati.
In tale prospettiva diviene quindi irrilevante, ed esula dall'oggetto dell'illecito contestato, la circostanza che poi i titolari dei dati ceduti siano stati effettivamente raggiunti da sms elettorali, in attuazione dell'incarico convenuto tra il cedente e la cessionaria, e tra quest'ultima e la subappaltatrice dell'incarico.
Il ricorso è fondato.
Preliminarmente deve essere disattesa l'eccezione di inammissibilità del ricorso formulata dalla controricorrente invocando la violazione dell'art. 366 bis c.p.c., per l'omessa formulazione da parte dell'Autorità ricorrente del quesito di diritto, atteso che, in ragione della data di pubblicazione del provvedimento impugnato, non può trovare applicazione la norma invocata, peraltro abrogata per effetto della legge n. 69/2009, e ciò in attuazione della disposizione transitoria di cui all'art. 47 co. 1 lett. d) della medesima legge.
Ed, invero, nel caso di specie la violazione contestata e ritenuta sussistente da parte del giudice di merito, che ha appunto rigettato l'opposizione in parte qua, concerne la cessione dei dati a soggetti terzi senza la previa informativa, e senza avere ottenuto il previo consenso, sicché la stessa prescinde poi dall'eventuale ricorrenza di una diversa violazione del codice della privacy, in ragione dell'utilizzo illegittimo dei dati, come nel caso di successivo invio di sms a finalità elettorali (in tal senso si veda Cass. n. 25079/2015, che ha ritenuto che costituisca violazione dell'art. 13 del d.lgs. n. 196 del 2003, interpretato in combinazione con le disposizioni di cui al provvedimento dell'Autorità garante per la protezione dei dati personali del 7 settembre 2005, cd. decalogo elettorale, l'invio, tramite sms sul telefono cellulare, di messaggi di propaganda elettorale non preceduti dalla prescritta preventiva informativa obbligatoria all'interessato, acquisibile anche "una tantum" attraverso il consenso espresso alla ricezione di chiamate o messaggi per le indicate e specifiche finalità, ravvisando quindi la violazione della norma in esame, non già in relazione alla previa informativa in merito al soggetto al quale i dati sono comunicati, ma in relazione al diverso profilo di cui alla lettera a) che concerne le specifiche finalità del trattamento).
In tale prospettiva diviene quindi irrilevante accertare se e quanti soggetti, le cui utenze telefoniche erano incluse nell'archivio della Cemit, siano stati effettivamente raggiunti da sms elettorali inviati dalla Buongiorno Marketing, attenendo tale aspetto ad una diversa ipotesi di violazione delle previsioni di cui al D. Lgs. n. 196/2003, non oggetto dell'ordinanza oggi impugnata, ma occorreva unicamente guardare al coinvolgimento, per effetto della cessione avvenuta difformemente dalle prescrizioni normative, ed al numero di soggetti interessati dal trasferimento dei dati e dal loro trattamento da parte del terzo.
Ne consegue che la valutazione di insussistenza della contestata aggravante è frutto di un'erronea applicazione della norma da parte del giudice di merito che, anziché guardare al numero dei soggetti, i cui dati erano interessati dalla cessione non autorizzata, ha preso in considerazione il diverso profilo del successivo trattamento ed utilizzo degli stessi dati per fini elettorali, attività questa che, come visto, ben può configurare una diversa violazione della medesima previsione di cui al citato art. 13.
Il ricorso deve quindi essere accolto e la sentenza deve essere cassata, con rinvio per un nuovo esame al Tribunale di Milano, in persona di diverso magistrato che provvederà anche sulle spese del presente giudizio.
P.Q.M.
La Corte, accoglie il ricorso, cassa il provvedimento impugnato con rinvio al Tribunale di Milano, in persona di diverso magistrato, anche per le spese del presente giudizio.
28-07-2017 22:20
Richiedi una Consulenza