Non si può sottoscrivere un servizio se l’utente non sottoscrive il trattamento dei dati personali e soprattutto se non vi è prova che lo voglia
L’ordinanza della Corte di Cassazione n. 27554/2021 conferma la sanzione amministrativa irrogata a una società telefonica, che aveva attivato un servizio non richiesto e senza il consenso dell’utente al trattamento dei dati. La società si era difesa asserendo che vi fosse stato un fraintendimento tra utente e operatore in merito all’oggetto di controversia.
La vicenda: l’utente non aveva prestato il consenso
Un utente segnala al Garante Privacy l’avvenuta attivazione da parte di una società telefonica di un servizio non richiesto, certamente sprovvisti di consenso sia all’attivazione che al trattamento dei dati personali. Il Garante pertanto, chiede l’acquisizione della registrazione vocale della telefonata, che l’azienda non è in grado però di fornire in quanto asserirebbe che l’attivazione di quella particolare opzione non prevede un assenso vocale e che la chiamata è una registrazione di “richiesta di informazioni amministrative.”
Il Garante sanziona quindi la società perché dall’istruttoria è emerso che l’utente non ha dato il proprio consenso all’attivazione del servizio e che il trattamento dei dati è avvenuto illecitamente, in violazione del principio di correttezza e in assenza di uno dei presupposti di cui agli articoli 23 e 24 del Codice della privacy.
In causa: il Tribunale da ragione all’utente
Per il Tribunale non è provato che il trattamento dei dati sia riconducibile a un fraintendimento di utente e operatore, inoltre non si può in alcun modo prescindere dall’obbligo di informare previamente l’utente ai fini del consenso, altrimenti l’acquisizione dei dati diverrebbe un trattamento illecito e contrario alla tutela dei dati stessi, comportamento del quale la società è direttamente responsabile.
In Cassazione
La società si rivolge quindi alla Corte di Cassazione sollevando le seguenti doglianze:
- La prima contesta l’errata equiparazione di due fattispecie diverse ossia l’illecito trattamento per mancata acquisizione del consenso e trattamento dei dati personali avvenuto per errore;
- La sconda l’erroneità della sentenzache ha ritenuto illecito il trattamento per mancata acquisizione del consenso. Se un consenso è illecito non si può ritenere che vi sia la violazione di altri adempimenti come l’acquisizione del consenso.La Cassazione, dopo aver trattato congiuntamente i due motivi del ricorso, lo rigetta per le seguenti ragioni. Per la Cassazione i dati personali devono: devono essere trattati in modo lecito e corretto; raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi; devono essere esatti e aggiornati; devono essere completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati; essere conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.
LEGGI ANCHE: Telefonate insistenti di telemarketing: no se c’é opposizione
Conclusioni
Per la Corte la società confonde evidentemente due fattispecie diverse e spiega che “dell’illiceità del trattamento dei dati, conseguente al mancato assolvimento da parte del titolare del trattamento – anche mediante persona a ciò delegata – dell’onere di previa informativa e di acquisizione del consenso (allo specifico trattamento dei dati).”
Il presunto fraintendimento asserito dalla Società è quindi un argomento irrilevante rispetto alle modalità con cui deve avvenire il trattamento lecito dei dati e che la ricorrente non ha illustrato perché nel caso trattato è mancante del tutto.
