Responsabile l’impresa per cessione di banche dati a fini elettorali senza il consenso

Avv. Flaviano Sanzari

La Corte di Cassazione Civile, con la sentenza n. 18619/2017, è intervenuta sul tema della responsabilità delle imprese nel caso di cessione di banche dati per fini elettorali senza consenso ed informativa privacy, ritenendo in particolare applicabile l’aggravante prevista dall’art. 164 bis del Codice privacy anche nel semplice caso di acquisizione della banca dati, non rilevando ai fini della sanzione amministrativa che i soggetti presenti nel data base non siano stati poi successivamente raggiunti da sms elettorali.

Nel caso di specie, un’azienda (A) aveva commissionato ad altra azienda (B) la realizzazione di una campagna pubblicitaria mediante l’invio di sms ad un data base di anagrafiche appartenente ad una terza azienda (C), che era titolare del trattamento.

L’azienda B si era poi rivolta ad un’altra azienda (D), incaricandola dell’invio dei messaggi ai destinatari dell’archivio e aveva nominato una dipendente di quest’ultima società responsabile del trattamento.

Il Garante per la protezione dei dati personali aveva irrogato nel caso in esame una sanzione amministrativa di 64.000 euro alla società B per avere ceduto a terzi (la società D) dati presenti in un data base, in mancanza di specifico consenso degli interessati ai sensi dell’artt. 13 e 23 del Codice privacy.

L’azienda impugnava l’ordinanza del Garante privacy di fronte al Tribunale di Milano. Il Tribunale accoglieva in parte, con la sentenza n. 1748 del 5 febbraio 2014 e rideterminava la sanzione del Garante privacy di 64.000 euro a 20.000 euro, compensando integralmente le spese di lite.

Il Tribunale di Milano osservava come la sopra citata designazione a responsabile del trattamento non rendeva conformi i trattamenti di dati effettuati, in quanto la nomina non era stata effettuata, come richiesto dalla normativa, dalla società C titolare del trattamento, ma era stata effettuata direttamente dall’impresa B, la quale non era stata tuttavia autorizzata a cedere a sua volta a terzi i dati presenti nell’archivio della prima società.

Il Tribunale confermava la sanzione amministrativa del Garante privacy ma riteneva di escludere l’aggravante prevista dall’art. 164 bis del D.Lgs. 196 del 2003, che prevede l’aggravamento delle sanzioni in ipotesi in cui la violazione coinvolga numerosi interessati.

Secondo il Tribunale di Milano, alla luce dell’istruttoria era stato accertato esclusivamente il numero di utenze presenti nel database (oltre 200.000) ma non il numero dei soggetti effettivamente risultanti destinatari degli sms elettorali inviati dalla società B.

Il Tribunale ha, così, ridotto l’importo della sanzione da 64.000 a 20.000 euro, di cui 8.000 euro per violazione dell’art.13 (Omessa e inidonea informativa) e 8.000 euro per la violazione dell’art 23 (consenso al trattamento dei dati).

Il Tribunale ha optato per una riduzione dell’importo della sanzione amministrativa alla luce della limitata rilevanza economica del contratto tra C e B, della mancanza di precedenti violazioni in tema di trattamento di dati personali, delle condizioni economiche dell’agente. Secondo il Tribunale, la violazione del trattamento dei dati è di modesta gravità, in considerazione dell’assenza di prova circa l’effettivo numero di utenti raggiunti dagli sms.

Il Garante per la protezione dei dati personali proponeva ricorso in Cassazione contro la sentenza e rappresentava, ai sensi dell’art. 360, primo comma, del cpc, la violazione e falsa applicazione degli artt. 13, 23 e 164 bis, terzo comma del Codice della Privacy.

Secondo la Cassazione, la circostanza rilevata dal Tribunale di Milano, per cui non vi sarebbe stata prova del numero di soggetti presenti nel data base raggiunti dagli sms elettorali, è irrilevante ai fini della sanzione amministrativa contestata.

Secondo la Cassazione, la valutazione del Tribunale di Milano di insussistenza dell’aggravante prevista dall’art. 164 bis del Codice del Privacy è quindi erronea.

Il Tribunale di Milano non si è infatti focalizzato sulla cessione non autorizzata di dati, ma sul successivo trattamento di dati ed utilizzo per fini elettorali, che configurano altre violazione della normativa sulla protezione dei dati.

La Cassazione ha pertanto accolto il ricorso, ha cassato il provvedimento impugnato e ha rinviato la decisione al Tribunale di Milano, in persona di diverso magistrato.

La sentenza in esame è di interesse per gli operatori e le imprese, che dovranno pertanto ripensare e rimodulare i propri trattamenti di dati alla luce della normativa privacy ed anche alla luce dell’inasprimento delle sanzioni previste dal nuovo regolamento privacy europeo (sanzioni fino a 10-20 milioni di euro o percentuali del 2/4% del fatturato se superiori).