PILL n. 6 – 2018

05/07/2018

KEY WORDS: Privacy, specificità del consenso, Sentenza Cassazione n. 17278/2018

1.  Premessa

In data 2 luglio 2018, con sentenza n.17278 del 2018, la Suprema Corte ha fornito chiare indicazioni in materia di tutela dei Dati Personali riguardo l’attività che, in alcuni casi, si cela dietro la semplice iscrizione al servizio della newsletter offerto tramite il portale della società, consistente nell’inoltro di ulteriori informazioni commerciali ( anche da parte dei terzi) gli utenti iscritti al servizio. In discussione è l’art. 23 dell’attuale Codice della Privacy; articolo che anche alla luce del Regolamento EU 679/2016 ( “ GDPR “) – più volte richiamato nella suddetta sentenza – rimane comunque di fondamentale importanza per la protezione dei dati personali.

2. Inquadramento normativo

Con il comunicato stampa del Consiglio dei Ministri n.75 del 21 marzo 2018, è stato chiarito il destino del Decreto legislativo 30 giugno 2003 n. 196 ( Codice Privacy) a seguito dell’entrata in vigore del GDPR il 25 maggio 2018. In particolare, è stato deciso di non abrogare il richiamato Codice, prevedendone piuttosto l’armonizzazione del contenuto della disciplina del GDPR. Questo breve excursus storico concorre ad inquadrare la commentata sentenza nell’ambito del framework normativo oggi esistente relativamente alla sua continuità interpretativa rispetto alla Direttiva 45/96/CE. Infatti, nell’attuale quadro normativo per la protezione dei dati personali, rappresentato dal GDPR, è prevista comunque la necessità di raccogliere uno specifico consenso al fine di svolgere e/o prestare determinati servizi principali o accessori. In questo consenso il GDPR pone l’accento sulla liceità del trattamento dei dati che deriva, tra l’altro, anche dalla raccolta del consenso “ consapevole” degli interessati e quindi a sua volta lecitamente raccolto..

3. Specificità del consenso 

Il ricorso oggetto di pronuncia da parte della  Corte di Cassazione evidenzia che il consenso non può essere assolutamente “ generale”, inteso come consenso unico per più finalità tra loro non affini. Diversamente il consenso deve essere “ informato” ossia diretto a far conoscere all’interessato le finalità e gli effetti di quanto accettato. Come tale, detto consenso “ non consente compressioni di alcun genere e non sopporta di essere perturbato per effetto di errore, dolo, violenza ma neppure da stratagemmi , sotterfugi, slealtà, doppiezze o malizie adottate dal titolare del trattamento”. Il consenso per essere lecito e legittimo come anche ribadito nella sentenza in narrativa deve essere prestato intendendo come “ qualsiasi manifestazione  di volontà libera, specifica, informata ed inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.

Se ne deduce, quindi, che se il consenso comporta una pluralità di effetti, va prestato in riferimento a ciascuno di essi. 

La Suprema Corte abbraccia pienamente il nuovo dettato europeo, stabilendo il principio di liceità “ in tema di trattamento dei dati personali” ( cfr. anche l’attuale art.23 del Codice della Privacy) che il consenso è validamente prestato solo se espresso liberamente e specificatamente in riferimento ad un trattamento ben individuato. Pertanto, solo sulla base di un tale consenso lecitamente raccolto, il titolare potrà provvedere all’erogazione dei servizi per cui l’interessato/utente ha manifestato la propria libera volontà “ informata” al trattamento dei propri dati personali.

L’art. 7, comma 4 del GDPR stabilisce che “ nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto”.

Per quanto  appena esposto è chiaro che il consenso oltre che libero, si pone in stretto collegamento con quello della libertà di determinazione, consentendo l’utilizzo dei dati solo ed esclusivamente per gli scopi per cui sono stati raccolti. In estrema sintesi, la limitazione che si evince dal contenuto della sentenza de quo concerne  esclusivamente il divieto di utilizzo ( rectius, trattamento) dei dati personali per fornire servizi o attività ( nel caso di specie informazioni pubblicitarie) a colui che non abbia liberamente ed espressamente manifestato la volontà di riceverli, essendone informato.

 

PILL n. 4 – 2018

25/05/2018

KEY WORDS: Banche, BCE, Tribunale UE, Direttiva 2013/36/UE

In data 24 aprile 2018, il Tribunale dell’Unione europea si è pronunciato sulle cause riunite da T-133 a T-136/16, che vedevano contrapposti quattro enti creditizi appartenenti al gruppo bancario francese Crédit agricole, e la Banca centrale europea.

Alla base della vicenda vi è il rifiuto da parte della BCE a consentire che i ruoli di “dirigente effettivo” e di presidente del consiglio di amministrazione venissero affidati dalle banche interessate in capo ad un medesimo soggetto. A fronte di tale decisione, le banche – dopo essersi rivolte senza successo alla Commissione amministrativa del riesame – avevano presentato ricorso davanti al Tribunale dell’Unione chiedendone l’annullamento. Con la sentenza in esame, il giudice ha rigettato la domanda, e confermato il provvedimento della BCE.

Nella vicenda, la BCE sosteneva  l’incompatibilità della funzione di governance spettante al presidente del consiglio di amministrazione con la nomina a “dirigente effettivo”, nozione, quest’ultima, che ricomprende i ruoli di amministratore delegato, membro del comitato esecutivo, nonché la figura del directeur général/direttore generale (sia esso membro o meno del Cda). Secondo la BCE – che sul punto richiamava il disposto dell’art. 88, par. 1, lett. e) della Direttiva 2013/36/UE – deve sussistere, in linea di principio, una separazione tra l’esercizio delle funzioni esecutive e di quelle non esecutive in seno all’organo di gestione di una banca.

Di contro, gli enti creditizi contestavano non tanto la situazione di incompatibilità invocata dalla Banca centrale, quanto l’errata interpretazione del significato di “dirigente effettivo” ai sensi della normativa francese ed europea, eccependo che detta nozione non avrebbe incluso membri della “dirigenza” aventi funzioni esecutive, e che, pertanto, il divieto di cui all’art. 88, par. 1, lett. e) non avrebbe dovuto trovare applicazione nel caso di specie.

Il Tribunale, come anticipato, ha rigettato la richiesta dei ricorrenti, confermando la nozione di “dirigente effettivo” fornita dalla BCE. Il Tribunale afferma che il legislatore europeo, con il disposto dell’art. 88, par. 1, lett. e), Direttiva 2013/36/UE, vuole garantire una supervisione efficace da parte dei membri non esecutivi dell’organo di gestione sui dirigenti aventi ruoli esecutivi negli enti creditizi. Per tale via, il giudice ribadisce il divieto di cumulo del ruolo di presidente dell’organo di gestione e di dirigente incaricato della direzione dell’attività della banca, onde scongiurare che le funzioni di vigilanza del presidente possano essere venire inficiate dal doppio ruolo assunto all’interno nella  gestione dell’ente (salvo il solo caso in cui vi sia un’espressa autorizzazione rilasciata dalle autorità competenti).

La decisione, inoltre, mette in luce un ulteriore profilo, estremamente interessante: la BCE, nel momento in cui invoca la corretta interpretazione del Code monétaire et financier, per la prima volta nel corso del suo operato applica non soltanto il diritto UE, ma anche il diritto di uno Stato membro di recepimento della disciplina europea. Quanto osservato rappresenta una novità impossibile da ignorare.