With the judgment n. 18619 dated 27^th July 2017, the Supreme Court of Cassation addressed the matter of a database transfer containing personal data without the provision of adequate information to and the consent by the data subjects. The Court has therefore confirmed that the aggravating set forth by art. 164 bis of the Legislative Decree n. 196/2003 is applicable notwithstanding the actual usage of the data acquired.

IL FATTO:

Il caso è stato portato all’attenzione della Suprema Corte dalla stessa Autorità Garante per la protezione dei Dati Personali (il “Garante”), a seguito di una vicenda che aveva visto la società titolare del trattamento di una banca dati comprensiva di oltre duecentomila utenze telefoniche commissionare ad una società esterna (la Società Alfa) la realizzazione di una campagna pubblicitaria a fini elettorali da effettuarsi mediante l’invio di sms alle predette utenze. La società Alfa, pur non essendo stata nominata responsabile del trattamento ai sensi della normativa vigente, aveva poi comunicato i dati contenuti nell’archivio ad una terza azienda, incaricata dell’invio dei messaggi, venendo per questo motivo pesantemente sanzionata dal Garante per violazione degli artt. 13 e 23 del Codice, ovverosia degli obblighi previsti in materia di informativa e raccolta del consenso.

Società Alfa aveva quindi proposto opposizione avverso la sanzione innanzi al Tribunale di Milano, il quale, con sentenza n. 1748 del 5 febbraio 2014, aveva sì riconosciuto sussistenti le violazioni contestate in capo a Società Alfa, ma aveva ridotto di più di un terzo l’ammontare della stessa (da euro 64.000 a 20.000), ritenendo inapplicabile al caso di specie l’aggravante prevista dall’art. 164 bis del Codice, che prevede l’aggravamento delle sanzioni per l’ipotesi in cui la violazione coinvolga numerosi interessati. Tale decisione veniva motivata sulla base del fatto che dall’istruttoria non era emerso l’effettivo numero di utenti raggiunti dagli sms elettorali e di conseguenza bisognava considerare la violazione perpetrata da Alfa di modesta gravità. Il giudice di merito aveva inoltre avuto riguardo nella rideterminazione della somma della limitata rilevanza economica del contratto intercorso tra le due società, dell’assenza a carico dell’autore della violazione di precedenti violazioni delle disposizioni in tema di trattamento dei dati personali, nonché delle condizioni economiche dell’agente.

Il Garante aveva quindi proposto ricorso per Cassazione avverso alla sentenza del Tribunale, lamentando l’erronea disapplicazione dell’aggravante di cui all’art. 164 bis del Codice a fronte delle violazioni contestate.

Gli ermellini hanno ritenuto fondato il ricorso formulato dal Garante, e, dopo aver fatto presente che oggetto della sanzione era la “cessione non autorizzata del database” in assenza di preventiva informativa e del consenso degli interessati alla cessione dei loro dati, e non il successivo utilizzo delle utenze, hanno affermato che “diviene quindi irrilevante, ed esula dall’oggetto dell’illecito contestato, la circostanza che poi i titolari dei dati ceduti siano stati effettivamente raggiunti da sms elettorali”.

Per questo motivo la Cassazione, ha cassato la sentenza impugnata, rinviando la decisione al Tribunale di Milano.

PERCHÉ È IMPORTANTE:

Con la pronuncia in esame la Suprema Corte accoglie le ragioni avanzate dal Garante della Privacy, riconoscendo che ai fini dell’applicazione dell’aggravante di cui all’art. 164 bis, c.3 del Codice in ipotesi di trasferimento di banca dati in assenza di consenso ed in violazione degli obblighi di informativa è sufficiente la potenzialità del coinvolgimento di più soggetti interessati, a nulla rilevando l’effettivo utilizzo dei dati illecitamente ottenuti, attività questa che, ben potrà configurare una diversa ed ulteriore violazione della medesima previsione di cui al citato art. 13.

È d’obbligo sottolineare, inoltre, come la pesante sanzione avrebbe potuta essere evitata mediante la predisposizione da parte dell’originario titolare della banca dati di un apposito atto di nomina a responsabile nei confronti di Società Alfa. Tale strumento, qualora redatto nel pieno rispetto della normativa vigente, grazie anche alla collaborazione con professionisti di comprovata esperienza in materia di data protection, risulta indispensabile per la definizione dell’ambito di responsabilità degli operatori coinvolti in caso di outsourcing di servizi.