Lo scorso 28 marzo, la Corte Suprema di Cassazione ha depositato l’ordinanza n. 9920, emessa il 16 febbraio 2022, con la quale si è pronunciata in merito alle attività promozionali e pubblicitarie, mediante l’invio di sms, effettuate da una società (la “Società”) al fine di acquisire il consenso al trattamento di dati personali per finalità di marketing da parte di destinatari che già in precedenza non lo avevano prestato o lo avevano deliberatamente ritirato. Il caso La vicenda ha avuto inizio con il provvedimento n. 437, emesso dall’Autorità Garante per la protezione dei dati personali in data 27 ottobre 2016 a seguito di svariate segnalazioni provenienti da soggetti privati. In particolare, i reclamanti, clienti della Società, lamentavano la ricezione di sms indesiderati, aventi contenuto promozionale, inviati dalla Società stessa, senza che questi avessero prestato consenso esplicito a tale trattamento. A seguito delle segnalazioni ricevute, il Garante Privacy decideva di effettuare accertamenti in loco presso la Società e, nel corso delle verifiche, constatava che suddetto tipo di attività di marketing aveva interessato sia clienti di nuova acquisizione, sia clientela già presente nella customer base della Società. La Società impugnava, quindi, il provvedimento del Garante Privacy davanti al Tribunale di Roma, il quale ne accoglieva le doglianze, ritenendo la fattispecie di invio di comunicazioni dirette ad acquisire il consenso esclusa dalle attività pubblicitarie o promozionali rientranti nell’art. 130, comma 1, del D.Lgs. 196/2003, come modificato dal D.Lgs. 101/2018 (“Codice Privacy”). Di conseguenza, la sentenza del Tribunale di Roma veniva impugnata per Cassazione dal Garante Privacy, il quale, a sua volta, contestava che l’invio di sms a utenti o contraenti, i cui dati personali erano stati trattati in assenza di consenso ab origine, al fine di acquisirne il consenso per svolgere attività di marketing, integrasse certamente un’attività illegittima. La decisione della Corte di Cassazione La Corte di Cassazione ha ritenuto fondato il motivo del Garante Privacy e ha precisato, in linea con l’orientamento dell’Autorità, che l’art. 130 del Codice Privacy, che disciplina le comunicazioni indesiderate tramite l’uso di sistemi automatizzati senza l’intervento di un operatore, prevede che il consenso debba essere richiesto non soltanto per l’invio di materiale o per la vendita diretta, ma anche per il semplice invio di generiche comunicazioni commerciali. Gli ermellini hanno, pertanto, precisato che, nel caso di specie, si fosse già in presenza di una comunicazione commerciale, dal momento che il consenso veniva richiesto per successive attività commerciali o promozionali ma il fine perseguito era il medesimo (in quanto la comunicazione si intende connessa e finalizzata all’invio di comunicazioni commerciali). La Corte si è poi soffermata sull’art. 130, comma 2, del Codice Privacy, chiarendo che la disposizione in esame si applica anche tramite l’invio, inter alia, di messaggi sms. La Corte ha altresì ribadito che, già in passato, si era giunti alla medesima conclusione in relazione a comunicazioni telefoniche volte a ottenere il consenso a fini di marketing da parte di soggetti che lo avevano già precedentemente negato o non lo avevano legittimamente e manifestamente prestato. Anche in tale caso, si era ritenuto che tali comunicazioni rientrassero comunque nella definizione di comunicazione commerciale e integrassero, pertanto, un’attività illegittima (Cass. Civ., sent. n. 11019/2021). In conclusione, con l’ordinanza in esame, la Corte di Cassazione ribadisce la ratio complessiva sottesa alla normativa in esame che induce a equiparare la mancanza di consenso degli utenti al dissenso. In ragione di ciò, la Corte arriva quindi a ritenere che, qualora il consenso non sia stato precedentemente prestato, lo stesso debba ritenersi come già negato al momento della stipulazione del contratto. Pertanto, qualsiasi successiva comunicazione commerciale volta ad acquisire il consenso al trattamento di dati personali per finalità di marketing dei medesimi utenti configura di per sé un trattamento illecito di dati in quanto non sorretta da apposita base giuridica (i.e. il consenso).