News

SUPREME COURT PRONOUNCES ON NEWSLETTERS AND PRIVACY

18/07/2018

With its decision no. 17278 of July 2, 2018, the Supreme Court condemns the increasingly widespread practice of websites sending advertising communications without the specific consent of the person concerned and recalls the rules for advertising on the web.

 

This decision settled a dispute that started back in 2014 following an order issued by the Data Protection Supervisor, which found that the processing of personal data for promotional purposes by a company specializing in the web services sector was unlawful, without the “free and specific” consent of the parties concerned. In particular, users of the site, in order to access web services (newsletters on finance, taxation, law and labor) had to register by providing their email and give general consent to the processing of personal data. The information, however, was made accessible only through a link to a different web page which clarified that the data was used not only for the provision of the service but also for “the sending of promotional communications and commercial information by third parties. In the absence of consent the user could not use the service”.

Following the opposition of the company inhibited by the Guarantor, the Court of Arezzo acknowledged that consent had been legitimately given also for promotional purposes, not providing for the additional legal obligations inferred from the guidelines of the Guarantor.

The Supreme Court, with the recent decision mentioned above, in accepting the appeal of the Guarantor, has instead recognized illegitimate behavior by the company of web services, pointing out that, with regard to personal data, one must refer to a notion of informed consent which “does not admit compressions of any kind and does not tolerate being disturbed even if marginally, not only as a result of error, violence or fraud, but also as a result of the whole range of possible disorientation, stratagems, opacity, subterfuges, unfairness, duplicity or malice however adopted by the data controller”. The Court also reiterates that consent must be free and specific, requiring an indication of the sectors of goods or services to which the advertising messages relate.

The Court further adds that a condition may be regarded as being satisfied if the service offered by the operator of the website is impracticable and indispensable for the person concerned.

Finally, the Supreme Court has provided the following principle of law: “in terms of the processing of personal data, the provision of Article 23 of the Privacy Code, in establishing that consent is validly given only if expressed freely and specifically with reference to a clearly identified processing, allows the operator of a website, which provides a fungible service, which the user can give up without serious sacrifice (in this case newsletters on issues related to finance, taxation, law and labor) to make the provision of the service conditional upon the processing of the data for advertising purposes, provided that the consent is given individually and unequivocally to such effect, which also implies the need, at least, to indicate the sectors of goods or services to which the advertising messages will refer”.


SUPREME COURT PRONOUNCES ON NEWSLETTERS AND PRIVACY

18/07/2018

With its decision no. 17278 of July 2, 2018, the Supreme Court condemns the increasingly widespread practice of websites sending advertising communications without the specific consent of the person concerned and recalls the rules for advertising on the web.

 

This decision settled a dispute that started back in 2014 following an order issued by the Data Protection Supervisor, which found that the processing of personal data for promotional purposes by a company specializing in the web services sector was unlawful, without the “free and specific” consent of the parties concerned. In particular, users of the site, in order to access web services (newsletters on finance, taxation, law and labor) had to register by providing their email and give general consent to the processing of personal data. The information, however, was made accessible only through a link to a different web page which clarified that the data was used not only for the provision of the service but also for “the sending of promotional communications and commercial information by third parties. In the absence of consent the user could not use the service”.

Following the opposition of the company inhibited by the Guarantor, the Court of Arezzo acknowledged that consent had been legitimately given also for promotional purposes, not providing for the additional legal obligations inferred from the guidelines of the Guarantor.

The Supreme Court, with the recent decision mentioned above, in accepting the appeal of the Guarantor, has instead recognized illegitimate behavior by the company of web services, pointing out that, with regard to personal data, one must refer to a notion of informed consent which “does not admit compressions of any kind and does not tolerate being disturbed even if marginally, not only as a result of error, violence or fraud, but also as a result of the whole range of possible disorientation, stratagems, opacity, subterfuges, unfairness, duplicity or malice however adopted by the data controller”. The Court also reiterates that consent must be free and specific, requiring an indication of the sectors of goods or services to which the advertising messages relate.

The Court further adds that a condition may be regarded as being satisfied if the service offered by the operator of the website is impracticable and indispensable for the person concerned.

Finally, the Supreme Court has provided the following principle of law: “in terms of the processing of personal data, the provision of Article 23 of the Privacy Code, in establishing that consent is validly given only if expressed freely and specifically with reference to a clearly identified processing, allows the operator of a website, which provides a fungible service, which the user can give up without serious sacrifice (in this case newsletters on issues related to finance, taxation, law and labor) to make the provision of the service conditional upon the processing of the data for advertising purposes, provided that the consent is given individually and unequivocally to such effect, which also implies the need, at least, to indicate the sectors of goods or services to which the advertising messages will refer”.


CORTE DI CASSAZIONE IN MATERIA DI NEWSLETTER E PRIVACY

18/07/2018

La Suprema Corte, con la decisione n. 17278 del 2 luglio 2018,                    condanna la pratica sempre più diffusa da parte dei siti web di inviare comunicazioni pubblicitarie in assenza di specifico consenso dell’interessato e ricorda le regole per l’advertising sul web.

 

La citata decisione ha definito un contenzioso partito nel 2014 a seguito di un provvedimento del Garante per la protezione dei dati personali che aveva ritenuto illegittimo il trattamento di dati personali per finalità promozionali da parte di una società specializzata nel settore di servizi web senza aver raccolto il consenso «libero e specifico» degli interessati. In particolare, gli utenti del sito, per poter accedere ai servizi web (newsletter su finanza, fisco, diritto e lavoro) dovevano registrarsi fornendo la propria email e prestare un generico consenso al trattamento dei dati personali. L’informativa tuttavia veniva resa accessibile solamente tramite un link che rinviava ad una diversa pagina web in cui si chiariva che i dati venivano utilizzati non solo per la fornitura del servizio ma anche per “l’invio di comunicazioni promozionali nonché informazioni commerciali da parte di terzi”. In mancanza di consenso l’utente non poteva fruire del servizio.

A seguito di opposizione della società inibita dal Garante, il Tribunale di Arezzo riconosceva che il consenso era stato legittimamente prestato anche per le finalità promozionali, non prevedendo la legge gli ulteriori obblighi dedotti dalle linee guida del Garante.

La Suprema Corte, con la recente decisione sopra menzionata, in accoglimento del ricorso del Garante, ha invece riconosciuto illegittimo il comportamento posto in essere dalla società di servizi web, evidenziando che, con riguardo ai dati personali, si deve fare riferimento ad una nozione di consenso informato tale “da non ammettere compressioni di alcun genere e non sopporta di essere sia pure marginalmente perturbato non solo per effetto di errore, violenza o dolo, ma anche per effetto de l’intero ventaglio di possibili disorientamenti, stratagemmi, opacità, sotterfugi, slealtà, doppiezze o malizie comunque adottate dal titolare del trattamento”. La Corte ribadisce inoltre che il consenso deve essere libero e specifico, richiedendo l’indicazione dei settori merceologici o dei servizi cui i messaggi pubblicitari sono riferiti.

La Corte aggiunge inoltre che può ritenersi sussistente un condizionamento se la prestazione offerta dal gestore del sito Internet sia infungibile ed irrinunciabile per l’interessato.

Infine, la Suprema Corte ha fornito il seguente principio di diritto: “in tema di trattamento dei dati personali, la previsione dell’articolo 23 del Codice della privacy, nello stabilire che il consenso è validamente prestato solo se espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, consente al gestore di un sito internet, il quale somministri un servizio fungibile, cui l’utente possa rinunciare senza gravoso sacrificio (nella specie servizio di newsletter su tematiche legate alla finanza, a fisco, al diritto e al lavoro), di condizionare la fornitura del servizio al trattamento dei dati per finalità pubblicitarie, sempre che il consenso sia singolarmente ed inequivocabilmente prestato in riferimento a tale effetto, il che comporta altresì la necessità, almeno, dell’indicazione dei settori merceologici o dei servizi cui i messaggi pubblicitari saranno riferiti”.


CJE: JEHOVAH WITNESSES MUST ALSO COMPLY WITH DATA PROTECTION LEGISLATION

12/07/2018

With the decision of July 10, in case C-25/17, the Court of Justice has expressed itself on the protection of personal data in the context of door-to-door preaching by the Jehovah’s Witnesses Community.

 

On September 17, 2013, the Finnish Data Protection Commission (tietosuojalautakunta) prohibited the religious community of Jehovah’s Witnesses to collect or process personal data, as part of door-to-door preaching, unless the requirements of the relevant Finnish legislation are met to the processing of such data.

In the context of the proceedings initiated by the Finnish Data Protection Supervisor (tietosuojavaltuutettu) following the abovementioned refusal, the Finnish Supreme Administrative Court (Korkein hallinto-oikeus) referred a question to the Court for a preliminary ruling on whether the religious community is obliged to comply with Community legislation on the protection of personal data in the exercise of door-to-door preaching.

In its recent ruling, the Court of Justice held, first, that the activity of door-to-door preaching of members of the Jehovah’s Witness Community does not constitute an exclusively personal or domestic activity and, therefore, does not fall within the exceptions provided for by EU law on the protection of personal data.

The Court also clarified that the rules on the protection of personal data apply to the manual processing of data only where they are stored in a file. In this respect, the Court concluded that ‘the notion of ‘file’ includes any set of personal data collected during a door-to-door preaching activity and containing names, addresses and other information relating to the persons contacted door-to-door, since such data are structured according to specific criteria which allow, in practice, for easy retrieval for subsequent use’.

Furthermore, the Court also clarified that the rules on personal data protection apply to the manual processing of data only if they are stored in an archive. In this regard, the Court concluded that “the notion of «filing system» covers a set of personal data collected in the course of door-to-door preaching activity, consisting of the names and addresses and other information concerning the persons contacted, if such data is structured according to specific criteria which, in practice, enable it to be easily retrieved for subsequent use“.

Finally, the Court addressed the question of who can, in the specific case in question, be considered as a controller of personal data. The CJU, having recalled that the notion of ‘controller’ may cover several actors involved in the processing, each of whom must therefore be subject to the rules of Union law on the personal data protection, therefore concluded that Union law on the protection of personal data “allows a religious community to be considered, together with his preacher members, as controller for the processing of personal data carried out by them in the course of a door-to-door preaching activity organized, coordinated and encouraged by that community, without it being necessary for that community to have access to that data or for it to be demonstrated that it has given its members written instructions or directions in relation to those processing operations”.

For the full text of the judgment:

http://curia.europa.eu/juris/document/document.jsf?docid=203822&mode=lst&pageIndex=1&dir=&occ=first&part=1&text=&doclang=IT&cid=509006


CGE: ANCHE I TESTIMONI DI GEOVA DEVONO RISPETTARE LA NORMATIVA VOLTA ALLA TUTELA DEI DATI PERSONALI

12/07/2018

Con la decisione del 10 luglio nella causa C-25/17 la Corte di Giustizia si è espressa sulla tutela dei dati personali nell’ambito dell’attività di predicazione porta a porta da parte della comunità religiosa dei testimoni di Geova.

 

Il 17 settembre 2013 la Commissione finlandese (tietosuojalautakunta) per la protezione dei dati ha vietato alla comunità religiosa dei testimoni di Geova di raccogliere o trattare dati personali, nell’ambito dell’attività di predicazione porta a porta, salvo che siano rispettati i requisiti della normativa finlandese relativi al trattamento di tali dati.

Nell’ambito del procedimento avviato dal Garante della protezione dei dati finlandese (tietosuojavaltuutettu) a seguito del predetto diniego, la Corte amministrativa suprema finlandese (Korkein hallinto-oikeus) ha presentato domanda di pronuncia pregiudiziale al fine di accertare se la comunità religiosa sia tenuta, nell’esercizio dell’attività di predicazione porta a porta, a rispettare la normativa comunitaria in materia di protezione dei dati personali.

Nella sentenza in commento, la Corte di Giustizia ha ritenuto in primis che l’attività di predicazione porta a porta dei membri della comunità dei testimoni di Geova non costituisce un’attività esclusivamente personale o domestica e quindi non rientra tra le eccezioni previste dal diritto dell’Unione in materia di protezione dei dati personali.

La Corte ha poi chiarito che le norme in materia di protezione dei dati personali si applicano al trattamento manuale dei dati solo nel caso in cui questi vengano conservati in un archivio. Al riguardo, la Corte ha concluso che “la nozione di «archivio» include ogni insieme di dati personali raccolti nell’ambito di un’attività di predicazione porta a porta e contenente nomi, indirizzi e altre informazioni riguardanti le persone contattate porta a porta, dal momento che tali dati sono strutturati secondo criteri specifici che consentono, in pratica, di recuperarli facilmente per un successivo impiego”.

Infine la Corte ha affrontato la questione di chi possa, nella peculiare fattispecie in parola, essere considerato responsabile del trattamento dei dati personali. La CGE, dopo aver ricordato che la nozione di «responsabile del trattamento» può riguardare più soggetti che partecipano al trattamento, ognuno dei quali deve essere quindi assoggettato alle norme del diritto dell’Unione in materia di protezione dei dati personali, ha quindi concluso che il diritto dell’Unione in materia di protezione dei dati personali “consente di considerare una comunità religiosa, congiuntamente ai suoi membri predicatori, quale responsabile del trattamento dei dati personali effettuato da questi ultimi nell’ambito di un’attività di predicazione porta a porta organizzata, coordinata e incoraggiata da tale comunità, senza che sia necessario che detta comunità abbia accesso a tali dati o che si debba dimostrare che essa ha fornito ai propri membri istruzioni scritte o incarichi relativamente a tali trattamenti”.

Per il testo integrale della sentenza:

http://curia.europa.eu/juris/document/document.jsf?docid=203822&mode=lst&pageIndex=1&dir=&occ=first&part=1&text=&doclang=IT&cid=509006