Attivare contratti di fornitura indesiderati viola la privacy dell’utente

Per altro ora con la fine del mercato tutelato se una persona non ha scelto un nuovo gestore verrà passata automaticamente al nuovo scelto da Arera. Per la CEDU cedere i dati del cliente al nuovo gestore senza il suo espresso e consapevole consenso è una violazione della sua privacy ex art.8 Cedu.

È quanto deciso dalla Vlaisavljevikj c. Macedonia del Nord (ric. 23215/21) del 25 giugno. Il ricorrente vive in un palazzo fornito di teleriscaldamento e «nel 2016 ha presentato un reclamo alla Direzione per la protezione dei dati personali contro il gestore B. per violazione del suo diritto alla protezione dei suoi dati personali. Nonostante il fatto che nel suo appartamento non fossero stati installati tubi di riscaldamento e che egli non avesse mai stipulato alcun contratto con esso, il fornitore di calore B. gli inviava fatture per il costo fisso, che egli si era rifiutato di pagare e aveva contestato in tribunale. Egli ha dedotto a sostegno due sentenze di primo grado del 1° dicembre 2014 e del 17 settembre 2015, con le quali i giudici civili avevano accolto le obiezioni del ricorrente a talune ingiunzioni di pagamento emesse su richiesta del fornitore di calore B. Egli ha affermato di non aver mai fornito al fornitore di calore B. i suoi dati personali, né di aver acconsentito al loro trattamento (neretto, nda).

Il Garante ha respinto le sue pretese sostenendo che erano di natura patrimoniale e non riguardavano violazioni delle Convenzioni 108 e 108+ sulla tutela della privacy (nonché del GDPR), decisione confermata dall'Alta Corte amministrativa: i dati servivano per la fatturazione delle utenze, perciò la loro raccolta, conservazione ed il loro trattamento erano leciti. Per il TAR invece c'era stata una violazione della privacy in quanto i dati risultavano rubati od usati illecitamente dato che non solo non aveva allacciata la fornitura, ma non aveva mai prestato il consenso informato né alla sottoscrizione dell'utenza con entrambi i gestori né all'uso dei suoi dati personali.

Necessario il consenso dell'utente per usare i suoi dati per inviare le bollette. È questo il nocciolo di un'annosa questione che affligge molti consumatori, seppure la sentenza si concentri solo sulla violazione della privacy. Molti vengono costantemente “bombardati” da telefonate moleste di vari gestori per sottoscrivere contratti di utenza e questi molte volte, per una loro svista, si trovano attivati contratti indesiderati trovandosi vincolati a pagarli. Il ricorrente non era stato contattato telefonicamente dal primo operatore né gli aveva inviato materiale promozionale e malgrado le cause ha continuato a ricevere le bollette per altri 8 anni. Orbene la CEDU «ribadisce che il diritto alla protezione dei dati personali è garantito dal diritto al rispetto della vita privata ai sensi dell'articolo 8. L'articolo 8 prevede quindi il diritto a una forma di autodeterminazione informativa, che consente alle persone fisiche di far valere il loro diritto alla vita privata per quanto riguarda i dati che, sebbene neutrali, sono raccolti, trattati e diffusi collettivamente e in una forma o in un modo tale che i loro diritti di cui all'articolo 8 possano essere esercitati. Nel determinare se le informazioni personali conservate dalle autorità riguardassero aspetti di vita privata, essa ha tenuto debitamente conto del contesto specifico in cui le informazioni di cui trattasi sono state registrate e conservate, della natura delle registrazioni, del modo in cui tali registrazioni sono utilizzate e trattate e dei risultati che possono essere ottenuti» (L.B. c. Ungheria [GC] del 9/3/23 per le norme internazionali sul tema).

È irrilevante che i dati in questione (dati dell'appartamento, metratura, indirizzo, nome del proprietario messo come intestatario dell'utenza “fantasma” etc.) fossero contenuti nei pubblici registri del catasto, non fossero stati ceduti da B. a terzi ma usati solo per la fatturazione delle utenze: il ricorrente non aveva prestato nessun consenso consapevole, libero ed informato al loro uso e non si capisce come entrambi i gestori che si sono succeduti ne siano entrati in possesso. La prassi recente e costante della CEDU sulla materia, in linea con quella della CGUE, è molto chiara nel considerare trattamenti illeciti tutti quelli eseguiti senza il consenso informato dell'interessato : deve essere espresso, perciò le telefonate, suonare il campanello, con la scusa che i dati sono pubblici (citofono, elenchi telefonici, dati in ogni caso accessibili etc.), inserire nei siti web diciture “ se consulti il nostro sito automaticamente presti il consenso all'uso dei tuoi dati” o simili non costituiscono autorizzazioni valide al loro impiego se non fornite espressamente, in modo consapevole ed informato, dagli interessati (Satakunnan Markkinapörssi Oy e Satamedia Oy c. Finlandia [GC] del 27/6/27, Testimoni di Geova c. Finlandia nel quotidiano del 9/5/23). C'è stata perciò una violazione della privacy, che, per altro, darebbe diritto anche al risarcimento per danno immateriale come recentemente codificato dalla CGUE (EU:C:2024:531 e 536 nel quotidiano del 21/6/24). Al ricorrente è stato liquidato un discreto risarcimento danni anche dalla CEDU.

Lo Stato è venuto meno ai suoi doveri di protezione. Alla luce di quanto sinora esplicato il precedente gestore, che per altro non era mai stato autorizzato ad usare i dati del ricorrente, non aveva alcun diritto né poteva cederli a quello convenuto nelle cause intentate dal ricorrente. Sono irrilevanti, perciò, i fini per i quali erano stati autorizzati (fatturazione), che non fossero stati ceduti a terzi o che il gestore fosse una società privata, anziché pubblica: lo Stato doveva offrire maggiori garanzie e tutele per proteggere la privacy dell'interessato.

Infine, la CEDU rileva che «i giudici nazionali non hanno mai effettivamente esaminato il nucleo della domanda della ricorrente a causa della mancanza di un esame completo della questione se, in assenza di un rapporto contrattuale o di qualsiasi altro rapporto giuridico tra la ricorrente e il fornitore di teleriscaldamento, la conservazione e l'utilizzo continuati dei dati della ricorrente corrispondessero a tale obiettivo legittimo». Lo Stato è quindi venuto meno ai suoi doveri di cura e protezione dei diritti del ricorrente.

Fonte: (Diritto e Giustizia)