La normativa sulla privacy riguarda sicuramente i rapporti tra correntisti e istituti di credito, tuttavia, malgrado siano passati più di venti anni dalla sua introduzione nel nostro ordinamento, capita spesso che i secondi cerchino di attuare prassi decisamente sorprendenti.
Uno dei principi fondamentali della disciplina è quello della minimizzazione dei dati, il quale è stato ribadito nella recente decisione della Suprema Corte (ordinanza n. 26778/2019).
Al fine del corretto inquadramento della vicenda non è superfluo ricordare che i dati sensibili rappresentano da sempre un sottoinsieme di dati personali.
Si pensi all’art. 22, comma 2, del D.Lgs. n. 101/2018 che rinvia all’art. 9 del Regolamento U.E. 2016/679, per cui sono dati sensibili le informazioni idonee e rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché i dati genetici, i dati biometrici intesi a identificare in modo univoco una persona fisica, i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale delle persone fisiche.
La controversia pervenuta dinanzi alla S.C. è nata nel vigore della precedente definizione di cui all’art. 4, comma 1, lett. d) del D.Lgs. n. 196/2003 – che differiva da quella attuale in quanto non includeva i dati genetici e biometrici – e di altre disposizioni del Codice che sarebbero state abrogate nel corso del 2018.
Antefatti processuali e principali motivi del ricorso
Con la sentenza depositata il 18 ottobre 2014 la Corte d’Appello di Genova ha confermato la pronuncia con cui il Tribunale di Chiavari aveva rigettato tutte le domande proposte dal cliente, finalizzate a far accertare in capo all’istituto di credito la responsabilità contrattuale e/o extra contrattuale e/o violazione di legge, con conseguente condanna al risarcimento dei danni patrimoniali e non patrimoniali, per aver bloccato a partire dal marzo 2008 l’operatività del conto corrente bancario e del deposito titoli intestati allo stesso, non avendo il cliente autorizzato l’istituto di credito al trattamento dei propri dati sensibili.
La Corte d’Appello di Genova ha condiviso l’impostazione giuridica prescelta dal Tribunale ligure, stando alla quale l’istituto di credito aveva legittimamente ritenuto necessario, per una completa e migliore gestione dei rapporti con la clientela, poter acquisire anche i dati sensibili.
Il titolare aveva espressamente comunicato al cliente – attraverso l’informativa ex art. 13 – che in caso di mancata autorizzazione al trattamento dei dati sensibili non avrebbe potuto procedere alle operazioni richieste dal correntista.
Sinteticamente i motivi con cui il cliente ha investito della controversia la S.C. sono riassumibili nei seguenti termini: l’autonomia contrattuale della banca non può essere esercitata senza limiti, tra i quali figura anche quello sancito dall’art. 23 del Codice in materia di protezione dei dati personali (oggi abrogato) per il quale il consenso al trattamento dei dati personali è validamente prestato solo se espresso liberamente. Nella fattispecie, infatti, la banca aveva prospettato, per l’ipotesi di mancata prestazione del consenso, il blocco del conto corrente e del deposito titoli. In più, questa pretesa non poggiava su alcuna reale esigenza del titolare, mentre le linee guida in tema di trattamento di dati personali della clientela in ambito bancario emanate dal Garante della Privacy ribadivano/ribadiscono i principi di pertinenza e di non eccedenza espressi dal D.Lgs. n. 196/2003, art. 11, comma 1, lett. d) (oggi contenuti nell’art. 5.1, lett. c), del Regolamento U.E. 2016/679).
La decisione della Corte di cassazione
La S.C., esamina congiuntamente i primi tre motivi del ricorso, ritenendoli fondati. In particolare, smentendo i giudici di merito, essa reputa che “la clausola con cui la banca ha subordinato l’esecuzione delle proprie operazioni al rilascio del consenso al trattamento dei dati sensibili contrasta (…) con i principi informatori della legge sulla privacy, la quale ha natura di norma imperativa, contenendo tale normativa precetti che non possono essere derogati dall’autonomia privata in quanto posti a tutela di interessi generali, di valori morali e sociali pregnanti nel nostro ordinamento, finalizzati al rispetto dei diritti e delle libertà fondamentali, quali la dignità, la riservatezza, l’identità personale, la protezione dei dati personali”.
Tra questi principi è quello di minimizzazione nell’uso dei dati personali, che impone l’utilizzo, ovvero il trattamento dei soli dati pertinenti e limitati a quanto necessario per il perseguimento delle finalità per cui sono raccolti e trattati.
Osserva la S.C. che “tale principio è ben espresso dal D.Lgs. n. 196 del 2003, art. 3, recante il titolo ‘principio di necessità nel trattamento dei dati’, dall’art. 11, lett. d) legge cit., che richiede la pertinenza, la completezza e non eccedenza dei dati rispetto alle finalità per cui sono raccolti e trattati ed è stato recentemente riaffermato con l’entrata in vigore dell’art. 5, lett. c) del regolamento europeo sulla protezione dei dati personali 2016/679”.
Detto principio deve essere, a maggior ragione rispettato quando il trattamento riguardi i dati sensibili.
Nella fattispecie, l’istituto di credito ha giustificato l’obbligatorietà del consenso del cliente al trattamento dei dati sensibili con la propria policy aziendale, “ai fini di una imprecisata completa e migliore gestione dei rapporti con la clientela, precisando, anche secondo la ricostruzione dei giudici di merito, di ritenere necessario acquisire i dati sensibili, non nel senso ‘che la banca necessiti di avere a disposizione i dati cd. sensibili per poter operare, ma nel senso che potendo tali dati venire a conoscenza dell’istituto di Credito, in via di cautela la banca vuole ottenere il consenso al loro trattamento’ (pag. 6 sentenza impugnata)”.
Si tratta di una giustificazione inconsistente, in quanto è del tutto evidente l’anomalia di uno scopo cautelativo (dettato per l’ipotetica possibilità di trattamento da parte della banca di un certo tipo di dati) che dovrebbe giustificare la pretesa dell’autorizzazione al trattamento di dati personali superflui per l’operatività del conto corrente e del deposito titoli.
La clausola con cui la banca ha subordinato le operazioni richieste dal cliente al consenso al trattamento dei dati sensibili è dunque nulla in quanto contraria a norme imperative ex art. 1418 c.c.
Pertanto, la condotta dell’istituto di credito, che ha provveduto al blocco del conto corrente e del deposito titoli sulla base di una clausola nulla, espone lo stesso a responsabilità per inadempimento contrattuale.
Accolti i primi tre motivi ed assorbiti i restanti, la S.C. ha cassato la sentenza impugnata, rinviando alla Corte d’Appello di Genova, in diversa composizione, per un nuovo esame e il governo delle spese.