Le News di CONSULENZE DIGITALI - Consulenti Digitali

Vai ai contenuti

Banca, nulla la clausola che autorizza trattamento di dati eccedenti

Consulenti Digitali
Pubblicato da mgt in News Privacy Europea · 13 Gennaio 2020
Violato il principio di minimizzazione nell'uso dei dati personali (Cassazione, ordinanza n. 26778/2019)
Fonte altalex.com
La normativa 'privacy' insiste a pieno titolo anche nei rapporti tra correntisti e istituti di credito senonché, malgrado siano passati più di venti anni dalla sua introduzione nel nostro ordinamento giuridico, si ripropongono di quando in quando, da parte dei secondi, prassi decisamente sorprendenti.
Uno dei principi fondamentali della detta normativa - che ha attraversato indenne il passaggio dal vecchio al nuovo regime, quest'ultimo introdotto dal Regolamento UE 2016/679 e dalle disposizioni interne di adeguamento - è senz'altro quello di minimizzazione dei dati e campeggia in questa decisione della Suprema Corte (ordinanza n. 26778/2019 - testo in calce).
Al fine del corretto inquadramento della vicenda non è forse superfluo rammentare che i dati sensibili rappresentano da sempre un sottoinsieme di dati personali.
Si faccia per l'oggi riferimento all'art. 22, comma 2, D.Lgs. 101/2018, che rinvia all'art. 9 del Regolamento UE 2016/679: sono dati sensibili le informazioni idonee e rivelare l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché i dati genetici, i dati biometrici intesi a identificare in modo univoco una persona fisica, i dati relativi alla salute o alla vita sessuale o all'orientamento sessuale delle persone fisiche.
La controversia pervenuta dinanzi alla S.C. era invece nata nella vigenza della pregressa definizione di cui all'art. 4, comma 1, lett. d) del D. Lgs. 196/2003 - che differiva da quella attuale, in particolare, per la circostanza di non includere i dati genetici e biometrici – e di non poche disposizioni del Codice che sarebbero state abrogate nel corso del 2018.
Sommario
  • Antefatti processuali e principali motivi del ricorso
  • La decisione della Corte di cassazione
Antefatti processuali e principali motivi del ricorso
Con la sentenza depositata il 18 ottobre 2014 la Corte d'Appello di Genova confermava la pronuncia con cui il Tribunale di Chiavari aveva rigettato tutte le domande proposte dal cliente Sempronio, finalizzate a far accertare in capo all'istituto di credito la responsabilità contrattuale e/o extra contrattuale e/o violazione di legge, con conseguente condanna al risarcimento dei danni patrimoniali e non patrimoniali, per aver bloccato a partire dal marzo 2008 l'operatività del conto corrente bancario e del deposito titoli intestati allo stesso, non avendo il cliente autorizzato l'istituto di credito al trattamento dei propri dati sensibili. La Corte d'Appello di Genova condivideva l'impostazione giuridica prescelta dal Tribunale ligure, stando alla quale l'istituto di credito aveva legittimamente ritenuto necessario, per una completa e migliore gestione dei rapporti con la clientela, poter acquisire anche i dati sensibili. Il titolare aveva espressamente comunicato a Sempronio - attraverso l'informativa ex art. 13, al momento della sottoscrizione del contratto - che in caso di mancata autorizzazione al trattamento dei dati sensibili non avrebbe potuto procedere alle operazioni richieste dal correntista. E Sempronio aveva liberamente accettato tali condizioni contrattuali.
Sinteticamente i (primi) tre motivi con cui Sempronio ha investito della controversia la S.C. sono riassumibili nei seguenti termini: l'autonomia contrattuale della banca non può essere esercitata senza limiti, tra i quali figura(va) anche quello sancito dall'art. 23 del Codice in materia di protezione dei dati personali (oggi abrogato, appunto) per il quale il consenso al trattamento dei dati personali è validamente prestato solo se espresso liberamente. Nella fattispecie, infatti, la banca aveva prospettato, per l'ipotesi di mancata prestazione del consenso, il blocco del conto corrente e del deposito titoli. In più, questa pretesa non poggiava su alcuna reale esigenza del titolare, mentre le linee guida in tema di trattamento di dati personali della clientela in ambito bancario emanate dal Garante della Privacy ribadivano/ribadiscono i principi di pertinenza e di non eccedenza espressi dal D.Lgs. 196/2003, art. 11, comma 1, lett. d) (oggi contenuti nell'art. 5.1, lett. c), del Regolamento UE 2016/679).
su ShopWki è disponibile:
GDPR e Normativa Privacy Commentariodi Riccio Giovanni M., Scorza Guido, Belisario Ernesto , 2018, Ipsoa
Acquista ora!
La decisione della Corte di cassazione
La S.C., esamina congiuntamente (data la loro obiettiva connessione) e ritiene fondati i primi tre motivi del ricorso. Smentendo i giudici di merito, essa reputa che “la clausola con cui la banca ha subordinato l'esecuzione delle proprie operazioni al rilascio del consenso al trattamento dei dati sensibili contrasta (...) con i principi informatori della legge sulla privacy, la quale ha natura di norma imperativa, contenendo tale normativa precetti che non possono essere derogati dall'autonomia privata in quanto posti a tutela di interessi generali, di valori morali e sociali pregnanti nel nostro ordinamento, finalizzati al rispetto dei diritti e delle libertà fondamentali, quali la dignità, la riservatezza, l'identità personale, la protezione dei dati personali”. Tra questi principi è quello di minimizzazione nell'uso dei dati personali, che impone l'utilizzo ovvero il trattamento dei soli dati pertinenti e limitati a quanto necessario per il perseguimento delle finalità per cui sono raccolti e trattati.
Osserva la S.C. che “tale principio è ben espresso dal D.Lgs. n. 196 del 2003, art. 3, recante il titolo "principio di necessità nel trattamento dei dati", dall'art. 11, lett. d) legge cit., che richiede la pertinenza, la completezza e non eccedenza dei dati rispetto alle finalità per cui sono raccolti e trattati ed è stato recentemente riaffermato con l'entrata in vigore dell'art. 5, lett. c) del regolamento europeo sulla protezione dei dati personali 2016/679”. Detto principio deve essere, a maggior ragione rispettato quando il trattamento riguardi i dati sensibili.
Nella fattispecie, l'istituto di credito ha giustificato l'obbligatorietà del consenso (...!) del cliente al trattamento dei dati sensibili con la propria 'policy' aziendale, “ai fini di una imprecisata completa e migliore gestione dei rapporti con la clientela, precisando, anche secondo la ricostruzione dei giudici di merito, di ritenere necessario acquisire i dati sensibili, non nel senso "che la banca necessiti di avere a disposizione i dati c.d. sensibili per poter operare, ma nel senso che potendo tali dati venire a conoscenza dell'istituto di Credito, in via di cautela la banca vuole ottenere il consenso al loro trattamento" (pag. 6 sentenza impugnata)”.
Si tratta di una giustificazione che non giustifica alcunché. E' all'opposto evidente l'anomalia di uno scopo cautelativo (dettato cioè per l'ipotetica, remota possibilità di un trattamento da parte della banca di determinate tipologie di dati) che dovrebbe sostenere la pretesa dell'autorizzazione da parte del cliente al trattamento di dati personali del tutto superflui per l'operatività del conto corrente e del deposito titoli. Dati non pertinenti ed eccedenti la finalità del trattamento avviato.
La clausola con cui la banca ha subordinato le operazioni richieste dal cliente al consenso al trattamento dei dati sensibili è dunque affetta da nullità in quanto contraria a norme imperative, ex art. 1418 c.c.. E la condotta successiva con cui l'istituto di credito ha provveduto al blocco del conto corrente e del deposito titoli, proprio perché basata su una clausola nulla, espone lo stesso a responsabilità per inadempimento contrattuale.
Accolti i primi tre motivi ed assorbiti i restanti, la S.C. cassa la sentenza impugnata e rinvia alla Corte d'Appello di Genova, in diversa composizione, per un nuovo esame e affinché sia provveduto sulle spese del giudizio di legittimità.



Torna ai contenuti