Si prende le mosse da un recente dictum della Suprema Corte, la quale ha così stabilito:
“In tema di rapporto di conto corrente la banca può trattare solo i dati personali effettivamente necessari per la gestione del rapporto contrattuale con il cliente, il quale non può essere obbligato a consentire il trattamento di dati ulteriori che lo riguardano, specie se sensibili. In base alla normativa in materia di protezione dei dati personali, il principio di “minimizzazione dei dati” ha natura di norma imperativa ed è pertanto inderogabile. In particolare, esso è stato riconosciuto dalla disciplina sul trattamento dei dati personali come presidio di tutela dei diritti degli interessati dal d.lg. 30 giugno 2003 n. 196, artt. 3 e 11, lett. d), e pienamente ribadito anche più recentemente nell’articolo 5, lettera c), del Regolamento generale in materia di protezione dei dati personali – Gdpr) e nella conseguente affermazione della sua inderogabilità dall’autonomia privata.
Nel caso in specie è da ritenersi tutt’altro che legittima la condotta dell’istituto dì credito laddove essa ha inteso condizionare l’operatività del conto corrente bancario del cliente alla prestazione del suo consenso al trattamento dei propri dati sensibili che, nel caso specifico, non risultavano tra quelli necessari per la corretta e completa gestione del rapporto contrattuale. In conclusione, non può essere rimessa all’autonomia delle parti -·con una apposita clausola contrattuale, ai sensi dell’articolo 1418 c.c. – l’operatività del conto corrente del cliente al consenso, da parte di questi, al trattamento dei propri dati sensibili. così Cassazione civile sez. I, 21/10/2019, n.26778″.
Il caso in esame
La vicenda ha visto, come protagonista, un cliente italiano di una importante banca tedesca operante anche in Italia che, al momento della stipula del contratto di conto corrente bancario e deposito titoli, non aveva inteso prestare il consenso al trattamento dei propri dati sensibili.
L’istituto di credito aveva “comunque” avviato il rapporto, nonostante la mancata sottoscrizione della suddetta clausola, e ciò fino a quando, in seguito, la banca bloccava improvvisamente l’operatività del c/c e del servizio di deposito titoli, quale conseguenza del rifiuto iniziale del cliente.
Quest’ultimo – conseguentemente – adiva l’AGO chiedendo l’accertamento della responsabilità dell’istituto di credito, con richiesta di accertamento di responsabilità contrattuale e/o extracontrattuale, e con domanda di risarcimento del danno.
Sia in primo grado che in appello le domande del cliente erano state rigettate, essendosi ritenuto corretto il comportamento della banca.
La Corte, nel rovesciare l’esito della sentenza, riconosce con la sentenza de qua la natura di norma imperativa ai principi informatori del Dlgs 30 giugno 2003 n. 196, con riferimento in particolare al principio di “minimizzazione dei dati” di cui agli artt. 3 e 11 lett. d) del citato codice.
Tale principio è dunque inderogabile, siccome orientato alla tutela di valori pregnanti, finalizzato al rispetto dei diritti e delle libertà fondamentali, quali la dignità, la riservatezza, l’identità personale, la tutela dei dati personali, il cui trattamento indiscriminato esporrebbe a rischio i diritti fondamentali degli interessati.
Conseguentemente, è affetta da nullità, ex art. 1418 c.c., secondo il ragionamento degli Ermellini, la clausola con la quale l’istituto di credito subordina l’operatività del c/c al consenso al trattamento dei dati sensibili (almeno non necessari all’espletamento dell’attività).
Il principio è stato ribadito poi dall’art. 5 lett c) del regolamento generale in materia di protezione dei dati personali.
Queste norme vengono affermate in particolare dalla S.C. come inderogabili da parte dell’autonomia privata.
La banca, conseguentemente non può mai condizionare l’operatività del c/c alla prestazione del suo consenso al trattamento di dati sensibili, non necessari per la gestione del rapporto.
Non vi sono dunque scelte gestionali, o, come usano dire gli istituti di credito “per una migliore gestione dei rapporti con la clientela” che possono derogare a siffatto principio.
Si veda, in proposito, in tema, nello stesso senso, anche il considerando 39 del GDPR che conferma il principio di “minimizzazione dei dati”, cioè la limitazione del trattamento a quanto strettamente necessario.
Il principio, peraltro, è risalente, perché era già contenuto nella Direttiva cd. Madre 95/46/CE del Parlamento Europeo e del Consiglio del 24 ottobre 1995, abrogata poi dal GDPR a partire dal 25 maggio 2018.
Proprio la suddetta direttiva affermava l’ormai arcinoto principio secondo cui i dati dovevano essere “adeguati, pertinenti, e non eccedenti rispetto alle finalità per le quali vengono rilevati e/o per le quali vengono successivamente trattati”; concetto subito recepito dalla legge 675/1996 italiana, il cui art. 9 ribadiva il principio; nello stesso senso, si veda l’art. 11 del codice della Privacy dlgs. N. 196/2003.
Con specifico riferimento al settore bancario si segnalano poi le linee guida del 25 ottobre 2007 adottate dal Garante della privacy, che costituiscono un punto di riferimento in materia.
La decisione della Cassazione
Si segnalano alcuni passi salienti della motivazione per esteso della surrichiamata sentenza della S.c.:
“I primi tre motivi, da esaminare unitariamente in relazione alla stretta connessione delle questioni trattate, sono fondati.
Va osservato che non è contestato tra le parti che la banca controricorrente, all’atto della stipula del contratto di conto corrente, con relativa apertura del deposito titoli, abbia sottoposto all’attenzione del cliente, con comunicazione controfirmata da quest’ultimo, la clausola che, in mancanza del consenso al trattamento dei dati sensibili, l’istituto di credito non avrebbe potuto dare corso alle operazioni ed ai servizi richiesti.
Proprio in virtù della circostanza che il cliente, con la predetta informativa, era stato pienamente reso edotto delle conseguenze previste dalla banca in caso di rifiuto a rilasciare il consenso al trattamento dei dati sensibili (e nonostante ciò, il cliente avesse comunque sottoscritto il contratto), entrambi i giudici di merito hanno ritenuto che l’istituto di credito non sia incorso in nessun inadempimento contrattuale, nè nella violazione della legge sulla privacy, avendo la banca stabilito una tale regolamentazione nell’esercizio della propria autonomia contrattuale e gestionale, non soggetta a particolari limitazioni di legge, ai fini di una completa e migliore gestione dei rapporti con la clientela.
Questo Collegio non condivide l’impostazione giuridica della sentenza impugnata.
Va, in primo luogo, osservato che la clausola con cui la banca ha subordinato l’esecuzione delle proprie operazioni al rilascio del consenso al trattamento dei dati sensibili contrasta indubitabilmente con i principi informatori della legge sulla privacy, la quale ha natura di norma imperativa, contenendo tale normativa precetti che non possono essere derogati dall’autonomia privata in quanto posti a tutela di interessi generali, di valori morali e sociali pregnanti nel nostro ordinamento, finalizzati al rispetto dei diritti e delle libertà fondamentali, quali la dignità, la riservatezza, l’identità personale, la protezione dei dati personali.
Tra i principi che regolano la tutela della c.d. privacy rientra a pieno titolo quello di minimizzazione nell’uso dei dati personali, dovendo essere utilizzati solo i dati indispensabili, pertinenti e limitati a quanto necessario per il perseguimento delle finalità per cui sono raccolti e trattati.
In particolare, tale principio è ben espresso dal D.Lgs. n. 196 del 2003, art. 3, recante il titolo “principio di necessità nel trattamento dei dati”, dall’art. 11, lett. d) legge cit., che richiede la pertinenza, la completezza e non eccedenza dei dati rispetto alle finalità per cui sono raccolti e trattati ed è stato recentemente riaffermato con l’entrata in vigore dell’art. 5, lett. c) del regolamento Europeo sulla protezione dei dati personali 2016/679.
[…]
La stessa banca ha dato atto – e non poteva fare diversamente in considerazione della precisa nozione di dati sensibili, evincibile del D.Lgs. n. 196 del 2003, art. 4, comma 1, lett. d) – di non aver bisogno di tali dati per operare. E’ quindi evidente che il fondare, a scopo cautelativo, la richiesta obbligatoria al cliente di rilascio dell’autorizzazione al trattamento dei dati sensibili sulla eventuale (alquanto remota) possibilità che la Banca ne venga a conoscenza nel corso della sua attività assume la connotazione di un mero pretesto.
[…]
In conclusione, la clausola con cui la banca ha subordinato il dar corso alle operazioni richieste dal cliente al consenso al trattamento dei dati sensibili è affetta da nullità in quanto contraria a norme imperative, a norma dell’art. 1418 c.c.. Ne consegue che la condotta con cui lo stesso istituto di credito ha successivamente provveduto al “blocco” del conto corrente e del deposito titoli, proprio perchè trova il proprio titolo in una clausola nulla dalla stessa inserita, non lo esonera da responsabilità per inadempimento contrattuale.
La giurisprudenza successiva
Anche la giurisprudenza successiva ed ancor più recente si muove nello stesso solco.
Il riferimento è a Corte di Cassazione, sez. 1 ord. 19 dicembre 2019 n. 34113, sempre in tema di criterio di minimizzazione; anche se la pronuncia pare favorevole in questo caso all’istituto di credito.
Si segnala il passo saliente anche di tale dictum:
Va preliminarmente osservato che non vi è dubbio che il trattamento delle informazioni personali effettuato nell’ambito dell’attività di recupero crediti sia lecito purchè, avvenga nel rispetto del criterio di minimizzazione nell’uso dei dati personali, dovendo essere utilizzati solo i dati indispensabili, pertinenti e limitati a quanto necessario per il perseguimento delle finalità per cui sono raccolti e trattati. Tale principio era ben espresso dal D.Lgs. n. 196 del 2003, art. 3, recante il titolo “principio di necessità nel trattamento dei dati”, e dall’art. 11, lett. d) legge cit., richiedente la pertinenza, la completezza e non eccedenza dei dati rispetto alle finalità per cui sono raccolti e trattati (tali articoli sono stati recentemente abrogati a seguito dell’entrata in vigore del D.Lgs. 10 agosto 2018, n. 101) ed è stato recentemente riaffermato con l’entrata in vigore dell’art. 5, lett. c) del regolamento Europeo sulla protezione dei dati personali 2016/679.
Non può quindi ritenersi che la Banca sia incorsa nella violazione della legge sulla privacy solo perchè abbia fornito ai soggetti acquirenti del credito informazioni riguardanti la debitrice funzionali alla cessione del credito, quali la situazione debitoria, ubicazione dell’immobile vincolato alla garanzia del credito, etc., ove non venga fornita prova che la comunicazione a terzi sia avvenuta in violazione del principio sopra enunciato di “minimizzazione nell’uso dei dati personali”.
Ancora una volta, il massimo organo della nomofilachia conferma che il trattamento dei dati non può andare oltre quanto strettamente necessario per le finalità del trattamento.
Un riferimento capitale nella dinamica delle tutele degli interessi in gioco si rinviene nelle premesse al regolamento n. 2016/679/UE (considerando n. 4), ove si legge che «il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità » (sulla natura imperativa ed inderogabile del criterio di minimizzazione si veda Cassazione civile, sez. I, 21/10/2019 , n. 26778).
In forza di tale principio, conclude la Corte, non può ravvisarsi nel caso in esame, alcuna violazione della normativa sulla privacy, poiché l’istituto di credito ha, almeno nel caso in esame, fornito ai soggetti acquirenti del credito informazioni della debitrice funzionali all’attività di riscossione – previa cessione – del credito. Tali sono da considerarsi i dati ceduti, inerenti alla situazione debitoria e all’ubicazione dell’immobile vincolato alla garanzia del credito.
Il principio della minimizzazione dei dati nel GDPR
Il GDPR stesso conferma- si diceva- il principio della “minimizzazione dei dati”: l’art. 5 GDPR, al par. 1, lett c) espressamente annovera espressamente detto principio tra quelli che devono informare il trattamento dei dati in ogni ambito, prevedendo al paragrafo 2 che “il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo” (cd. responsabilizzazione).
Il titolare del trattamento dovrà determinare, in maniera trasparente, le finalità che intende perseguire (v. principio di finalità posto dall’art. 5, paragrafo 1 lett b GDPR) e sulla base di questa dovrà valutare quali dati risultino indispensabili. Il titolare, oltre a dover garantire il rispetto dei suddetti principi, lo deve comprovare.
La violazione del principio di minimizzazione sarà, da ultimo, tanto più grave quanto l’istituto di credito cercherà di imporre irragionevolmente una situazione che esponga a rischio i diritti degli interessati, con particolare riferimento ai dati previsti dagli artt. 9 e 10 del Gdpr (dati sensibili e dati giudiziari).
