Il principio di minimizzazione nell’uso di dati personali in Cassazione

di Stefano Aterno -

CORTE DI CASSAZIONE, sezione VI civile, ordinanza 21.10.2019, n. 26778, Pres. Sambito, Rel. Fidanzia, E.L. c. Banca D.

Tra i principi che regolano la tutela della c.d. privacy rientra a pieno titolo quello di minimizzazione nell’uso dei dati personali, dovendo essere utilizzati solo i dati indispensabili, pertinenti e limitati a quanto necessario per il perseguimento delle finalità per cui sono raccolti e trattati.
Non può affermarsi né giustificarsi apoditticamente la necessità di un consenso obbligatorio del cliente al rilascio dell’autorizzazione al trattamento dei dati sensibili con la propria “policy” aziendale, ai fini di una imprecisata completa e migliore gestione dei rapporti con la clientela anche nel senso che potendo tali dati venire a conoscenza dell’istituto di Credito, in via di cautela, la banca vuole ottenere il consenso al loro trattamento.
Pertanto l’istituto di credito avrebbe dovuto rifiutarsi di instaurare il rapporto contrattuale e non invece, come effettivamente avvenuto, consentire al cliente di aprire il conto e il deposito titoli e di operare sullo stesso per un certo periodo di tempo, salvo poi “bloccarlo” per il mancato consenso al trattamento dei dati sensibili.

CORTE DI CASSAZIONE, ordinanza 19/12/2019 (ud. 30.10.2019), n. 34113, Pres. De chiara, rel. Fidanzia

Non vi è dubbio che il trattamento delle informazioni personali effettuato nell’ambito dell’attività di recupero crediti sia lecito purchè, avvenga nel rispetto del criterio di minimizzazione nell’uso dei dati personali, dovendo essere utilizzati solo i dati indispensabili, pertinenti e limitati a quanto necessario per il perseguimento delle finalità per cui sono raccolti e trattati.
Non può quindi ritenersi che la Banca sia incorsa nella violazione della legge sulla privacy solo perché abbia fornito ai soggetti acquirenti del credito informazioni riguardanti la debitrice funzionali alla cessione del credito, quali la situazione debitoria, ubicazione dell’immobile vincolato alla garanzia del credito, etc., ove non venga fornita prova che la comunicazione a terzi sia avvenuta in violazione del principio sopra enunciato di “minimizzazione nell’uso dei dati personali”.

******

1. Il fatto specifico e la mancata minimizzazione dei dati da parte dell’istituto bancario

La prima delle due sentenze in commento affronta il tema della minimizzazione dei dati personali in occasione del trattamento degli stessi da parte di un istituto bancario in merito al servizio di conto corrente e deposito titoli offerto al cliente e alla successiva condotta con cui lo stesso istituto di credito ha provveduto al “blocco” del conto e del deposito titoli. La Corte, come emerge in motivazione, ha ritenuto responsabile la banca per inadempimento contrattuale a causa del blocco del conto e ha accolto i motivi del ricorso rinviando alla Corte d’Appello di Genova per un nuovo esame.
La seconda sentenza, pronunciatasi su un caso molto simile sempre di minimizzazione dei dati, conclude in modo diverso in quanto il ricorrente non avrebbe provato la rivelazione da parte dell’istituto bancario di dati c.d. sensibili (o meglio particolari) concernenti la sua persona, quando sarebbe stato invece suo preciso onere specificare i dati sensibili propalati in violazione del criterio della “minimizzazione” dei dati personali.
I “dati sensibili”, ora definiti dall’art. 9 del Regolamento dati appartenenti a “categorie particolari”, sono dati personali il cui trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali degli interessati e per questo sono soggetti a garanzie e misure supplementari rispetto a quelle previste per gli altri dati personali.
Relativamente alla prima pronuncia la Corte evidenzia che la banca ha apoditticamente giustificato la necessità di un consenso obbligatorio del cliente al trattamento dei dati sensibili ai fini di una imprecisata e non giustificata «completa e migliore gestione dei rapporti con la clientela», precisando di ritenere necessario acquisire i dati sensibili, non perchè « la banca necessiti di avere a disposizione i dati c.d. sensibili per poter operare, ma nel senso che potendo tali dati venire a conoscenza dell’istituto di Credito, in via di cautela la banca vuole ottenere il consenso al loro trattamento».
Secondo la Corte la richiesta al cliente di rilascio obbligatorio dell’consenso al trattamento dei dati sensibili sulla eventuale possibilità che la Banca ne venga a conoscenza nel corso della sua attività è mero “pretesto”, con la conseguenza che tale consenso riguarderebbe il trattamento di dati non pertinenti, non indispensabili ed eccedenti rispetto alle finalità per cui tali dati sono trattati e raccolti.
La Corte evidenzia che tra i principi che regolano la disciplina della protezione dei dati rientra, a pieno titolo, quello di minimizzazione nell’uso dei dati personali, dovendo essere utilizzati solo i dati indispensabili, pertinenti e limitati a quanto necessario per il perseguimento delle finalità per cui sono raccolti e trattati. Tale principio è stato ora riaffermato dall’art. 5 lett. c) del Regolamento ed era espresso nella disciplina anteriore al Regolamento, all’art. 3 del d.lgs n. 196/2003 (Codice per la protezione dei dati personali) recante il titolo “principio di necessità nel trattamento dei dati” e all’art. 11 lett. d) legge cit., e richiede la pertinenza, la completezza e non eccedenza dei dati rispetto alle finalità per cui sono raccolti e trattati.
La Corte conclude la sentenza stabilendo che la clausola con cui la banca ha subordinato l’esecuzione del contratto al consenso al trattamento dei dati sensibili sarebbe affetta da nullità in quanto contraria a norme imperative, a norma dell’art. 1418 cod. civ., con la conseguenza che la condotta con cui lo stesso istituto di credito ha successivamente provveduto al “blocco” del conto corrente e del deposito titoli non la esonera da responsabilità per inadempimento contrattuale.

2. Alcune necessarie precisazioni sul trattamento dei dati particolari in ambito bancario e il consenso come condizione necessaria per il trattamento da parte del titolare

La Suprema Corte di Cassazione però in motivazione si è mostrata più volte imprecisa e nell’affermare la violazione da parte della banca del principio di minimizzazione dei dati occorreva effettuare ben più ampie considerazioni rispetto ad esempio al concetto di trattamento dei dati in tale ambito e alla base giuridica esistente in questo tipo di rapporti contrattuali.
E’ fuorviante ritenere che “se la Banca fosse stata realmente mossa dall’ unico intento di provvedere alla mera cancellazione e distruzione dei dati sensibili di cui fosse eventualmente venuta a conoscenza per pura casualità, non sarebbe stato necessario imporre il consenso preventivo e generico al loro “trattamento” (che è comprensivo di tutte le operazioni di utilizzo sopra enunciate), potendo richiedere una tantum il consenso alla distruzione e cancellazione di tali dati, una volta eventualmente manifestatasi l’esigenza”.
La sentenza in questione non considera purtroppo che la gestione del rapporto di conto corrente, da parte di una banca, può determinare fisiologicamente anche il trattamento di dati “sensibili”.
Al di là dell’indicazione che potrebbe risultare dalla lettura delle causali di un pagamento bancario, le transazioni di un conto corrente possono certamente rivelare direttamente o indirettamente, all’istituto bancario, aspetti relativi alla persona che rientrano nelle “categorie particolari” (pensiamo, ad esempio, ai bonifici effettuati ad associazioni sindacali, religiose, politiche o ai pagamenti di specifiche prestazioni a medici specialisti o cliniche). Tra le altre cose non bisogna dimenticare che il personale dipendente dei dipartimenti informatici delle banche ma anche altro personale dipendente potrebbe conoscere tali dati in seguito a malfunzionamenti o gestione dei pagamenti in ritardo o in transito. Il trattamento di queste tipologie di dati è ammesso, come detto in precedenza, al ricorrere di uno dei casi tassativamente indicati dall’art. 9, par. 2 del Regolamento, tra i quali rientra anche il consenso dell’interessato.
E’ di tutta evidenza che la Corte in motivazione si spinge a ipotizzare un non meglio specificato consenso una tantum alla distruzione e alla cancellazione all’occorrenza di tali dati non considerando che in questo caso sarebbe poi necessario prestare una tantum anche il consenso alla banca per la conoscenza degli stessi e un consenso per un minimo periodo di conservazione strumentale alla distruzione. Ci domandiamo se quella richiesta di consenso indicata dall’istituto bancario nella clausola come condizione per l’esecuzione del contratto non fosse proprio finalizzata a trattare tali situazioni e se la sentenza prenda in realtà solo spunto dal principio di minimizzazione ma accolga il ricorso del cliente esclusivamente per il blocco del conto corrente e del deposito titoli subìto con grave danno personale.
In siffatti casi infatti il consenso non costituisce la c.d. “base giuridica del trattamento” dei dati che invece si rinviene proprio nell’esecuzione di un contratto di cui l’interessato è parte, art. 6, par. 1, lett. b), quanto piuttosto la condizione che rende possibile, al titolare, il trattamento di dati rientranti nelle cc.dd. “categorie particolari” di cui all’art. 9 del Regolamento.
In questi casi quindi, come rappresentato dalla Corte, la banca avrebbe dovuto bloccare fin dall’inizio l’apertura del conto corrente, in quanto l’assenza del consenso incide su un elemento essenziale del contratto.
Questa interpretazione, che pure evidenzia qualche criticità circa il rispetto del principio della libertà del consenso richiesto dalle norme (art. 7, par. 4 del Regolamento), in attesa di ulteriori chiarimenti, è compatibile con l’indicazione, contenuta nelle Linee guida del Comitato europeo di protezione dati, circa il fatto che, in un numero molto ristretto di casi, l’eventuale condizionalità potrebbe non rendere necessariamente invalido il consenso.
Nella maggior parte di casi di questo tipo, il servizio di conto corrente è infatti richiesto dall’interessato e il trattamento dei dati personali, anche particolari, ad esso collegato è indispensabile all’esecuzione del contratto di cui lo stesso interessato è parte.
La seconda ordinanza in commento è molto recente e sempre della Suprema Corte di Cassazione che a fine dicembre 2019 si è pronunciata ribadendo anche questa volta le disposizioni afferenti il principio di necessità nel trattamento dei dati alla pertinenza, alla completezza e alla non eccedenza dei dati stessi rispetto alle finalità per cui sono raccolti e trattati. Principi previsti in precedenza dagli artt. 3 e 11 lett. d del d.lgs n 196/2003 e oggi disciplinati dall’art 5 lett. c) del regolamento europeo sulla protezione dei dati personali 2016/679.
La Banca aveva segnalato la ricorrente debitrice a soggetti privati “acquirenti di crediti” fornendo loro dati sensibili in ordine alla persona del debitore, alla situazione debitoria e all’abitazione della debitrice.
La Corte ha osservato che non vi è dubbio che il trattamento delle informazioni personali effettuato nell’ambito dell’attività di recupero crediti è lecito nella misura in cui avvenga nel rispetto del criterio di minimizzazione nell’uso dei dati personali, dovendo essere utilizzati solo i dati indispensabili, pertinenti e limitati a quanto necessario per il perseguimento delle finalità per cui sono raccolti e trattati.
In questo secondo caso la Corte però ha ritenuto che la Banca non sia incorsa nella violazione del Codice privacy (anche questo caso i fatti sono accaduti in vigenza della vecchia normativa) in quanto l’istituto stesso ha fornito ai soggetti acquirenti del credito informazioni riguardanti la cliente funzionali alla cessione del credito, quali la situazione debitoria, l’ubicazione dell’immobile vincolato alla garanzia del credito, e il ricorrente non ha provato che la comunicazione a terzi sia avvenuta in violazione del principio sopra enunciato di “minimizzazione nell’uso dei dati personali”.