Conto corrente bancario e protezione dei dati personali.
CORTE DI CASSAZIONE; sezione I civile; ordinanza 21 ottobre 2019, n. 26778; Pres. Sambito; Rel. Fidanzia; E.L. (Avv. Minotti) c. Deutsche Bank Spa (Avv. Volpe).
La clausola del contratto di conto corrente bancario secondo cui è necessario il consenso al trattamento dei dati personali particolari del cliente è nulla per violazione di norma imperativa (principi generali e ratio legis del d.lgs. 196/2003 in materia di protezione di dati personali).
Sommario: 1. La natura imperativa della “legge sulla privacy” – 2. Il consenso al trattamento dei dati in ambito bancario
Con la decisione in commento, la Cassazione si esprime sulla natura imperativa della c.d. legge sulla privacy: il diritto alla protezione dei dati personali dell’interessato prevale sulla libertà contrattuale dell’operatore economico, nella misura in cui una policy aziendale non può stabilire un trattamento dei dati personali che non sia ispirato al principio di minimizzazione.
- La natura imperativa della “legge sulla privacy”
La sentenza in epigrafe risulta di particolare interesse poiché sancisce la natura imperativa delle disposizioni in materia di protezione dei dati personali. Tale affermazione di diritto avviene nell’ambito dell’impugnazione della sentenza firmata dalla Corte di Appello di Genova che ritiene legittimo il trattamento di raccolta dei dati personali sensibili (dati particolari, n.d.r.) operato da una banca nei confronti dei propri clienti, in quanto espressione della propria libertà contrattuale non ostacolata da disposizioni normative di settore o del codice civile. Al contrario la Suprema Corte, accogliendo i primi tre motivi di ricorso, sancisce la natura imperativa della c.d. legge sulla privacy (d.lgs. 196/2003) poiché volta a tutelare interessi generali, valori morali e sociali strettamente collegati ai diritti e alle libertà fondamentali, quali la dignità, la riservatezza, l’identità personale e la protezione dei dati personali. La Suprema Corte valorizza in particolar modo la violazione del principio di minimizzazione poiché nel caso di specie emerge che la banca ha richiesto obbligatoriamente dati non necessari per lo svolgimento dell’attività contrattuale ed ha subordinato la fornitura dei propri servizi al consenso per il trattamento dei dati sensibili che risultano essere non pertinenti, non indispensabili ed eccedenti le finalità contrattuali. Ne consegue la nullità per violazione di norma imperativa della clausola contrattuale che ha reso possibile il blocco del conto corrente e del deposito titoli per non aver prestato il consenso al trattamento dei propri dati sensibili ed il rinvio alla Corte d’appello di Genova in diversa composizione. Oggetto principale dell’analisi dei giudici della Suprema Corte è soprattutto la natura imperativa delle disposizioni normative contenute nella legge sulla privacy che rappresenta la chiave di volta della decisione giudiziaria; tuttavia strettamente correlate al tema e soltanto cennati nella decisione sono i temi del consenso per il trattamento dei dati sensibili ed i principi del trattamento dei dati personali che si inseriscono in un quadro normativo in evoluzione.
- Il consenso al trattamento dei dati in ambito bancario
Il settore bancario è stato interessato da diversi provvedimenti del Garante a cominciare dalle linee guida in tema di trattamento di dati personali della clientela[1] fino ai provvedimenti generali riguardanti banca, credito e finanza[2]. Le linee guida, risalenti al 2007, trattano principi ancora attuali quali liceità, pertinenza e trasparenza. In particolare i dati personali, purché pertinenti e non eccedenti, possono essere trattati dalla banca solo per perseguire finalità legittime (quali, ad esempio, l’esecuzione del contratto in essere o l’adempimento obblighi derivanti dalla legge), osservando le disposizioni della disciplina in materia di protezione dei dati personali. Tra le disposizioni codicistiche di rilievo, ex ceteris, si possono ricordare, i presidi organizzativi[3], il rispetto dei princìpi di necessità e di qualità dei dati[4], il rispetto delle prescrizioni contenute nelle autorizzazioni generali nel caso in cui si trattino dati sensibili o giudiziari, l’informativa per l’interessato e le misure di sicurezza idonee a prevenire alcuni eventi di rilevanza civile e penale.
Degna di nota appare la raccomandazione di raccogliere il consenso del cliente solo quando non sia possibile prescindere dallo stesso. Volgendo lo sguardo alla giurisprudenza, di recente le Sezioni Unite della Corte di Cassazione[5] hanno risolto un contrasto interpretativo riguardante una causale di pagamento da cui emergeva lo stato di salute dell’intestatario del conto corrente[6]: è necessario un consenso ad hoc[7] relativo al trattamento dei dati sensibili contenuti nella causale di pagamento, poiché la prestazione indennitaria ex L. n. 210 del 1992 è estranea all’esecuzione degli obblighi contrattuali derivanti dal rapporto di conto corrente.
La fattispecie trattata non consente alla Suprema Corte di soffermarsi sulle modalità per richiedere il consenso “aggiuntivo” al trattamento dei dati particolari, al contrario di quanto emerge nella sentenza in commento ove la banca raccoglie il consenso (peraltro viziato) al trattamento dei dati particolari poiché potrebbe accadere che si trovi a trattarli, pur affermando che non sono necessari per la realizzazione delle finalità contrattuali. In altri termini la banca raccoglie un consenso preventivo per il trattamento di dati sensibili che eccedono le finalità contrattuali, in palese violazione dei principi informatori del consenso del principio di minimizzazione[8]. Nell’economia della sentenza ampio spazio viene dato al principio di minimizzazione che rappresenta un punto cardine della decisione. Infatti, come si legge in controluce nella decisione, il titolare del trattamento nella pianificazione dello stesso deve prendere in considerazione il principio di minimizzazione ossia deve domandarsi se i dati che intende trattare siano indispensabili, pertinenti e limitati alla finalità che intende perseguire[9]. Solo se sono soddisfatte queste condizioni, è possibile scegliere la base giuridica del trattamento e procedere alle ulteriori operazioni di design (nel caso di specie la predisposizione del consenso per il trattamento dei dati sensibili, solo quando necessario).
Il principio di minimizzazione trova espresso riconoscimento nell’articolo 5 §1 lett. c) GDPR[10]: i dati personali sono adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati. Il principio di minimizzazione è poi espressamente richiamato dall’articolo 25 GDPR rubricato “Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita” meglio noto come privacy by design e by defaut. Il principio di privacy by design impone di tenere conto dello stato dell’arte, dei costi di attuazione, della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, dei diversi rischi per i diritti e le libertà delle persone fisiche per attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione e la predisposizione delle garanzie previste dal regolamento a tutela dei diritti degli interessati. In verità, la relazione tra l’articolo 5 e l’articolo 25 del GDPR è esplicitamente annunciata già dal considerando 78 ove si prevede che “Al fine di poter dimostrare la conformità con il presente regolamento, il titolare del trattamento dovrebbe adottare politiche interne e attuare misure che soddisfino in particolare i principi della protezione dei dati fin dalla progettazione e della protezione dei dati di default. Tali misure potrebbero consistere, tra l’altro, nel ridurre al minimo il trattamento dei dati personali, pseudonimizzare i dati personali il più presto possibile, offrire trasparenza per quanto riguarda le funzioni e il trattamento di dati personali, consentire all’interessato di controllare il trattamento dei dati e consentire al titolare del trattamento di creare e migliorare caratteristiche di sicurezza.”.
A bene vedere si tratta dello stesso ragionamento effettuato dalla Cassazione: la banca, tenendo a mente il principio di minimizzazione dei dati, deve pianificare il trattamento in base alla fattispecie concreta. Ciò è a maggior ragione vero in quanto si tratta di dati sensibili[11]. Una policy aziendale che preveda il trattamento dei dati sensibili per una imprecisata migliore gestione dei rapporti con la clientela non è certamente sufficiente ad integrare la progettazione del trattamento; così come non è possibile raccogliere dati personali, comuni o sensibili, in via cautelativa, potendo tali dati venire a conoscenza della banca[12].
[1] Linee guida per trattamenti dati relativi al rapporto banca clientela – 25 ottobre 2007 [1457247].
[2] In particolare, Quando identificare e fotocopiare i documenti di riconoscimento dei clienti – 27 ottobre 2005; Liceità, correttezza e pertinenza nell´attività di recupero crediti – 30 novembre 2005; Misure relative alle comunicazioni fra intermediari finanziari appartenenti al medesimo gruppo in materia di antiriciclaggio – 10 settembre 2009; Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie – 12 maggio 2011; Chiarimenti in ordine alla delibera n. 192/2011 in tema di circolazione delle informazioni riferite a clienti all´interno dei gruppi bancari e ´tracciabilità´ delle operazioni bancarie; proroga del termine per completare l´attuazione delle misure originariamente prescritte – 18 luglio 2013; Provvedimento generale in materia di trattamento dei dati personali nell´ambito dei servizi di mobile remote payment – 22 maggio 2014; Costituzione di una banca dati relativa a morosità intenzionali della clientela del settore telefonico (S.I.Mo.I.Tel) – 8 ottobre 2015; Provvedimento interpretativo di alcune disposizioni del Codice SIC – 26 ottobre 2017.
[3] Il trattamento può avvenire “solo da parte di incaricati (nonché, se designati, dei responsabili) del trattamento e limitatamente alle istruzioni loro impartite”.
[4] Ad esempio, con riferimento all’esattezza e all’aggiornamento (artt. 3 e 11).
[5] Cassazione civile, sez. unite, 27 dicembre 2017, n. 30981 hanno enunciato il principio di diritto: “I dati sensibili idonei a rivelare lo stato di salute possono essere trattati soltanto mediante modalità organizzative, quali tecniche di cifratura o criptatura che rendono non identificabile l’interessato. Ne consegue che i soggetti pubblici o le persone giuridiche private, anche quando agiscano rispettivamente in funzione della realizzazione di una finalità di pubblico interesse o in adempimento di un obbligo contrattuale, sono tenuti all’osservanza delle predette cautele nel trattamento dei dati in questione”. Cfr. nota di Ricci, Giur. It., 2018, 12, 2639.
[6] A tal proposito, cfr. Bianchi, Privacy, banche e dati sanitari. Il consenso del correntista non basta. Necessari crittografia e autorizzazione specifica scritta, in Diritto & Giustizia, V, 2018, 2 “L’Autorizzazione n. 5/2009 sulle modalità di trattamento dei dati sensibili da parte delle banche per l’attuazione dei contratti assunti stabilisce che oltre all’ottenimento del consenso scritto ad hoc «prima di iniziare o proseguire il trattamento, i sistemi informativi e i programmi informatici sono configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l’interessato solo in caso di necessità, in conformità all’art. 3 del codice».”.
[7] “Non si può ritenere, di conseguenza, che l’interessato abbia, con le richieste inoltrate all’ente pubblico ed alla banca, autorizzato, in modo implicito, la comunicazione o la diffusione dei propri dati in quanto funzionale all’esercizio del diritto all’indennità e alla concreta erogazione del beneficio. Il rapporto giuridicamente qualificato sussistente tra soggetto titolare del diritto alla protezione dei propri dati sensibili e titolare del trattamento dei dati stessi è del tutto autonomo rispetto al vincolo legale o contrattuale che avvince, per ciò che concerne il diritto e l’erogazione dell’indennità, i soggetti obbligati e beneficiario. L’uno non confluisce nell’altro, mantenendo ciascuno di essi il proprio regime giuridico. Ci sono due relazioni produttive di effetti giuridici, l’una riguardante il beneficio accordato dalla L. n. 210 del 1992, l’altra la tutela del diritto fondamentale alla riservatezza in ordine ai dati personali relativi alla salute. Per questa seconda relazione giuridicamente qualificata che ha ad esclusivo oggetto il trattamento dei dati, la fonte di regolazione non può in alcun modo desumersi dal regime normativo e contrattuale dell’altra perché si tratta di diritti e beni giuridici diversi e non sovrapponibili.”.
[8] “La Banca ha dunque richiesto obbligatoriamente – prospettando, diversamente, l’impossibilità di poter dar corso alle operazioni ed ai servizi richiesti – il consenso al trattamento di dati sensibili non pertinenti, non indispensabili (tali sono quelli relativi alle origine razziale, etnica del cliente, alla sua salute, alla vita sessuale, etc.) eccedenti in modo evidente le finalità per cui tali dati sono trattati e raccolti”.
[9] “Tra i principi che regolano la tutela della c.d. privacy rientra a pieno titolo quello di minimizzazione nell’uso dei dati personali, dovendo essere utilizzati solo i dati indispensabili, pertinenti e limitati a quanto necessario per il perseguimento delle finalità per cui sono raccolti e trattati.”
[10] Come sottolineato dalla Cassazione, era già presente in nuce nel codice privacy “In particolare, tale principio è ben espresso dal D.Lgs. n. 196 del 2003, art. 3, recante il titolo “principio di necessità nel trattamento dei dati”, dall’art. 11, lett. d) legge cit., che richiede la pertinenza, la completezza e non eccedenza dei dati rispetto alle finalità per cui sono raccolti e trattati ed è stato recentemente riaffermato con l’entrata in vigore dell’art. 5, lett. c) del regolamento Europeo sulla protezione dei dati personali 2016/679.”.
[11] Il principio in esame deve essere, a maggior ragione, rispettato anche nel trattamento dei dati sensibili, intendendo per tali, a norma del D.Lgs. n. 196 del 2003, art. 4, comma 1, lett. d), quei dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.
[12] In aggiunta “è evidente che se la Banca fosse stata realmente mossa dall’unico intento di provvedere alla mera cancellazione e distruzione dei dati sensibili di cui fosse eventualmente venuta a conoscenza per pura casualità, non sarebbe stato necessario imporre il consenso preventivo e generico al loro “trattamento” (che è comprensivo di tutte le operazioni di utilizzo sopra enunciate), potendo richiedere una tantum il consenso alla distruzione e cancellazione di tali dati, una volta eventualmente manifestatasi l’esigenza. (…)Peraltro, la Banca, avendo sottoposto l’informativa più volte citata, all’attenzione del cliente all’atto della sottoscrizione del contratto di conto corrente bancario, di fronte al rifiuto del cliente di sottoscrivere il consenso al trattamento dei dati sensibili, avrebbe dovuto, ove avesse voluto + essere coerente, rifiutarsi di instaurare il rapporto contrattuale e non invece, come effettivamente avvenuto, consentire al cliente di aprire il conto e di operare sullo stesso per un certo periodo tempo, salvo poi “bloccarlo” per una causa di cui era già pienamente consapevole all’atto dell’apertura del conto corrente (e del conto titoli).”.