Banche e informativa privacy. La faccenda si complica

Banche e informativa privacy. La faccenda si complica

Se la banca chiede il consenso al trattamento dei dati sensibili commette illecito. Queste potrebbero essere in estrema sintesi le conclusioni della Corte di Cassazione con l’ordinanza n. 26778/2019 qui in commento.

Il caso.

Un cliente di una filiale di banca sottoscriveva l’apertura di un conto corrente rifiutandosi di prestare il consenso al trattamento dei dati sensibili ancorché richiesto espressamente nel formulario quale condizione di esecuzione del contratto da parte della banca. Nonostante ciò, la banca adempiva le proprie obbligazioni e il cliente iniziava il regolare utilizzo del servizio di conto corrente. Trascorso qualche tempo, tuttavia, la banca bloccava l’operatività del conto e del correlato deposito titoli insistendo nella richiesta di consenso al trattamento dei dati sensibili senza cui non avrebbe potuto eseguire le proprie obbligazioni senza incorrere in violazione della legge sulla protezione dei dati personali. Da qui iniziava un contenzioso con pretesa del cliente al risarcimento del danno a carico della banca per responsabilità contrattuale ed extracontrattuale.

Tribunale prima e Corte di Appello poi, davano ragione alla banca sulla scorta del fatto che questa – indipendentemente dal fatto che il trattamento dei dati sensibili fosse effettivamente necessario alla gestione del conto corrente – aveva sempre prospettato al cliente – in modo chiaro e trasparente – il fatto che senza tale consenso si sarebbe potuta rifiutare di dare corso al contratto stesso.

I giudici della Suprema Corte sono stati di diverso avviso.

Minimizzazione.

La Corte di Cassazione ha affrontato il caso da una diversa prospettiva assumendo che “la clausola con cui la banca ha subordinato l’esecuzione delle proprie operazioni al rilascio del consenso al trattamento dei dati sensibili contrasta indubitabilmente con i principi informatori della legge sulla privacy”, e segnatamente con il principio di minimizzazione di cui all’art. 5.1.c) del GDPR per il quale i dati personali devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”.

In realtà, il principio in questione qui non c’entra nulla! La clausola non è affatto contraria a norme imperative (sono clausole abbastanza standard nei contratti bancari). Contrario a norme imperative sarebbe semmai il trattamento eccedente le finalità dichiarate.

A tale riguardo, la banca non ha mai inteso utilizzare i dati ricevuti dal cliente per fini ulteriori rispetto a quelli di mera esecuzione del contratto di conto corrente. Essa, invero, si è difesa sostenendo che il trattamento dei dati sensibili sarebbe connaturato al servizio e non possa essere escluso in una normale operatività di gestione conto (si pensi ad una causale di una disposizione di bonifico che tradisca l’orientamento politico, religioso o sessuale del correntista).

È questo il perno su cui dovrebbe fare leva la decisione, non sulla minimizzazione, ma sulla questione se l’incidentale raccolta di dati sensibili da parte della banca debba considerarsi trattamento e se, come tale, debba o meno essere supportato da una valida e specifica manifestazione di consenso del soggetto interessato.

Coerenza e diritto.

L’errore concettuale di fondo che porta i giudici a concentrarsi sulla minimizzazione, si rivela tanto sbagliato quanto li induce ad una considerazione alquanto azzardata, oserei dire: “la Banca […] di fronte al rifiuto del cliente di sottoscrivere il consenso al trattamento dei dati sensibili, avrebbe dovuto, ove avesse voluto essere coerente, rifiutarsi di instaurare il rapporto contrattuale e non invece, come effettivamente avvenuto, consentire al cliente di aprire il conto e di operare sullo stesso per un certo periodo di tempo, salvo poi “bloccarlo” per una causa di cui era già pienamente consapevole all’atto dell’apertura del conto corrente”.

Secondo tale periodo, parrebbe che la banca debba incorrere in responsabilità risarcitoria perché incoerente. Ebbene, la coerenza non è una categoria giuridica, ma una qualità umana del tutto irrilevante per il diritto. Semmai la condotta della banca dimostra che il contratto concluso non è quello scritto sul documento, ma quello di fatto eseguito dalle parti, nel quale il consenso al trattamento dei dati sensibili non è condizione di esecuzione e di risoluzione/recesso.

Svolta questa premessa, torniamo all’ultimo periodo del paragrafo precedente e vediamo se davvero occorra il consenso al trattamento dei dati personali sensibili per l’apertura di un conto corrente.

Conservazione e cancellazione dei dati.

Rimosso il velo della minimizzazione, la sentenza in commento giunge comunque a conclusioni condivisibili. Secondo i giudici di legittimità la banca, al momento dell’apertura del conto, non avrebbe dovuto chiedere il consenso alla controparte sulla scorta del fatto che il trattamento di dati sensibili sarebbe stato solo eventuale e indiretto. La banca, continuano, avrebbe dovuto  semmai chiedere il consenso solo per la loro cancellazione. Benché non sia argomentata sufficientemente nelle motivazioni, questa conclusione pare corretta. Non solo è supportata dalla decisione del Garante “Istituti di credito – Criteri generali in materia di informativa e richiesta del consenso dell’interessato” del 28 maggio 1997 [doc. web n. 40425] (“Appare in aperto contrasto con l’anzidetto principio di finalità l’ampia richiesta di consenso per tutti i dati sensibili il cui trattamento generalizzato non può certo ritenersi connaturato alle esigenze nascenti da un comune contratto bancario”), ma è logica sotto ogni aspetto. Il trattamento, come tale, deve essere volontario e non accidentale. Se fosse altrimenti, sarebbe sufficiente inviare una mail contenente dati sensibili ad un servizio clienti qualsiasi per mettere fuori legge il destinatario.

Non avrei neanche dubbi sulla facoltà del destinatario di cancellare i dati sensibili così ricevuti pur senza il consenso del mittente. Diverso è il caso se tali dati fossero ricevuti dal destinatario nell’ambito di prestazione di servizi cui egli è obbligato, In tale ipotesi, che ricorre nella fattispecie qui in commento, dovrebbe sì essere chiesto il consenso preventivo al cliente.

Conclusioni.

Il consenso al trattamento dei dati sensibili non è funzionale (necessario quindi) alla prestazione di un servizio di conto corrente, e quindi non va chiesto né il contratto va condizionato al suo rilascio; è bene comunque prospettarlo come mera eventualità accidentale. L’accidentale ricezione e conservazione di dati sensibili non costituisce trattamento disciplinato dal GDPR ovvero, se vogliamo intendere la definizione di trattamento in senso oggettivo e letterale, si tratta di un trattamento che non può essere fonte di alcuna responsabilità amministrativa, civile o penale difettando del requisito soggettivo della colpa o del dolo.

Non va, infine, trascurato il fatto che, in una prospettiva evolutiva della patrimonializzazione dei dati personali, nulla vieta alla banca di raccogliere volutamente i dati sensibili del cliente – dietro suo consenso ovviamente – quale condizione per la prestazione del servizio di conto corrente.

Nel caso di specie, tuttavia, non può essere invocata tale circostanza poiché il consenso al trattamento dei dati sensibili fu chiesto dalla banca al correntista in modo generico e sul presupposto della sua necessità, non quale controprestazione di altri servizi o sconti su commissioni (sulla patrimonializzazione dei dati mi permetto di rinviare ad altri contributi su questa rivista: Il prezzo del consenso del 3 settembre 2018 e In California i dati personali sono fonte di reddito. L’oro del futuro del 17 giugno 2019).

Cass., Sez. I Civ., 21 ottobre 2019, ordinanza n. 26778

Francesco Rampone – f.rampone@lascalaw.com

© RIPRODUZIONE RISERVATA

Ascolta il nostro podcast IusPod – tutto il diritto che conta a questo link.

Print Friendly

Condividi su

Potrebbe interessarti anche
Banche e informativa privacy. La faccenda si complica

Dopo la tanto discussa sentenza del TAR Friuli Venezia Giulia, che ha stabilito che un responsabile ...

Privacy

Banche e informativa privacy. La faccenda si complica

Con la sentenza in commento, la Suprema Corte ha sviscerato gli elementi costitutivi del reato di cu...

Privacy

Il TAR detta regole restrittive per i DPO persone giuridiche

I dati personali sono l’oro del futuro. Sono un bene non rivale, che generiamo senza investimenti,...

Privacy