La Corte di Cassazione si \u00e8 recentemente pronunciata con due importanti sentenze in materia di privacy, con le quali ha approfondito il tema della minimizzazione del trattamento dei dati personali con specifico riferimento ai contratti bancari.<\/p>\n\n\n\n
Il principio di minimizzazione del trattamento dei dati personali \u00e8 sancito dall’art. 5, comma 1, lett. c) del GDPR, in forza del quale \u201ci dati personali sono adeguati, pertinenti e limitati a quanto necessario rispetto alle finalit\u00e0 per le quali sono trattati\u201d<\/em>.<\/p>\n\n\n\n Tale principio assume particolare rilevanza quando si parla di contratti tra professionisti e consumatori; ma ci\u00f2 vale ancor di pi\u00f9 quando si tratta di contratti \u2013 come quelli bancari \u2013 che possono richiedere il trattamento di dati particolarmente sensibili.<\/p>\n\n\n\n La Cassazione ha pertanto ritenuto opportuno pronunciarsi dettagliatamente sul tema al fine di risolvere le questioni palesatesi soprattutto in relazione al contemperamento del principio di minimizzazione con quello dell’autonomia contrattuale.<\/p>\n\n\n\n Con la sentenza n. 26778\/2019<\/strong>, la Suprema Corte ha cassato con rinvio la sentenza della Corte d’Appello di Genova che, confermando la sentenza di primo grado, aveva rigettato tutte le domande avanzate da un cliente di Deutsche Bank S.p.A., finalizzate a far accertare la responsabilit\u00e0 della Banca per aver \u201cbloccato\u201d l’operativit\u00e0 del proprio conto corrente bancario e del deposito titoli come conseguenza del fatto che quest’ultimo non aveva autorizzato l’istituto di credito al trattamento dei suoi dati sensibili.<\/p>\n\n\n\n La Corte d’Appello di Genova aveva affermato che la Banca, quale titolare del trattamento dei dati, nell’ambito della propria autonomia gestionale e contrattuale, non era soggetta a particolari limitazioni di legge e, pertanto, aveva legittimamente ritenuto necessario, per una completa e migliore gestione dei rapporti con la clientela, acquisire anche i dati sensibili.<\/p>\n\n\n\n La pretesa legittimit\u00e0 della decisione della Banca aveva trovato altres\u00ec la sua fonte nell’informativa privacy rilasciata al cliente all’atto della sottoscrizione del contratto, nella quale era esplicitamente specificato che, in caso di mancata autorizzazione al trattamento dei dati sensibili, la Banca non avrebbe potuto dar corso alle operazioni richieste dal correntista. Tali condizioni contrattuali furono liberamente sottoscritte dal cliente.<\/p>\n\n\n\n Il cliente ricorreva in Cassazione sollevando le seguenti questioni:<\/p>\n\n\n\n La Suprema Corte ha accolto i motivi di impugnazione del ricorrente, affermando che la clausola con cui la Banca aveva subordinato l’esecuzione delle proprie operazioni al rilascio del consenso al trattamento dei dati sensibili contrastava indubitabilmente con il principio di minimizzazione del trattamento dei dati personali. Le norme sulla privacy, infatti, hanno natura di norma imperativa, e non possono essere derogate dall’autonomia privata in quanto poste a tutela di interessi generali, di valori morali e sociali incardinati nell’ordinamento, e finalizzate al rispetto dei diritti e delle libert\u00e0 fondamentali, quali la dignit\u00e0, la riservatezza, l’identit\u00e0 personale, la protezione dei dati personali.<\/p>\n\n\n\n Il principio in esame deve essere, a maggior ragione, rispettato anche nel trattamento dei dati sensibili, oggi denominati \u201cdati particolari\u201d dall’art. 9 del GDPR, intendendosi per tali, i dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, i dati genetici, i dati biometrici intesi a identificare in modo univoco una persona fisica, i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.<\/p>\n\n\n\n A tal riguardo, la Banca aveva richiesto i dati personali sensibili a scopo cautelativo, onde evitare di doverli chiedere al cliente ogniqualvolta si fosse manifestata la necessit\u00e0 di reperirli. Secondo la Corte, la richiesta della Banca, oltre ad essere manifestamente pretestuosa, era in palese contrasto con il principio di minimizzazione in quanto i dati richiesti erano non pertinenti, non indispensabili ed eccedenti in modo evidente le finalit\u00e0 per cui erano stati trattati e raccolti.<\/p>\n\n\n\n Inoltre, la Banca, di fronte al rifiuto del cliente di sottoscrivere il consenso al trattamento dei dati sensibili, avrebbe dovuto, ove avesse voluto essere coerente, rifiutarsi di instaurare il rapporto contrattuale e non invece, come effettivamente avvenuto, consentire al cliente di aprire il conto e di operare sullo stesso per un certo periodo di tempo, salvo poi \u201cbloccarlo\u201d per una causa di cui era gi\u00e0 pienamente consapevole all’atto dell’apertura del conto stesso.<\/p>\n\n\n\n Alla luce di quanto sopra, la Cassazione ha dichiarato affetta da nullit\u00e0, in quanto contraria a norme imperative ex art. 1418 c.c., la clausola con cui la Banca aveva subordinato l’esecuzione delle operazioni bancarie al consenso del cliente al trattamento dei propri dati sensibili.<\/p>\n\n\n\n Anche con la sentenza n. 34113\/2019<\/strong> la Suprema Corte ha inteso riaffermare il principio della minimizzazione del trattamento dei dati personali in materia di contratti bancari.<\/p>\n\n\n\n Nello specifico, un cliente del Banco di Napoli S.p.A. aveva lamentato la violazione della normativa sulla privacy da parte della Banca, la quale, dopo aver pignorato un immobile di sua propriet\u00e0, posto a garanzia del contratto di mutuo cui lo stesso cliente si era reso inadempiente, aveva ceduto il proprio credito a un terzo soggetto privato, cui aveva altres\u00ec ceduto contestualmente alcuni dati personali sensibili del cliente debitore, quali quelli relativi alla sua esposizione debitoria e alla sua abitazione.<\/p>\n\n\n\n La Cassazione ha affermato che il trattamento delle informazioni personali effettuato nell’ambito dell’attivit\u00e0 di recupero crediti \u00e8 lecito anche con riguardo ai dati sensibili. Ciononostante, \u00e8 necessario che tale trattamento avvenga nel rispetto del principio di minimizzazione, dovendo essere utilizzati solo i dati indispensabili, pertinenti e limitati a quanto necessario per il perseguimento delle finalit\u00e0 per cui sono raccolti e trattati.<\/p>\n\n\n\n A tal fine occorre che chi lamenta la violazione delle norme sulla privacy debba dare dimostrazione del fatto che il trasferimento dei dati non fosse necessario per le finalit\u00e0 connesse al recupero del credito. Non pu\u00f2 infatti ritenersi che la Banca sia incorsa nella violazione della legge sulla privacy solo perch\u00e9 abbia fornito ai soggetti acquirenti del credito informazioni \u2013 anche sensibili \u2013 riguardanti il debitore, ove non venga fornita prova che la comunicazione a terzi sia avvenuta in violazione del principio di minimizzazione.<\/p>\n\n\n\n Nel caso di specie, il ricorrente aveva lamentato la rivelazione da parte della Banca di dati c.d. sensibili concernenti la sua persona, ma non aveva indicato espressamente quali n\u00e9 aveva provato la violazione del criterio della minimizzazione nell’uso dei dati personali.<\/p>\n\n\n\n La Corte ha pertanto respinto il ricorso.<\/p>\n\n\n\n Concludendo, con tali pronunce la Cassazione ha confermato e ribadito la fondamentale rilevanza del principio di minimizzazione del trattamento dei dati personali, elevandolo a valore di rango costituzionale primario che trascende il principio dell’autonomia negoziale privata, il quale, pur essendo anch’esso costituzionalmente riconosciuto e tutelato, \u00e8 destinato a cedere di fronte alla tutela della riservatezza.<\/p>\n\n\n\n Tuttavia, la tutela di tale principio non esclude l’onere della prova a carico di chi ne lamenta la violazione, essendo costui tenuto a dimostrare sia che la lesione abbia riguardato effettivamente dati sensibili sia che l’utilizzo dei dati personali fosse non indispensabile, non pertinente e sproporzionato rispetto alle finalit\u00e0 di trattamento per le quali erano stati raccolti.<\/p>\n","protected":false},"excerpt":{"rendered":" La Corte di Cassazione si \u00e8 recentemente pronunciata con due importanti sentenze in materia di privacy, con le quali ha approfondito il tema della minimizzazione del trattamento dei dati personali con specifico riferimento ai contratti bancari. Il principio di minimizzazione del trattamento dei dati personali \u00e8 sancito dall’art. 5, comma 1, lett. c) del GDPR, […]<\/p>\n","protected":false},"author":9,"featured_media":3846,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","_seopress_robots_follow":"","_seopress_robots_imageindex":"","_seopress_robots_snippet":"","_seopress_robots_primary_cat":"none","_seopress_robots_breadcrumbs":"","_seopress_robots_freeze_modified_date":"","_seopress_robots_custom_modified_date":"","_seopress_robots_canonical":"","_seopress_social_fb_title":"","_seopress_social_fb_desc":"","_seopress_social_fb_img":"","_seopress_social_fb_img_attachment_id":0,"_seopress_social_fb_img_width":0,"_seopress_social_fb_img_height":0,"_seopress_social_twitter_title":"","_seopress_social_twitter_desc":"","_seopress_social_twitter_img":"","_seopress_social_twitter_img_attachment_id":0,"_seopress_social_twitter_img_width":0,"_seopress_social_twitter_img_height":0,"_seopress_redirections_value":"","_seopress_redirections_enabled":"","_seopress_redirections_enabled_regex":"","_seopress_redirections_logged_status":"both","_seopress_redirections_param":"","_seopress_redirections_type":301,"_seopress_analysis_target_kw":"","_seopress_news_disabled":"","_seopress_video_disabled":"","_seopress_video":[],"_seopress_pro_schemas_manual":[],"_seopress_pro_rich_snippets_disable_all":"","_seopress_pro_rich_snippets_disable":[],"_seopress_pro_schemas":[],"iawp_total_views":84,"footnotes":""},"categories":[],"tags":[],"class_list":["post-1825","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry"],"_links":{"self":[{"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/posts\/1825","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/users\/9"}],"replies":[{"embeddable":true,"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/comments?post=1825"}],"version-history":[{"count":0,"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/posts\/1825\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/media\/3846"}],"wp:attachment":[{"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/media?parent=1825"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/categories?post=1825"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/tags?post=1825"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}\n