Il principio di minimizzazione del trattamento dei dati personali nei contratti bancari

Plico di riviste

La Corte di Cassazione si è recentemente pronunciata con due importanti sentenze in materia di privacy, con le quali ha approfondito il tema della minimizzazione del trattamento dei dati personali con specifico riferimento ai contratti bancari.

Il principio di minimizzazione del trattamento dei dati personali è sancito dall’art. 5, comma 1, lett. c) del GDPR, in forza del quale “i dati personali sono adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”.

Tale principio assume particolare rilevanza quando si parla di contratti tra professionisti e consumatori; ma ciò vale ancor di più quando si tratta di contratti – come quelli bancari – che possono richiedere il trattamento di dati particolarmente sensibili.

La Cassazione ha pertanto ritenuto opportuno pronunciarsi dettagliatamente sul tema al fine di risolvere le questioni palesatesi soprattutto in relazione al contemperamento del principio di minimizzazione con quello dell’autonomia contrattuale.

Con la sentenza n. 26778/2019, la Suprema Corte ha cassato con rinvio la sentenza della Corte d’Appello di Genova che, confermando la sentenza di primo grado, aveva rigettato tutte le domande avanzate da un cliente di Deutsche Bank S.p.A., finalizzate a far accertare la responsabilità della Banca per aver “bloccato” l’operatività del proprio conto corrente bancario e del deposito titoli come conseguenza del fatto che quest’ultimo non aveva autorizzato l’istituto di credito al trattamento dei suoi dati sensibili.

La Corte d’Appello di Genova aveva affermato che la Banca, quale titolare del trattamento dei dati, nell’ambito della propria autonomia gestionale e contrattuale, non era soggetta a particolari limitazioni di legge e, pertanto, aveva legittimamente ritenuto necessario, per una completa e migliore gestione dei rapporti con la clientela, acquisire anche i dati sensibili.

La pretesa legittimità della decisione della Banca aveva trovato altresì la sua fonte nell’informativa privacy rilasciata al cliente all’atto della sottoscrizione del contratto, nella quale era esplicitamente specificato che, in caso di mancata autorizzazione al trattamento dei dati sensibili, la Banca non avrebbe potuto dar corso alle operazioni richieste dal correntista. Tali condizioni contrattuali furono liberamente sottoscritte dal cliente.

Il cliente ricorreva in Cassazione sollevando le seguenti questioni:

  • il consenso al trattamento dei dati personali è validamente prestato solo se espresso liberamente e, pertanto, obbligare il cliente a rilasciare il consenso al trattamento dei dati sensibili con la prospettazione di bloccare, in caso contrario, il conto corrente o il deposito titoli, rientra nelle forme di pressione non consentite dall’autonomia contrattuale;
  • in forza dei principi di pertinenza e di non eccedenza, non è conforme alle norme sulla privacy obbligare l’altro contraente a rilasciare il consenso ai dati sensibili, senza che ciò corrisponda ad alcun bisogno, prospettando, diversamente, la mancata esecuzione delle operazioni bancarie;
  • le condizioni di contratto indicavano come necessario solo il consenso relativo ai dati personali.

La Suprema Corte ha accolto i motivi di impugnazione del ricorrente, affermando che la clausola con cui la Banca aveva subordinato l’esecuzione delle proprie operazioni al rilascio del consenso al trattamento dei dati sensibili contrastava indubitabilmente con il principio di minimizzazione del trattamento dei dati personali. Le norme sulla privacy, infatti, hanno natura di norma imperativa, e non possono essere derogate dall’autonomia privata in quanto poste a tutela di interessi generali, di valori morali e sociali incardinati nell’ordinamento, e finalizzate al rispetto dei diritti e delle libertà fondamentali, quali la dignità, la riservatezza, l’identità personale, la protezione dei dati personali.

Il principio in esame deve essere, a maggior ragione, rispettato anche nel trattamento dei dati sensibili, oggi denominati “dati particolari” dall’art. 9 del GDPR, intendendosi per tali, i dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, i dati genetici, i dati biometrici intesi a identificare in modo univoco una persona fisica, i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

A tal riguardo, la Banca aveva richiesto i dati personali sensibili a scopo cautelativo, onde evitare di doverli chiedere al cliente ogniqualvolta si fosse manifestata la necessità di reperirli. Secondo la Corte, la richiesta della Banca, oltre ad essere manifestamente pretestuosa, era in palese contrasto con il principio di minimizzazione in quanto i dati richiesti erano non pertinenti, non indispensabili ed eccedenti in modo evidente le finalità per cui erano stati trattati e raccolti.

Inoltre, la Banca, di fronte al rifiuto del cliente di sottoscrivere il consenso al trattamento dei dati sensibili, avrebbe dovuto, ove avesse voluto essere coerente, rifiutarsi di instaurare il rapporto contrattuale e non invece, come effettivamente avvenuto, consentire al cliente di aprire il conto e di operare sullo stesso per un certo periodo di tempo, salvo poi “bloccarlo” per una causa di cui era già pienamente consapevole all’atto dell’apertura del conto stesso.

Alla luce di quanto sopra, la Cassazione ha dichiarato affetta da nullità, in quanto contraria a norme imperative ex art. 1418 c.c., la clausola con cui la Banca aveva subordinato l’esecuzione delle operazioni bancarie al consenso del cliente al trattamento dei propri dati sensibili.

Anche con la sentenza n. 34113/2019 la Suprema Corte ha inteso riaffermare il principio della minimizzazione del trattamento dei dati personali in materia di contratti bancari.

Nello specifico, un cliente del Banco di Napoli S.p.A. aveva lamentato la violazione della normativa sulla privacy da parte della Banca, la quale, dopo aver pignorato un immobile di sua proprietà, posto a garanzia del contratto di mutuo cui lo stesso cliente si era reso inadempiente, aveva ceduto il proprio credito a un terzo soggetto privato, cui aveva altresì ceduto contestualmente alcuni dati personali sensibili del cliente debitore, quali quelli relativi alla sua esposizione debitoria e alla sua abitazione.

La Cassazione ha affermato che il trattamento delle informazioni personali effettuato nell’ambito dell’attività di recupero crediti è lecito anche con riguardo ai dati sensibili. Ciononostante, è necessario che tale trattamento avvenga nel rispetto del principio di minimizzazione, dovendo essere utilizzati solo i dati indispensabili, pertinenti e limitati a quanto necessario per il perseguimento delle finalità per cui sono raccolti e trattati.

A tal fine occorre che chi lamenta la violazione delle norme sulla privacy debba dare dimostrazione del fatto che il trasferimento dei dati non fosse necessario per le finalità connesse al recupero del credito. Non può infatti ritenersi che la Banca sia incorsa nella violazione della legge sulla privacy solo perché abbia fornito ai soggetti acquirenti del credito informazioni – anche sensibili – riguardanti il debitore, ove non venga fornita prova che la comunicazione a terzi sia avvenuta in violazione del principio di minimizzazione.

Nel caso di specie, il ricorrente aveva lamentato la rivelazione da parte della Banca di dati c.d. sensibili concernenti la sua persona, ma non aveva indicato espressamente quali né aveva provato la violazione del criterio della minimizzazione nell’uso dei dati personali.

La Corte ha pertanto respinto il ricorso.

Concludendo, con tali pronunce la Cassazione ha confermato e ribadito la fondamentale rilevanza del principio di minimizzazione del trattamento dei dati personali, elevandolo a valore di rango costituzionale primario che trascende il principio dell’autonomia negoziale privata, il quale, pur essendo anch’esso costituzionalmente riconosciuto e tutelato, è destinato a cedere di fronte alla tutela della riservatezza.

Tuttavia, la tutela di tale principio non esclude l’onere della prova a carico di chi ne lamenta la violazione, essendo costui tenuto a dimostrare sia che la lesione abbia riguardato effettivamente dati sensibili sia che l’utilizzo dei dati personali fosse non indispensabile, non pertinente e sproporzionato rispetto alle finalità di trattamento per le quali erano stati raccolti.

Scritto da
Alessandro Castioni