Rapporto di conto corrente e dati personali

8

Corte di Cassazione, sezione prima civile, Ordinanza 21 ottobre 2019, n. 26778.

La massima estrapolata:

In tema di rapporto di conto corrente la banca può trattare solo i dati personali effettivamente necessari per la gestione del rapporto contrattuale con il cliente, il quale non può essere obbligato a consentire il trattamento di dati ulteriori che lo riguardano, specie se sensibili. In base alla normativa in materia di protezione dei dati personali, il principio di “minimizzazione dei dati” ha natura di norma imperativa ed è pertanto inderogabile. In particolare, esso è stato riconosciuto dalla disciplina sul trattamento dei dati personali come presidio di tutela dei diritti degli interessati dal Dlgs 30 giugno 2003 n. 196, articoli 3 e 11, lettera d) (Codice in materia di protezione dei dati personali) e pienamente ribadito anche più recentemente nell’articolo 5, lettera c), del Regolamento generale in materia di protezione dei dati personali Gdpr) e nella conseguente affermazione della sua inderogabilità dall’autonomia privata. Nel caso in specie è da ritenersi tutt’altro che legittima la condotta dell’istituto di credito laddove essa ha inteso condizionare l’operatività del conto corrente bancario del cliente alla prestazione del suo consenso al trattamento dei propri dati sensibili che, nel caso specifico, non risultavano tra quelli necessari per la corretta e completa gestione del rapporto contrattuale. In conclusione, non può essere rimessa all’autonomia delle parti – con una apposita clausola

Ordinanza 21 ottobre 2019, n. 26778

Data udienza 26 giugno 2019

REPUBBLICA ITALIANA

IN NOME DEL POPOLO ITALIANO

LA CORTE SUPREMA DI CASSAZIONE

SEZIONE PRIMA CIVILE

Composta dagli Ill.mi Sigg.ri Magistrati:

Dott. SAMBITO Maria Giovanna Concetta – Presidente

Dott. MARULLI Marco – Consigliere

Dott. IOFRIDA Giulia – Consigliere

Dott. NAZZICONE Loredana – Consigliere

Dott. FIDANZIA Andrea – rel. Consigliere

ha pronunciato la seguente:

ORDINANZA
sul ricorso 25950/2015 proposto da:
(OMISSIS), domiciliato in Roma, Piazza Cavour, presso la Cancelleria Civile della Corte di Cassazione, rappresentato e difeso dall’avvocato (OMISSIS), giusta procura in calce al ricorso;
– ricorrente –
contro
(OMISSIS) Spa, in persona del legale rappresentante pro tempore, elettivamente domiciliata in (OMISSIS), presso lo studio dell’avvocato (OMISSIS), rappresentata e difesa dall’avvocato (OMISSIS), giusta procura in calce al controricorso;
– controricorrente –
avverso la sentenza n. 1298/2014 della CORTE D’APPELLO di GENOVA, depositata il 18/10/2014;
udita la relazione della causa svolta nella camera di consiglio del 26/06/2019 dal Cons. FIDANZIA ANDREA

FATTI DI CAUSA

Con sentenza depositata il 18 ottobre 2014 la Corte d’Appello di Genova ha confermato la sentenza di primo grado con cui il Tribunale di Chiavari ha rigettato tutte le domande proposte da (OMISSIS) finalizzate a far accertare in capo alla (OMISSIS) s.p.a. la responsabilita’ contrattuale e/o extra contrattuale e/o violazione di legge, con conseguente condanna al risarcimento dei danni patrimoniali e non patrimoniali, per aver “bloccato” l’operativita’ del conto corrente bancario e del deposito titoli, nella titolarita’ del cliente, dai primi giorni di marzo 2008 come conseguenza del fatto che quest’ultimo non aveva inteso autorizzare l’istituto di credito al trattamento dei suoi dati sensibili.
La Corte d’Appello di Genova ha condiviso l’impostazione giuridica del giudice di primo grado secondo cui la banca, quale titolare del trattamento dei dati, nell’ambito della propria autonomia gestionale e contrattuale, non soggetta a particolari limitazioni di legge, avesse legittimamente ritenuto necessario, per una completa e migliore gestione dei rapporti con la clientela, acquisire anche i dati sensibili. Ne’ l’istituto di credito era incorso in violazioni della legge sulla privacy o in inadempimenti contrattuali, avendo espressamente comunicato al sig. (OMISSIS), a norma del Decreto Legislativo n. 196 del 2003, articolo 13, all’atto della sottoscrizione del contratto, che in caso di mancata autorizzazione al trattamento dei dati sensibili, la banca non avrebbe potuto dar corso alle operazioni richieste dal correntista, e, nonostante cio’, tali condizioni contrattuali furono liberamente sottoscritte dal cliente.
Avverso questa sentenza ha proposto ricorso per cassazione (OMISSIS), affidandolo a sette motivi.
La (OMISSIS) si e’ costituita in giudizio con controricorso eccependo la genericita’ del ricorso e l’inammissibilita’ dello stesso ex articolo 360 bis c.p.c..
Entrambe le parti hanno depositato le memorie ex articolo 180 bis.1 c.p.c..

RAGIONI DELLA DECISIONE

1. Prima di illustrare i motivi del ricorso del sig. (OMISSIS) vanno disattese le eccezioni di inammissibilita’ del ricorso sollevate dalla controricorrente.
In primo luogo, il ricorrente non propone affatto una diversa lettura delle risultanze processuali concentrando le proprie censure soprattutto sulle violazioni di legge (articolo 1322 c.c. e legge sulla privacy). Peraltro, tale eccezione e’ palesemente generica, non facendo alcun riferimento alla vicenda concreta per cui e’ procedimento.
Palesemente inconferente e’, inoltre, il richiamo all’articolo 360 bis c.p.c., non avendo i giudici di merito affatto esaminato questioni di diritto su cui la giurisprudenza ha deciso in modo conforme.
2. Con il primo motivo (OMISSIS) ha dedotto la violazione e la falsa applicazione dell’articolo 360 c.p.c., comma 1, n. 3. in relazione all’articolo 1322 c.c. e articolo 41 Cost.. Lamenta il ricorrente che l’autonomia contrattuale non puo’ essere esercitata senza limiti, quale quello previsto dal Decreto Legislativo n. 196 del 2003, articolo 23, secondo cui il consenso al trattamento dei dati personali e’ validamente prestato solo se espresso liberamente. Obbligare il cliente a rilasciare il consenso al trattamento dei dati sensibili con la prospettazione di bloccare, in caso contrario, il conto corrente o il deposito titoli, rientra nelle forme di pressione non consentite dall’autonomia contrattuale, incidendo sul libero discernimento, e cio’ in contrasto anche con svariate norme della Costituzione, tra cui gli articoli 2, 41 e 47.
3. Con il secondo motivo e’ stata dedotta la violazione e la falsa applicazione del Decreto Legislativo n. 196 del 2003, articolo 13, articolo 23, comma 3 e articolo 24.
Ribadisce il ricorrente che non e’ conforme alla legge sulla privacy obbligare l’altro contraente a rilasciare il consenso ai dati sensibili, senza che cio’ corrisponda ad alcun bisogno, prospettando, diversamente, la mancata esecuzione delle operazioni bancarie.
Le linee guida in tema di trattamento di dati personali della clientela in ambito bancario emanate dal Garante della Privacy ribadiscono i principi di pertinenza e di non eccedenza espressi dal Decreto Legislativo n. 196 del 2003, articolo 11, comma 1, lettera d).
4. Con il terzo motivo e’ stata dedotta la falsa applicazione della clausola 8.1. del contratto.
Lamenta il ricorrente che il capitolo 5, clausola 8.1. del contratto uniforme indicava come necessario solo il consenso relativo ai dati personali.
5. Con il quarto motivo e’ stata dedotta la nullita’ della sentenza e del procedimento per violazione del principio del contraddittorio, di cui all’articolo 101 c.p.c., comma 2 e articoli 24 e 111 Cost..
Lamenta il ricorrente che il giudice d’appello ha posto a fondamento della propria decisione tre eccezioni rilevate d’ufficio, quali quelle relative al principio di specificita’ dei motivi, all’erronea applicazione dell’articolo 115 c.p.c. e alla doglianza sulla liquidazione delle spese del giudizio di primo grado.
6. Con il quinto motivo e’ stata dedotta la violazione del principio di specificita’, secondo la formulazione dell’articolo 342 comma 1 c.p.c. previgente.
Lamenta il ricorrente di aver dedotto dettagliatamente ed analiticamente tutte le ragioni della erroneita’ della sentenza di primo grado, osservando che, in ogni caso, l’articolo 342 c.p.c., comma 1 previgente non richiedeva una rigorosa e formalistica enunciazione delle ragioni invocate a sostegno dell’appello.
7. Con il sesto motivo e’ stata dedotta violazione di legge in relazione all’articolo 113 c.p.c., articoli 24, 54, 101 e 111 Cost..
Lamenta il ricorrente di non aver mai sostenuto la subordinazione delle fonti normative a quelle contrattuali.
8. Con il settimo motivo e’ stata censurata la statuizione della sentenza d’appello d’appello nella parte in cui ha dichiarato inammissibile per difetto di specificita’ la doglianza sulla liquidazione delle spese.
Lamenta il ricorrente che il giudice di primo grado aveva disposto una condanna omnicomprensiva senza la possibilita’ di controllare analiticamente la correttezza della liquidazione con le tabelle in vigore al tempo.
9. I primi tre motivi, da esaminare unitariamente in relazione alla stretta connessione delle questioni trattate, sono fondati.
Va osservato che non e’ contestato tra le parti che la banca controricorrente, all’atto della stipula del contratto di conto corrente, con relativa apertura del deposito titoli, abbia sottoposto all’attenzione del cliente, con comunicazione controfirmata da quest’ultimo, la clausola che, in mancanza del consenso al trattamento dei dati sensibili, l’istituto di credito non avrebbe potuto dare corso alle operazioni ed ai servizi richiesti.
Proprio in virtu’ della circostanza che il cliente, con la predetta informativa, era stato pienamente reso edotto delle conseguenze previste dalla banca in caso di rifiuto a rilasciare il consenso al trattamento dei dati sensibili (e nonostante cio’, il cliente avesse comunque sottoscritto il contratto), entrambi i giudici di merito hanno ritenuto che l’istituto di credito non sia incorso in nessun inadempimento contrattuale, ne’ nella violazione della legge sulla privacy, avendo la banca stabilito una tale regolamentazione nell’esercizio della propria autonomia contrattuale e gestionale, non soggetta a particolari limitazioni di legge, ai fini di una completa e migliore gestione dei rapporti con la clientela.
Questo Collegio non condivide l’impostazione giuridica della sentenza impugnata.
Va, in primo luogo, osservato che la clausola con cui la banca ha subordinato l’esecuzione delle proprie operazioni al rilascio del consenso al trattamento dei dati sensibili contrasta indubitabilmente con i principi informatori della legge sulla privacy, la quale ha natura di norma imperativa, contenendo tale normativa precetti che non possono essere derogati dall’autonomia privata in quanto posti a tutela di interessi generali, di valori morali e sociali pregnanti nel nostro ordinamento, finalizzati al rispetto dei diritti e delle liberta’ fondamentali, quali la dignita’, la riservatezza, l’identita’ personale, la protezione dei dati personali.
Tra i principi che regolano la tutela della c.d. privacy rientra a pieno titolo quello di minimizzazione nell’uso dei dati personali, dovendo essere utilizzati solo i dati indispensabili, pertinenti e limitati a quanto necessario per il perseguimento delle finalita’ per cui sono raccolti e trattati.
In particolare, tale principio e’ ben espresso dal Decreto Legislativo n. 196 del 2003, articolo 3, recante il titolo “principio di necessita’ nel trattamento dei dati”, dall’articolo 11, lettera d) legge cit., che richiede la pertinenza, la completezza e non eccedenza dei dati rispetto alle finalita’ per cui sono raccolti e trattati ed e’ stato recentemente riaffermato con l’entrata in vigore dell’articolo 5, lettera c) del regolamento Europeo sulla protezione dei dati personali 2016/679.
Il principio in esame deve essere, a maggior ragione, rispettato anche nel trattamento dei dati sensibili, intendendo per tali, a norma del Decreto Legislativo n. 196 del 2003, articolo 4, comma 1, lettera d), quei dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonche’ i dati personali idonei a rivelare lo stato di salute e la vita sessuale.
Nel caso di specie, la banca ha apoditticamente giustificato la necessita’ di un consenso obbligatorio del cliente al rilascio dell’autorizzazione al trattamento dei dati sensibili con la propria “policy” aziendale, ai fini di una imprecisata completa e migliore gestione dei rapporti con la clientela, precisando, anche secondo la ricostruzione dei giudici di merito, di ritenere necessario acquisire i dati sensibili, non nel senso “che la banca necessiti di avere a disposizione i dati c.d. sensibili per poter operare, ma nel senso che potendo tali dati venire a conoscenza dell’istituto di Credito, in via di cautela la banca vuole ottenere il consenso al loro trattamento” (pag. 6 sentenza impugnata).
Tale affermazione non ha una giustificazione plausibile.
La stessa banca ha dato atto – e non poteva fare diversamente in considerazione della precisa nozione di dati sensibili, evincibile del Decreto Legislativo n. 196 del 2003, articolo 4, comma 1, lettera d) – di non aver bisogno di tali dati per operare. E’ quindi evidente che il fondare, a scopo cautelativo, la richiesta obbligatoria al cliente di rilascio dell’autorizzazione al trattamento dei dati sensibili sulla eventuale (alquanto remota) possibilita’ che la Banca ne venga a conoscenza nel corso della sua attivita’ assume la connotazione di un mero pretesto.
La Banca ha dunque richiesto obbligatoriamente – prospettando, diversamente, l’impossibilita’ di poter dar corso alle operazioni ed ai servizi richiesti – il consenso al trattamento di dati sensibili non pertinenti, non indispensabili (tali sono quelli relativi alle origine razziale, etnica del cliente, alla sua salute, alla vita sessuale, etc) eccedenti in modo evidente le finalita’ per cui tali dati sono trattati e raccolti. Ne’ potrebbe neppure giustificarsi l’illegittima richiesta di autorizzazione al trattamento dei dati sensibili con il rilievo che nella nozione di “trattamento”, a norma dell’articolo 4, comma 1 legge cit., rientra qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, e quindi non solo la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione di dati, anche se non registrati in una banca di dati, ma anche la cancellazione e la distruzione dei medesimi.
In proposito, e’ evidente che se la Banca fosse stata realmente mossa dall’unico intento di provvedere alla mera cancellazione e distruzione dei dati sensibili di cui fosse eventualmente venuta a conoscenza per pura casualita’, non sarebbe stato necessario imporre il consenso preventivo e generico al loro “trattamento” (che e’ comprensivo di tutte le operazioni di utilizzo sopra enunciate), potendo richiedere una tantum il consenso alla distruzione e cancellazione di tali dati, una volta eventualmente manifestatasi l’esigenza.
In conclusione, la clausola con cui la banca ha subordinato il dar corso alle operazioni richieste dal cliente al consenso al trattamento dei dati sensibili e’ affetta da nullita’ in quanto contraria a norme imperative, a norma dell’articolo 1418 c.c.. Ne consegue che la condotta con cui lo stesso istituto di credito ha successivamente provveduto al “blocco” del conto corrente e del deposito titoli, proprio perche’ trova il proprio titolo in una clausola nulla dalla stessa inserita, non lo esonera da responsabilita’ per inadempimento contrattuale.
Peraltro, la Banca, avendo sottoposto l’informativa piu’ volte citata, all’attenzione del cliente all’atto della sottoscrizione del contratto di conto corrente bancario, di fronte al rifiuto del cliente di sottoscrivere il consenso al trattamento dei dati sensibili, avrebbe dovuto, ove avesse voluto essere coerente, rifiutarsi di instaurare il rapporto contrattuale e non invece, come effettivamente avvenuto, consentire al cliente di aprire il conto e di operare sullo stesso per un certo periodo di tempo, salvo poi “bloccarlo” per una causa di cui era gia’ pienamente consapevole all’atto dell’apertura del conto corrente (e del conto titoli).
Deve pertanto cassarsi la sentenza impugnata con rinvio alla Corte d’Appello di Genova, in diversa composizione, per nuovo esame e per provvedere sulle spese del giudizio di legittimita’.
9. I motivi dal quarto al settimo sono assorbiti.

P.Q.M.

Accoglie i primi tre motivi, assorbiti gli altri e rinvia alla Corte d’Appello di Genova, in diversa composizione, per nuovo esame e per provvedere sulle spese del giudizio di legittimita’.

 

In caso di diffusione omettere le generalità e gli altri dati identificativi dei soggetti interessati nei termini indicati.

Per aprire la pagina facebook @avvrenatodisa
Cliccare qui