È responsabile la banca che blocca l’operatività del cliente per assenza di autorizzazione al trattamento dei dati

La clausola contrattuale con cui la banca subordina il dar corso alle operazioni richieste dal cliente al consenso al trattamento dei dati sensibili è affetta da nullità in quanto contraria a norme imperative, a norma dell'art. 1418 c.c

Molto interessante la decisione qui in rassegna Cass. civile, Sez. I, Ordinanza n. 26778/19, depositata il 21 ottobre , che tocca un argomento molto delicato e dalla grande rilevanza pratica la gestione dei dati personali da parte degli istituti di credito. Una decisione che può accendere un concreto interesse da parte di tutti specialmente dei cittadini-clienti , riequilibrando un aspetto contrattuale molto spesso del tutto squilibrato a favore delle banche. Il caso la mancata autorizzazione al trattamento dei dati sensibili. Un cliente conveniva in giudizio una banca per far accertare la sua responsabilità contrattuale e/o extracontrattuale, con conseguente richiesta risarcitoria, perché l’istituto di credito aveva bloccato l'operatività del conto corrente bancario e del deposito titoli, nella titolarità del cliente, come conseguenza del fatto che quest'ultimo non aveva inteso autorizzare la banca al trattamento dei suoi dati sensibili. Sia in primo grado, sia in appello, la domanda risarcitoria veniva rigettata. In particolare, secondo i giudici di merito, la banca, quale titolare del trattamento dei dati, nell'ambito della propria autonomia gestionale e contrattuale non soggetta a particolari limitazioni di legge, aveva legittimamente ritenuto necessario, per una completa e migliore gestione dei rapporti con la clientela, acquisire anche i dati sensibili. Secondo la Corte territoriale non vi sarebbe stata neppure violazione della legge sulla privacy considerato che all’atto della sottoscrizione del contratto il cliente era stato avvisato del fatto che in caso di mancata autorizzazione al trattamento dei dati sensibili, la banca non avrebbe potuto dar corso alle operazioni richieste dal correntista avvertenza sottoscritta dal cliente. Seguiva il ricorso per cassazione. L’autonomia contrattuale può derogare alla legge sulla privacy? Risposta decisamente negativa della Suprema Corte che esprime un giudizio molto chiaro e al tempo stesso molto critico nei confronti della decisione assunta dalla Corte d’appello e dal Tribunale ancor prima . Attenzione alle forme di pressione nei confronti del cliente. A questo proposito, secondo il ricorrente, l'autonomia contrattuale non può essere esercitata senza limiti, quale quello previsto dall'art. 23 d.lgs n. 196/2003, secondo cui il consenso al trattamento dei dati personali è validamente prestato solo se espresso liberamente. E obbligare il cliente a rilasciare il consenso al trattamento dei dati sensibili con la prospettazione di bloccare, in caso contrario, il conto corrente o il deposito titoli, rientra nelle forme di pressione non consentite dall'autonomia contrattuale. I limiti alla autonomia di gestione della banca. Va precisato che in ragione del fatto pacifico in causa che il cliente avesse sottoscritto l’informativa della banca con la quale era stato reso edotto delle conseguenze previste in caso di rifiuto a rilasciare il consenso al trattamento dei dati sensibili, entrambi i giudici di merito avevano ritenuto che l'istituto di credito non fosse incorso in nessun inadempimento contrattuale, né nella violazione della legge sulla privacy, avendo la banca stabilito una tale regolamentazione nell'esercizio della propria autonomia contrattuale e gestionale, non soggetta a particolari Imitazioni di legge, ai fini di una completa e migliore gestione dei rapporti con la clientela. La normativa in tema di privacy ha natura imperativa. Ma detta impostazione viene del tutto disattesa dagli Ermellini. Infatti, secondo la Suprema Corte, la clausola con la quale la banca ha subordinato l’esecuzione delle proprie operazioni al rilascio del consenso al trattamento dei dati sensibili contrasta indubitabilmente con i principi informatori della legge sulla privacy, la quale ha natura di norma imperativa, contenendo tale normativa precetti che non possono essere derogati dall'autonomia privata in quanto posti a tutela di interessi generali, di valori morali e sociali pregnanti nel nostro ordinamento, finalizzati al rispetto dei diritti e delle libertà fondamentali, quali la dignità, la riservatezza, l'identità personale, la protezione dei dati personali. Fondamentale la minimizzazione dell’uso dei dati specialmente in caso di dati sensibili”. Tra i principi che regolano la tutela della c.d. privacy rientra a pieno titolo quello di minimizzazione nell'uso dei dati personali, dovendo essere utilizzati solo i dati indispensabili, pertinenti e limitati a quanto necessario per il perseguimento delle finalità per cui sono raccolti e trattati principio espresso in particolare dall’art. 3 legge sulla privacy . Principio che a maggior ragione deve valere nel caso in cui si discuta di e venga chiesta l’autorizzazione al trattamento di dati sensibili, cioè quei dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale. Può essere allora una giustificazione la policy aziendale”? Assolutamente no. I Giudice di Piazza Cavour osservano che, nel caso di specie, la banca aveva apoditticamente giustificato la necessità di un consenso obbligatorio al rilascio dell'autorizzazione al trattamento dei dati sensibili con la propria policy aziendale, ai fini di una imprecisata completa e migliore gestione dei rapporti con la clientela, precisando di ritenere necessario acquisire i dati sensibili per ragioni del tutto pragmatiche, cioè per l’ipotesi in cui la banca fosse ipoteticamente venuta a conoscenza di dati sensibili in tal caso, avendo essa già preventivamente incamerato il consenso al trattamento, tutto sarebbe stato più semplice a livello gestionale. Affermazione che gli Ermellini non esitano a valutare come del tutto priva di giustificazione plausibile. Il principio di diritto affermato norme imperative e responsabilità contrattuale per blocco” del conto corrente. In conclusione, secondo i giudici di legittimità, la clausola con cui la banca ha subordinato il dar corso alle operazioni richieste dal cliente al consenso al trattamento dei dati sensibili è affetta da nullità in quanto contraria a norme imperative, a norma dell'art. 1418 c.c Ne consegue che la condotta con cui lo stesso istituto di credito ha successivamente provveduto al blocco del conto corrente e del deposito titoli, proprio perché trova il proprio titolo in una clausola nulla dalla stessa inserita, non lo esonera da responsabilità per inadempimento contrattuale. Un altro aspetto rilevante della vicenda perché la banca non si è rifiutata subito di avviare il rapporto con il cliente? Il comportamento della banca è apparso ben poco trasparente anche alla luce di una ulteriore considerazione svolta dalla Suprema Corte che appare pure del tutto condivisibile . La banca, constatato il rifiuto del cliente alla sottoscrizione dell’informativa con cui si autorizzava l’istituzione di credito al trattamento dei dati sensibili, avrebbe dovuto, ove avesse voluto essere coerente, rifiutarsi di instaurare il rapporto contrattuale e non invece, come effettivamente avvenuto, consentire al cliente di aprire il conto e di operare sullo stesso per un certo periodo di tempo, salvo poi bloccarlo per una causa di cui era già pienamente consapevole all'atto dell'apertura del conto corrente e del conto titoli .

Corte di Cassazione, sez. I Civile, ordinanza 26 giugno – 21 ottobre 2019, n. 26778 Presidente Sambito – Relatore Fidanzia Fatti di causa Con sentenza depositata il 18 ottobre 2014 la Corte d’Appello di Genova ha confermato la sentenza di primo grado con cui il Tribunale di Chiavari ha rigettato tutte le domande proposte da E.L. finalizzate a far accertare in capo alla Deutsche Bank s.p.a. la responsabilità contrattuale e/o extra contrattuale e/o violazione di legge, con conseguente condanna al risarcimento dei danni patrimoniali e non patrimoniali, per aver bloccato l’operatività del conto corrente bancario e del deposito titoli, nella titolarità del cliente, dai primi giorni di marzo 2008 come conseguenza del fatto che quest’ultimo non aveva inteso autorizzare l’istituto di credito al trattamento dei suoi dati sensibili. La Corte d’Appello di Genova ha condiviso l’impostazione giuridica del giudice di primo grado secondo cui la banca, quale titolare del trattamento dei dati, nell’ambito della propria autonomia gestionale e contrattuale, non soggetta a particolari limitazioni di legge, avesse legittimamente ritenuto necessario, per una completa e migliore gestione dei rapporti con la clientela, acquisire anche i dati sensibili. Nè l’istituto di credito era incorso in violazioni della legge sulla privacy o in inadempimenti contrattuali, avendo espressamente comunicato al sig. E. , a norma del D.Lgs. n. 196 del 2003, art. 13, all’atto della sottoscrizione del contratto, che in caso di mancata autorizzazione al trattamento dei dati sensibili, la banca non avrebbe potuto dar corso alle operazioni richieste dal correntista, e, nonostante ciò, tali condizioni contrattuali furono liberamente sottoscritte dal cliente. Avverso questa sentenza ha proposto ricorso per cassazione E.L. , affidandolo a sette motivi. La Deutsche Bank si è costituita in giudizio con controricorso eccependo la genericità del ricorso e l’inammissibilità dello stesso ex art. 360 bis c.p.c Entrambe le parti hanno depositato le memorie ex art. 180 bis.1 c.p.c Ragioni della decisione 1. Prima di illustrare i motivi del ricorso del sig. E. vanno disattese le eccezioni di inammissibilità del ricorso sollevate dalla controricorrente. In primo luogo, il ricorrente non propone affatto una diversa lettura delle risultanze processuali concentrando le proprie censure soprattutto sulle violazioni di legge art. 1322 c.c. e legge sulla privacy . Peraltro, tale eccezione è palesemente generica, non facendo alcun riferimento alla vicenda concreta per cui è procedimento. Palesemente inconferente è, inoltre, il richiamo all’art. 360 bis c.p.c., non avendo i giudici di merito affatto esaminato questioni di diritto su cui la giurisprudenza ha deciso in modo conforme. 2. Con il primo motivo E.L. ha dedotto la violazione e la falsa applicazione dell’art. 360 c.p.c., comma 1, n. 3. in relazione all’art. 1322 c.c. e art. 41 Cost Lamenta il ricorrente che l’autonomia contrattuale non può essere esercitata senza limiti, quale quello previsto dal D.Lgs. n. 196 del 2003, art. 23, secondo cui il consenso al trattamento dei dati personali è validamente prestato solo se espresso liberamente. Obbligare il cliente a rilasciare il consenso al trattamento dei dati sensibili con la prospettazione di bloccare, in caso contrario, il conto corrente o il deposito titoli, rientra nelle forme di pressione non consentite dall’autonomia contrattuale, incidendo sul libero discernimento, e ciò in contrasto anche con svariate norme della Costituzione, tra cui gli artt. 2, 41 e 47. 3. Con il secondo motivo è stata dedotta la violazione e la falsa applicazione del D.Lgs. n. 196 del 2003, art. 13, art. 23, comma 3 e art. 24. Ribadisce il ricorrente che non è conforme alla legge sulla privacy obbligare l’altro contraente a rilasciare il consenso ai dati sensibili, senza che ciò corrisponda ad alcun bisogno, prospettando, diversamente, la mancata esecuzione delle operazioni bancarie. Le linee guida in tema di trattamento di dati personali della clientela in ambito bancario emanate dal Garante della Privacy ribadiscono i principi di pertinenza e di non eccedenza espressi dal D.Lgs. n. 196 del 2003, art. 11, comma 1, lett. d . 4. Con il terzo motivo è stata dedotta la falsa applicazione della clausola 8.1. del contratto. Lamenta il ricorrente che il capitolo 5, clausola 8.1. del contratto uniforme indicava come necessario solo il consenso relativo ai dati personali. 5. Con il quarto motivo è stata dedotta la nullità della sentenza e del procedimento per violazione del principio del contraddittorio, di cui all’art. 101 c.p.c., comma 2 e artt. 24 e 111 Cost Lamenta il ricorrente che il giudice d’appello ha posto a fondamento della propria decisione tre eccezioni rilevate d’ufficio, quali quelle relative al principio di specificità dei motivi, all’erronea applicazione dell’art. 115 c.p.c. e alla doglianza sulla liquidazione delle spese del giudizio di primo grado. 6. Con il quinto motivo è stata dedotta la violazione del principio di specificità, secondo la formulazione dell’art. 342 comma 1 c.p.c. previgente. Lamenta il ricorrente di aver dedotto dettagliatamente ed analiticamente tutte le ragioni della erroneità della sentenza di primo grado, osservando che, in ogni caso, l’art. 342 c.p.c., comma 1 previgente non richiedeva una rigorosa e formalistica enunciazione delle ragioni invocate a sostegno dell’appello. 7. Con il sesto motivo è stata dedotta violazione di legge in relazione all’art. 113 c.p.c., artt. 24, 54, 101 e 111 Cost Lamenta il ricorrente di non aver mai sostenuto la subordinazione delle fonti normative a quelle contrattuali. 8. Con il settimo motivo è stata censurata la statuizione della sentenza d’appello d’appello nella parte in cui ha dichiarato inammissibile per difetto di specificità la doglianza sulla liquidazione delle spese. Lamenta il ricorrente che il giudice di primo grado aveva disposto una condanna omnicomprensiva senza la possibilità di controllare analiticamente la correttezza della liquidazione con le tabelle in vigore al tempo. 9. I primi tre motivi, da esaminare unitariamente in relazione alla stretta connessione delle questioni trattate, sono fondati. Va osservato che non è contestato tra le parti che la banca controricorrente, all’atto della stipula del contratto di conto corrente, con relativa apertura del deposito titoli, abbia sottoposto all’attenzione del cliente, con comunicazione controfirmata da quest’ultimo, la clausola che, in mancanza del consenso al trattamento dei dati sensibili, l’istituto di credito non avrebbe potuto dare corso alle operazioni ed ai servizi richiesti. Proprio in virtù della circostanza che il cliente, con la predetta informativa, era stato pienamente reso edotto delle conseguenze previste dalla banca in caso di rifiuto a rilasciare il consenso al trattamento dei dati sensibili e nonostante ciò, il cliente avesse comunque sottoscritto il contratto , entrambi i giudici di merito hanno ritenuto che l’istituto di credito non sia incorso in nessun inadempimento contrattuale, nè nella violazione della legge sulla privacy, avendo la banca stabilito una tale regolamentazione nell’esercizio della propria autonomia contrattuale e gestionale, non soggetta a particolari limitazioni di legge, ai fini di una completa e migliore gestione dei rapporti con la clientela. Questo Collegio non condivide l’impostazione giuridica della sentenza impugnata. Va, in primo luogo, osservato che la clausola con cui la banca ha subordinato l’esecuzione delle proprie operazioni al rilascio del consenso al trattamento dei dati sensibili contrasta indubitabilmente con i principi informatori della legge sulla privacy, la quale ha natura di norma imperativa, contenendo tale normativa precetti che non possono essere derogati dall’autonomia privata in quanto posti a tutela di interessi generali, di valori morali e sociali pregnanti nel nostro ordinamento, finalizzati al rispetto dei diritti e delle libertà fondamentali, quali la dignità, la riservatezza, l’identità personale, la protezione dei dati personali. Tra i principi che regolano la tutela della c.d. privacy rientra a pieno titolo quello di minimizzazione nell’uso dei dati personali, dovendo essere utilizzati solo i dati indispensabili, pertinenti e limitati a quanto necessario per il perseguimento delle finalità per cui sono raccolti e trattati. In particolare, tale principio è ben espresso dal D.Lgs. n. 196 del 2003, art. 3, recante il titolo principio di necessità nel trattamento dei dati , dall’art. 11, lett. d legge cit., che richiede la pertinenza, la completezza e non eccedenza dei dati rispetto alle finalità per cui sono raccolti e trattati ed è stato recentemente riaffermato con l’entrata in vigore dell’art. 5, lett. c del regolamento Europeo sulla protezione dei dati personali 2016/679. Il principio in esame deve essere, a maggior ragione, rispettato anche nel trattamento dei dati sensibili, intendendo per tali, a norma del D.Lgs. n. 196 del 2003, art. 4, comma 1, lett. d , quei dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale. Nel caso di specie, la banca ha apoditticamente giustificato la necessità di un consenso obbligatorio del cliente al rilascio dell’autorizzazione al trattamento dei dati sensibili con la propria policy aziendale, ai fini di una imprecisata completa e migliore gestione dei rapporti con la clientela, precisando, anche secondo la ricostruzione dei giudici di merito, di ritenere necessario acquisire i dati sensibili, non nel senso che la banca necessiti di avere a disposizione i dati c.d. sensibili per poter operare, ma nel senso che potendo tali dati venire a conoscenza dell’istituto di Credito, in via di cautela la banca vuole ottenere il consenso al loro trattamento pag. 6 sentenza impugnata . Tale affermazione non ha una giustificazione plausibile. La stessa banca ha dato atto - e non poteva fare diversamente in considerazione della precisa nozione di dati sensibili, evincibile del D.Lgs. n. 196 del 2003, art. 4, comma 1, lett. d - di non aver bisogno di tali dati per operare. È quindi evidente che il fondare, a scopo cautelativo, la richiesta obbligatoria al cliente di rilascio dell’autorizzazione al trattamento dei dati sensibili sulla eventuale alquanto remota possibilità che la Banca ne venga a conoscenza nel corso della sua attività assume la connotazione di un mero pretesto. La Banca ha dunque richiesto obbligatoriamente - prospettando, diversamente, l’impossibilità di poter dar corso alle operazioni ed ai servizi richiesti - il consenso al trattamento di dati sensibili non pertinenti, non indispensabili tali sono quelli relativi alle origine razziale, etnica del cliente, alla sua salute, alla vita sessuale, etc eccedenti in modo evidente le finalità per cui tali dati sono trattati e raccolti. Nè potrebbe neppure giustificarsi l’illegittima richiesta di autorizzazione al trattamento dei dati sensibili con il rilievo che nella nozione di trattamento , a norma dell’art. 4, comma 1 legge cit., rientra qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, e quindi non solo la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione di dati, anche se non registrati in una banca di dati, ma anche la cancellazione e la distruzione dei medesimi. In proposito, è evidente che se la Banca fosse stata realmente mossa dall’unico intento di provvedere alla mera cancellazione e distruzione dei dati sensibili di cui fosse eventualmente venuta a conoscenza per pura casualità, non sarebbe stato necessario imporre il consenso preventivo e generico al loro trattamento che è comprensivo di tutte le operazioni di utilizzo sopra enunciate , potendo richiedere una tantum il consenso alla distruzione e cancellazione di tali dati, una volta eventualmente manifestatasi l’esigenza. In conclusione, la clausola con cui la banca ha subordinato il dar corso alle operazioni richieste dal cliente al consenso al trattamento dei dati sensibili è affetta da nullità in quanto contraria a norme imperative, a norma dell’art. 1418 c.c Ne consegue che la condotta con cui lo stesso istituto di credito ha successivamente provveduto al blocco del conto corrente e del deposito titoli, proprio perché trova il proprio titolo in una clausola nulla dalla stessa inserita, non lo esonera da responsabilità per inadempimento contrattuale. Peraltro, la Banca, avendo sottoposto l’informativa più volte citata, all’attenzione del cliente all’atto della sottoscrizione del contratto di conto corrente bancario, di fronte al rifiuto del cliente di sottoscrivere il consenso al trattamento dei dati sensibili, avrebbe dovuto, ove avesse voluto essere coerente, rifiutarsi di instaurare il rapporto contrattuale e non invece, come effettivamente avvenuto, consentire al cliente di aprire il conto e di operare sullo stesso per un certo periodo di tempo, salvo poi bloccarlo per una causa di cui era già pienamente consapevole all’atto dell’apertura del conto corrente e del conto titoli . Deve pertanto cassarsi la sentenza impugnata con rinvio alla Corte d’Appello di Genova, in diversa composizione, per nuovo esame e per provvedere sulle spese del giudizio di legittimità. 9. I motivi dal quarto al settimo sono assorbiti. P.Q.M. Accoglie i primi tre motivi, assorbiti gli altri e rinvia alla Corte d’Appello di Genova, in diversa composizione, per nuovo esame e per provvedere sulle spese del giudizio di legittimità.