La Cassazione, con ord. n. 26778/2019 pubblicata lo scorso 21 ottobre, ha dichiarato nulla la clausola con cui la banca subordinava l’esecuzione delle operazioni richieste dal cliente al suo previo consenso al trattamento dei dati sensibili.
La Vicenda.
Con sentenza depositata il 18 ottobre 2014 la Corte d’Appello di Genova confermava la sentenza di primo grado con cui il Tribunale di Chiavari aveva rigettato le domande volte a far accertare la responsabilità contrattuale e/o extracontrattuale e/o per violazione di legge (con conseguente condanna al risarcimento dei danni patrimoniali e non patrimoniali) in capo ad una banca rea di aver “bloccato” l’operatività del conto corrente bancario e del deposito titoli di un suo cliente come conseguenza del suo mancato consenso al trattamento dei dati sensibili.
La Corte d’Appello di Genova aveva condiviso l’impostazione giuridica già fatta propria dal Giudice di primo grado secondo cui è legittimo che la banca, quale titolare del trattamento dei dati, nell’ambito della propria autonomia gestionale e contrattuale, non soggetta a particolari limitazioni di legge, ritenga necessario, per una completa e migliore gestione dei rapporti con la clientela, acquisire anche il consenso al trattamento dei dati sensibili.
A detta della Corte l’istituto di credito non era incorso in violazioni della legge sulla privacy nè in inadempimenti contrattuali dal momento che all’atto della sottoscrizione del contratto il cliente, reso edotto a norma dell’art. 13 d.lgs n. 196/2003 (pro tempore vigente) che l’autorizzazione al trattamento dei dati sensibili era necessaria perchè la banca desse corso alle operazioni richieste dal correntista, aveva approvato e sottoscritto liberamente il contratto.
Avverso la sentenza il cliente proponeva ricorso per Cassazione affidandolo a sette motivi (in questa sede verranno analizzate soltanto le doglianza relative alla violazione della normativa sul trattamento dei dati personali, motivi di ricorso nn. 1 e 2); l’impugnazione veniva accolta dalla Suprema Corte con ordinanza n. 26778/2019, con rinvio alla Corte di Appello di Genova, in diversa composizione, per un nuovo esame della vicenda sulla base delle seguenti considerazioni.
I motivi del ricorso per Cassazione.
Con il primo motivo il ricorrente deduceva la violazione e la falsa applicazione dell’art. 360 comma 1° n. 3 cpc in relazione agli artt. 1322 c.c. e 41 Cost., non potendo l’autonomia contrattuale essere esercitata senza limiti dall’istituto di credito.
In particolare, a detta del ricorrente, doveva essere osservato anche dalla banca il dettato di cui all’art. 23 D.lgs n. 196/2003, a mente del quale il consenso al trattamento dei dati personali è validamente prestato solo se espresso liberamente dall’interessato, con la conseguenza che obbligare il cliente a rilasciare il consenso al trattamento dei suoi dati sensibili con la prospettazione di bloccare, in caso contrario, il conto corrente o il deposito titoli, rientra nelle forme di pressione non consentite dall’autonomia contrattuale, in quanto incidenti sul libero discernimento e in contrasto con svariate norme della Costituzione (v. articoli 2, 41 e 47 Cost.).
Con il secondo motivo veniva invece dedotta la violazione e la falsa applicazione degli artt. 13, 23 comma 3° e 24 del D.lgs n. 196/2003, non essendo conforme alla normativa sulla privacy obbligare l’altro contraente a rilasciare il consenso al trattamento dei dati sensibili senza che ciò corrisponda ad alcun bisogno prospettando, in caso contrario, la mancata esecuzione delle operazioni bancarie.
L’iter motivazionale seguito dalla Cassazione.
La Suprema Corte ha ritenuto non condivisibile l’impostazione giuridica data dai giudici di merito osservando che la clausola con cui la banca subordina l’esecuzione delle proprie operazioni al rilascio del consenso al trattamento dei dati sensibili si pone in aperto contrasto con i principi informatori della legge sulla privacy pro tempore vigente (D.lgs. 196/2003).
Nello specifico la Corte ha chiarito che il Codice Privacy ha natura di norma imperativa e pone precetti che non possono essere derogati dall’autonomia privata in quanto posti a tutela di interessi generali, di valori morali e sociali pregnanti nel nostro ordinamento, finalizzati al rispetto dei diritti e delle libertà fondamentali quali la dignità, la riservatezza, l’identità personale, la protezione dei dati personali.
Tra i principi che regolano la tutela della privacy rientra a pieno titolo anche quello di minimizzazione, espresso agli artt. 3 e 11 lett. d) del D.lgs n. 196/2003, nonchè all’art. 5 lett. c) del GDPR e che deve essere, a maggior ragione, rispettato nel trattamento dei dati sensibili (v. art. 4 comma 10 lett. d) D.lgs n. 196/2003).
Nel caso di specie la banca aveva apoditticamente giustificato la necessità di un consenso obbligatorio del cliente al trattamento dei dati sensibili ai fini di una – imprecisata – completa e migliore gestione dei rapporti con la clientela, precisando che ciò era necessario non nel senso “che la banca necessiti di avere a disposizione i dati c.d. sensibili per poter operare, ma nel senso che potendo tali dati venire a conoscenza dell’istituto di Credito, in via di cautela la banca vuole ottenere il consenso al loro trattamento” (v. Cass. ord. n. 26778/2019).
La Cassazione ha rilevato che tale affermazione non poteva essere condivisa: posto infatti che era stata la banca a dare dato atto di non aver bisogno di tali dati per operare, fondare a scopo cautelativo la richiesta di un consenso obbligatorio al trattamento dei dati sensibili sulla eventuale (alquanto remota) possibilità che la banca ne venga a conoscenza nel corso della sua attività assume la connotazione di un mero pretesto.
Né ciò potrebbe giustificarsi con il rilievo che nella nozione di “trattamento”, a norma dell’art. 4 comma 1° legge cit., rientra qualunque operazione o complesso di operazioni effettuati anche senza l’ausilio di strumenti elettronici e quindi, ad esempio, anche la cancellazione e la distruzione dei medesimi.
E’ evidente infatti che se la Banca fosse stata realmente mossa dall’unico intento di provvedere alla mera cancellazione e distruzione dei dati sensibili di cui fosse eventualmente venuta a conoscenza per pura casualità, non sarebbe stato necessario imporre il consenso preventivo e generico al loro “trattamento” (che è comprensivo di tutte le operazioni di utilizzo sopra enunciate) ma sarebbe stato sufficiente richiedere una tantum il consenso alla distruzione e cancellazione di tali dati, una volta che se ne fosse eventualmente manifestata l’esigenza.
Le conclusioni della Cassazione.
In conclusione, la Cassazione ha statuito che la clausola con cui la banca subordini l’esecuzione delle operazioni richieste dal cliente al consenso al trattamento dei suoi dati sensibili è affetta da nullità in quanto contraria a norme imperative, ai sensi dell’art. 1418 c.c.
Ne consegue che la condotta con cui la banca ha successivamente provveduto al “blocco” del conto corrente e del deposito titoli, proprio perché trova il proprio titolo in una clausola nulla, rileva sotto il profilo della responsabilità per inadempimento contrattuale.
La Suprema Corte ha anche sottolineato che, avendo la banca sottoposto all’attenzione del cliente l’informativa all’atto della sottoscrizione del contratto, di fronte al rifiuto alla manifestazione del consenso al trattamento dei dati sensibili avrebbe dovuto rifiutarsi di instaurare il rapporto contrattuale e non invece, come successivamente avvenuto, consentire al cliente di aprire il conto e di operare sullo stesso per un certo periodo di tempo salvo poi “bloccarlo” per una causa di cui era già pienamente consapevole sin dall’iniizo del rapporto.