La Corte di Cassazione delinea i confini del principio della minimizzazione dei dati personali.

Due recenti sentenze in tema di trattamento dei dati in ambito bancario forniscono un’utile casistica per stabilire quando i requisiti previsti dal principio della minimizzazione risultano soddisfatti, ai fini della liceità del trattamento.

La prima decisione, resa dalla Corte di Cassazione il 21 ottobre 2019, n. 26778, prende origine dalla contestazione della pratica posta in essere da una banca di richiedere un consenso preventivo e obbligatorio al trattamento dei dati c.d. sensibili di cui sarebbe potuta venire a conoscenza durante l’esecuzione del contratto stipulato con i propri clienti.

A fronte del rifiuto di un correntista a fornire detto consenso, la banca bloccava l’operatività del conto corrente e del deposito titoli. Contrariamente a quanto deciso nel merito, la Corte di Cassazione ha accolto la tesi del correntista, ritenendo la banca responsabile per inadempimento contrattuale.

In particolare, la Corte di Cassazione ha rilevato che la banca chiedeva il consenso in via cautelativa perché riteneva possibile che nell’esecuzione del contratto sarebbe eventualmente venuta a conoscenza di dati sensibili del proprio cliente. Il consenso non era quindi finalizzato al trattamento di dati necessari per l’esecuzione del contratto e, di conseguenza, non vi era alcuna necessità di ottenerlo per poter operare.

Secondo la Corte, siffatta richiesta di consenso vìola il principio di minimizzazione dei dati secondo cui debbono essere raccolti e trattati esclusivamente i dati necessari per la realizzazione delle finalità, nella fattispecie l’esecuzione del contratto bancario. Il rilascio un consenso preventivo sulla eventuale possibilità che la banca venga a conoscenza di dati sensibili nel corso della sua attività appare quindi superfluo e riguarda il trattamento di dati non pertinenti, non indispensabili ed eccedenti rispetto alle finalità previste dal contratto.

La Corte conclude affermando che la clausola con cui la banca subordinava l’esecuzione del contratto al consenso al trattamento dei dati sensibili sarebbe affetta da nullità in quanto contraria a norme imperative. Di conseguenza la banca è stata ritenuta responsabile per inadempimento contrattuale per aver bloccato l’operatività del conto corrente bancario e del deposito titoli del cliente che si era rifiutato di prestare il proprio consenso al trattamento dei dati sensibili.

La seconda decisione, resa dalla Corte di Cassazione il 19 dicembre 2019, n. 34113, trae origine dalla contestazione di una correntista nei confronti della banca, per avere quest’ultima segnalato a terzi acquirenti di crediti i suoi dati sensibili.

In via preliminare la Corte ha osservato che il trattamento delle informazioni personali effettuato nell’ambito dell’attività di recupero crediti è lecito purché avvenga nel rispetto del principio di minimizzazione dei dati personali, dovendo essere utilizzati solo quelli indispensabili, pertinenti e limitati a quanto necessario per il perseguimento delle finalità per cui sono trattati.

Nel caso di specie, la ricorrente non ha fornito prova che la comunicazione dei propri dati sia avvenuta in violazione del principio di minimizzazione, né ha indicato con esattezza quali fossero i dati sensibili illecitamente comunicati.

In conclusione, non può quindi ritenersi che la banca sia incorsa nella violazione della normativa sulla privacy solo per avere fornito ai soggetti acquirenti del credito informazioni riguardanti la debitrice e funzionali alla cessione del credito, quali la situazione debitoria e l’ubicazione dell’immobile vincolato alla garanzia del credito.

Corte di Cassazione, sezione 1, sentenza n. 26778 del 21 ottobre 2019

Corte di Cassazione, sezione 1, sentenza n. 34113 del 19 dicembre 2019