La prima sezione Civile della Corte con ordinanza n. 26778 (depositata il 21 ottobre 2019) ha accolto il ricorso di un cliente di una filiale di banca che si è visto bloccare l’operatività del conto corrente a causa della mancata sottoscrizione al consenso per il trattamento dei dati personali sensibili.
La richiesta di consenso trattamento era stata avanzata dalla filiale in fase di apertura del conto quale condizione necessaria per l’esecuzione del contratto da parte della banca. Tuttavia, nonostante il diniego da parte del cliente, la banca aveva ugualmente avviato il regolare servizio di conto corrente, salvo poi bloccarne l’operatività dopo qualche tempo, reiterando la richiesta di consenso al trattamento dei dati sensibili, senza cui l’istituto non avrebbe potuto eseguire le proprie obbligazioni a norma di legge.
Il cliente si è dunque rivolto al Tribunale di Chiavari per un risarcimento dei danni patrimoniali e non patrimoniali, in capo all’istituto bancario, per responsabilità contrattuale e/o extra contrattuale e/o violazione di legge.
Sia la sentenza di primo grado che la decisione della Corte di Appello di Genova hanno rigettato la richiesta del cliente a ragione del fatto cha la banca avesse sempre prospettato al cliente in modo chiaro e trasparente che senza consenso al trattamento si sarebbe potuta rifiutare di dare corso al contratto e, nonostante ciò, tali condizioni contrattuali furono liberamente sottoscritte dal cliente.
La Suprema Corte, tuttavia, non ha condiviso l’impostazione giuridica delle precedenti decisioni, osservando che l’obbligatorietà del consenso al trattamento dei dati sensibili contrasta con i principi della legge sulla privacy, che non possono essere derogati all’autonomia privata in quanto posti a tutela di diritti e libertà fondamentali, quali la dignità, la riservatezza, l’identità personale, la protezione dei dati personali. Secondo la corte, tra i principi che regolano la tutela della privacy rientra a pieno titolo quello di minimizzazione nell’uso dei dati personali, che impone di utilizzare solo i dati indispensabili, pertinenti e limitati a quanto necessario per il perseguimento delle finalità per cui sono raccolti e trattati.
Un concetto ben espresso dall’art. 3 del d.lgs n. 196/2003 recante il titolo “principio di necessità nel trattamento dei dati”, recentemente riaffermato dal GDPR, che richiede la pertinenza, la completezza e non eccedenza dei dati rispetto alle finalità per cui sono raccolti e trattati. A maggior ragione quando si tratta di dati sensibili, ha sottolineato la Suprema Corte.
I giudici hanno evidenziato inoltre che la banca ha giustificato la necessità di un consenso obbligatorio al trattamento in base alla propria “policy” aziendale, ai fini di una imprecisata completa e migliore gestione dei rapporti con la clientela, precisando di ritenere necessario il consenso al trattamento dei dati sensibili, non nel senso “che la banca necessiti di avere a disposizione i dati sensibili per poter operare, ma nel senso che potendo tali dati venire a conoscenza dell’istituto di Credito, in via di cautela la banca vuole ottenere il consenso al loro trattamento”.
Sarebbe a dire, che la banca ha preteso un consenso “in via precauzionale”. Un’affermazione che, secondo la Corte, non soltanto non ha una giustificazione plausibile, dal momento che la stessa banca ha dichiarato di non aver bisogno di tali dati per operare, ma che sulla sola base di un eventuale e remota possibilità che la banca venga a conoscenza di tali dati assume la connotazione di un mero pretesto.
La Corte ha inoltre esplicitato che se la richiesta di trattamento della banca fosse stata realmente mossa dall’unico intento di provvedere alla mera cancellazione e distruzione dei dati sensibili di cui fosse eventualmente venuta a conoscenza per pura casualità, non sarebbe stato necessario imporre il consenso preventivo e generico al loro “trattamento” (che è comprensivo di una varietà di operazioni di utilizzo), potendo richiedere una tantum il consenso alla distruzione e cancellazione di tali dati, una volta eventualmente manifestatasi l’esigenza.
La Suprema Corte ha così concluso che la clausola con cui la banca subordina l’apertura del conto al consenso al trattamento dei dati sensibili è affetta da nullità in quanto contraria a norme imperative, a norma dell’art. 1418 cod. civ.. Ne consegue che il “blocco” del conto corrente e del deposito titoli, a seguito di una clausola nulla, non esonera la banca da responsabilità per inadempimento contrattuale.
Disponibile QUI il testo dell’Ordinanza.