La Cassazione condanna Deutsche Bank: non si può fare i “tedeschi” in ritardo!
Al momento di apertura di un conto corrente bancario una filiale ligure della Deutsche Bank s.p.a. sottoponeva al potenziale cliente il “consueto” contratto da sottoscrivere per l’instaurazione del rapporto, nel quale l’Istituto di credito richiedeva l’autorizzazione al trattamento anche dei dati sensibili del cliente, pena il rifiuto di dar seguito al contratto. Il cliente, pur sottoscrivendo il contratto, negava però detta autorizzazione, ma la banca dava ugualmente esecuzione al contratto, almeno per un periodo di tempo, finché ritornava sui propri passi e, forte della mancata autorizzazione, “bloccava” l’operatività sia del conto corrente bancario che del deposito titoli nella titolarità del cliente.
Questi citava in giudizio l’Istituto per vederne accertata la responsabilità con la conseguente condanna al risarcimento dei danni, patrimoniali e non. Nei primi due gradi di giudizi di merito, le sentenze gli erano però favorevoli: entrambe le Corti territoriali ritenevano rientrare pienamente nell’alveo dell’autonomia gestionale e contrattuale della banca la richiesta di acquisizioni dei dati sensibili; rilevano esse, inoltre, che il sottoscrittore era stato reso edotto che in caso di mancata autorizzazione l’Istituto non avrebbe potuto dare corso alle operazioni richieste. Ma il cliente ricorreva per Cassazione.
La decisione della Cassazione - Con la Sentenza 26778 del 26 giugno 2019 (depositata lo scorso 21 ottobre), gli ermellini davano ragione al ricorrente, sconfessando le Corti liguri. Accogliendo i primi tre motivi di ricorso, la Suprema Corte poneva due punti fermi: 1. I principi della legge sulla privacy in tema di dati sensibili (D. Lgs 196/2003 art. 4 co. 1 lett. d) hanno carattere di norma imperativa ex art. 1418 c.c. e come tali non sono derogabili dalla mera autonomia privata; 2. I dati utilizzabili in qualunque tipo di rapporto sono solo quelli “indispensabili, pertinenti e limitati a quanto necessario” (principio di “minimizzazione”, D. Lgs 196/2003 artt. 3, 11 lett. d) e GDPR art. 5 lett. c).
In conclusione, l’Istituto di credito è responsabile per inadempimento contrattuale. La Corte di Cassazione sottolinea (anche) la sostanziale incoerenza della Banca: Se avesse voluto essere in linea con le proprie (pur errate) premesse, avrebbe dovuto rifiutare ex origine l’apertura del rapporto contrattuale e non consentirne l’apertura e l’operatività dello stesso salvo poi, inopinatamente, “bloccarlo”.
“Mero pretesto” oppure un problema concreto? - È noto ai più che la norma di cui all’articolo 23 D. Lgs. 196/ 2013 – nella previgente formulazione – prevedesse che il consenso doveva essere manifestato in forma scritta per il trattamento dei dati sensibili (quelli indicati all’art. 4, comma 1, lett. d).
Innanzi a tale dato normativo, in molti casi gli Istituti di credito pretendevano – sin dall’instaurazione del rapporto contrattuale – la manifestazione di un consenso scritto per il trattamento dei dati sensibili e/o particolari.
Ciò detto, nella sentenza in commento, la Corte nomofilattica statuisce che, innanzi al rifiuto del consenso per il trattamento dei dati sensibili, l’Istituto di credito avrebbe “dovuto evitare l’insorgere del rapporto contrattuale” negando – di fatto – l’apertura del conto corrente e/o del relativo conto titoli. Al contrario, così non facendo, il successivo rifiuto ad adempiere costituisce “un mero pretesto” da qualificarsi quale inadempienza contrattuale. Orbene, la conclusione della Corte merita alcune riflessioni.
Così come indicato dalla stessa Corte, è del tutto vero che gli Istituti di credito non necessitino dei dati sensibili (ora dati particolari ex art. 9 GDPR) dei propri clienti per poter operare; d’altra parte, è del tutto vero che nell’adempimento delle proprie obbligazioni contrattuali, gli Istituti di credito possano venire a conoscenza di dati particolari.
Pensiamo, ad esempio, a Tizio che effettui un bonifico tramite home banking indicando nella causale “iscrizione sindacale Tizio”, ovvero allo stesso Tizio che disponga un trasferimento fondi in favore di un’associazione di carattere religioso indicando nella causale oltre al proprio nome e cognome l’indicazione “quota membro aderente associazione TalDelTali”.
Nessun dubbio può esservi che tali dati costituiscano “dati personali” (si confronti il Parere 4/2007 WP 136, di estrema utilità in questo ambito). Tanto più che la stessa Corte di Cassazione a Sezioni Unite, con la sentenza n. 30981 del 27 dicembre 2017, ha recentemente indicato che la causale del bonifico possa in sé contenere e – quindi – costituire veicolo di dato sensibile.
Se questo è vero, nella sentenza in commento, la Corte statuisce che l’Istituto di credito avrebbe potuto richiedere “una tantum il consenso alla distruzione e cancellazione di tali dati, una volta eventualmente manifestatasi l'esigenza”.
Tale conclusione si fonda su una premessa giuridica che, a sommesso parere dello scrivente, non appare condivisibile.
La Corte, infatti, lascerebbe intendere che la mera conservazione in attesa dell’ottenimento del consenso “una tantum” non costituisca trattamento dei dati.
Al contrario, è proprio la stessa Corte ad affermare che nella nozione di trattamento rientri “qualunque operazione [e, quindi, anche una singola operazione] o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, e quindi non solo la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione di dati, anche se non registrati in una banca di dati, ma anche la cancellazione e la distruzione dei medesimi”.
Se questo è vero, in attesa dell’eventuale consenso, su quale base giuridica l’Istituto tratterebbe [rectius conserverebbe] tali dati?
In quest’ottica, quello che viene licenziato quale “mero pretesto” riveste al contrario un problema che merita una certa attenzione: è vero, l’Istituto di credito avrebbe dovuto negare l’instaurazione del rapporto contrattuale sin dall’origine. D’altro canto, non avendolo fatto in anticipo, l’Istituto di credito avrebbe dovuto continuare ad operare con questa spada di Damocle sul capo?
La problematica riveste certamente carattere di attualità considerato che, in merito ai c.d. dati particolari, l’articolo 9 del Regolamento UE 2016/679 riveste del carattere di antigiuridicità il trattamento di tali categorie di dati personali (“quelli che rivelino originale razziale od etnica, opinioni politiche, convinzioni religiose o filosofiche, l'appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona”), salvo che non trovi applicazione uno dei casi di cui al comma secondo dell’articolo 9. a europea.
In un caso simile, ad avviso del sottoscritto, in parziale disaccordo rispetto a quanto statuito dalla Corte di legittimità, l’Istituto avrebbe potuto agire – ove ciò fosse operativamente possibile – non bloccando tout court l’operatività dei rapporti bancari in essere, bensì impedire tutte quelle operazioni che avrebbero potuto comportare l’acquisizione di dati particolari, non richiesti dalla banca ma inseriti proprio dallo stesso interessato.
Anche se l'adozione di tale soluzione è improbabile, avrebbe però reso adempiente l’Istituto di credito, rispettando i limiti di liceità previsti dalla normativa a tutela dei dati personali, nonché eseguendo il contratto secondo buona fede.
Diversamente, l’Istituto di credito deve attentamente valutare anche se bloccarne l’operatività, rammentando a tal proposito che la violazione di cui all’art. 9 Reg. UE può valere, a titolo di sanzione amministrativa, sino a venti milioni di euro o fino al 4% del fatturato mondiale totale annuo.