Corte di Cassazione e privacy: il principio di minimizzazione dei dati del Gdpr
La Suprema Corte di Cassazione, a fine dicembre 2019, è intervenuta (con ordinanza n.34113 del 19/12/2019), in materia di privacy, ribadendo le disposizioni afferenti il “principio di necessità nel trattamento dei dati” previsto dall’art. 3 del d.lgs n 196/2003 nonchè quanto previsto dall’art. 11 lett. d), richiedente la pertinenza, la completezza e non eccedenza dei dati rispetto alle finalità per cui sono raccolti e trattati (tali articoli sono stati recentemente abrogati a seguito dell’entrata in vigore del d.lgs n del 10/08/2018 n. 101).
La Corte nella motivazione richiama in proposito il principio stabilito dall’art 5 lett. c) del regolamento europeo sulla protezione dei dati personali 2016/679.
Il ricorrente in Cassazione aveva dedotto la violazione e falsa applicazione degli artt. 15 e ss d.lgs n 196/2003, operata dalla Corte d’appello territoriale, in relazione alla cessione del credito della Banca ad un privato, ed alla diffusione a terzi di dati relativi al pignoramento dei beni del debitore.
In particolare, la Banca aveva segnalato la debitrice a soggetti privati “acquirenti di crediti” fornendo loro dati sensibili in ordine alla persona del debitore, alla situazione debitoria e all’abitazione della debitrice.
La Corte ha osservato ” Va preliminarmente osservato che non vi è dubbio che il trattamento delle informazioni personali effettuato nell’ambito dell’attività di recupero crediti sia lecito purchè, avvenga nel rispetto del criterio di minimizzazione nell’uso dei dati personali, dovendo essere utilizzati solo i dati indispensabili, pertinenti e limitati a quanto necessario per il perseguimento delle finalità per cui sono raccolti e trattati. Tale principio era ben espresso dall’art. 3 del d.lgs n. 196/2003, recante il titolo “principio di necessità nel trattamento dei dati”, e dall’art. 11 lett. d) legge cit. , richiedente la pertinenza, la completezza e non eccedenza dei dati rispetto alle finalità per cui sono raccolti e trattati (tali articoli sono stati recentemente abrogati a seguito dell’entrata in vigore del d.lgs n del 10/08/2018 n. 101) ed è stato recentemente riaffermato con l’entrata in vigore dell’art. 5 lett. c) del regolamento europeo sulla protezione dei dati personali 2016/679.”
Nel caso di specie la Corte però ha ritenuto che la Banca non sia incorsa nella violazione della legge sulla privacy solo perché la stessa abbia fornito ai soggetti acquirenti del credito informazioni riguardanti la debitrice funzionali alla cessione del credito, quali la situazione debitoria, l’ubicazione dell’immobile vincolato alla garanzia del credito, etc., in quanto il ricorrente deve comunque provare che la comunicazione a terzi sia avvenuta in violazione del principio sopra enunciato di “minimizzazione nell’uso dei dati personali”.
Secondo la Cassazione il ricorrente non avrebbe provato la rivelazione da parte della Banca di dati c.d. sensibili ( secondo una terminologia non più attuale n.d.r.) concernenti la sua persona, mentre fosse suo preciso onere specificare i dati sensibili propalati in violazione del criterio della “minimizzazione” ( che la Corte chiama impropriamente minimalizzazione n.d.r) dei dati personali.Da ciò il rigetto del ricorso.
Fonte: Nòva Il Sole 24 Ore - Articolo di Fulvio Sarzana