La Corte di Cassazione interviene sulla data minimization

Avv. Vincenzo Colarocco

La Deutsche Bank è stata condannata per inadempimento contrattuale dalla Suprema Corte con sentenza n. 26778 pubblicata il 21.10.2019.

La giurisprudenza di legittimità ha precisato che le disposizioni e i principi in tema di dati sensibili (art. 4, comma 1, lett. d) del Codice della Privacy hanno carattere di norma imperativa (ex art. 1418 c.c.). e che tra i principi della data protection è da considerarsi sicuramente quello di minimizzazione nell’uso dei dati personali (“devono essere utilizzati solo i dati indispensabili, pertinenti e limitati a quanto necessario per il perseguimento delle finalità per cui sono raccolti e trattati”).

Il ricorso in Cassazione è stato proposto avverso una sentenza della Corte di Appello di Genova che aveva confermato la sentenza di primo grado con cui il Tribunale di Chiavari rigettava tutte le domande proposte volte a far accertare in capo all’istituto bancario la sua responsabilità contrattuale nonché la violazione delle norme vigenti in materia di privacy.

Il giudizio trae origine dalla circostanza che una filiale ligure della Deutsche Bank s.p.a. presentava al potenziale cliente il contratto da sottoscrivere per l’instaurazione del rapporto, nel quale l’istituto di credito chiedeva l’autorizzazione al trattamento dei dati sensibili – ora dati particolari ex art. 9 del GDPR – del cliente, pena il rifiuto di dar seguito al contratto.

Al cliente che, quindi, sottoscriveva il contratto senza autorizzare il trattamento dei dati sensibili veniva bloccata l’operatività sia del conto corrente bancario che del deposito titoli nella titolarità del cliente, il tutto giustificato dalla Banca dalla necessità del rilascio del consenso ai fini di una imprecisata completa e migliore gestione dei rapporti con i clienti e/o per eventuali fini cautelativi (potendo tali dati venire pro futuro a conoscenza della stessa Banca).

La Suprema Corte di Cassazione, sottolineando che la clausola con cui la banca ha subordinato l’esecuzione delle proprie operazioni al rilascio del consenso al trattamento dei dati sensibili contrasta decisamente con i principi informatori della legge sulla privacy, accoglie i motivi del ricorso disponendo che “la Banca avendo sottoposto l’informativa all’attenzione del cliente all’atto della sottoscrizione del contratto di conto corrente bancario, di fronte al rifiuto del cliente di sottoscrivere il consenso al trattamento dei dati sensibili, avrebbe dovuto, ove avesse voluto essere coerente, rifiutarsi di instaurare il rapporto contrattuale e non invece […] consentire al cliente di aprire il conto e di operare […] per poi “bloccarlo” per una causa di cui era già pienamente consapevole all’atto dell’apertura del conto corrente” e rinvia alla Corte d’Appello di Genova.