Articoli

Cessione dei crediti e trattamento dei dati: il principio di minimizzazione deve esser sempre rispettato

Avv. Vincenzo Colarocco

Con recente ordinanza (n. 34113/2019) del 19 dicembre 2019, la Suprema Corte di Cassazione ha avuto modo di esprimersi circa il corretto (e doveroso) bilanciamento tra il trattamento dei dati personali connesso alle attività di recupero del credito ed il principio di minimizzazione dei dati, sottolineando la necessità di limitare le attività di trattamento ed il novero dei dati trattati a quanto strettamente necessario per il perseguimento delle finalità alla base della raccolta.

Per quanto attiene al caso di specie sotteso alla pronuncia in esame, basti sinteticamente rilevare che, con sentenza del 2012, il Tribunale di Napoli condannava il Banco di Napoli s.p.a. a rifondere in favore dell’attore una cospicua somma di denaro dovuta a titolo di responsabilità pre-contrattuale, oltre al risarcimento dei danni quantificati nella somma di € 5.000,00 per violazioni della vigente normativa in materia di protezione dei dati personali. Tali violazioni sarebbero, in particolare, state perpetrate in relazione al trattamento dei dati dell’attore connesso alla fase della cessione del credito da parte dell’istituto bancario.

Del medesimo avviso non risultava la competente Corte d’Appello evidenziando come, una volta eseguito il pignoramento immobiliare, risulterebbe inevitabile che la vicenda debitoria travalichi gli stretti ambiti del rapporto debitore-creditore, coinvolgendo tutti i possibili soggetto interessati all’acquisto del bene staggito.

L’interessato de quo proponeva quindi ricorso per Cassazione adducendo, tra gli altri motivi d’impugnazione, anche la violazione e falsa applicazione degli artt. 15 e seg. del D. Lgs. del Codice Privacy (per tale intendendosi la versione ratione temporis vigente, antecedente alle modifiche apportate dal D. Lgs. 101/2018) in virtù dell’asserita circostanza per cui la Banca la Banca avrebbe segnalato l’interessato debitore a soggetti privati “acquirenti di crediti”, fornendo loro dati sensibili in ordine alla persona del debitore, alla sua abitazione e alla sua situazione debitoria.

La Suprema Corte, quindi, nel rigettare le descritte doglianze, ha avuto modo di soffermarsi anche sull’attuale quadro normativo, rappresentando che il previgente “principio di necessità del trattamento”, di cui agli abrogati artt. 3 e 11 del Codice Privacy, sia stato recentemente riaffermato con l’entrata in vigore dell’art. 5 lett. c) del Regolamento UE 2016/679 (“GDPR”), a mente del quale i dati dovranno risultare “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»)”.

La Cassazione, in più, si è espressa anche in ordine all’onere della prova circa la lamentata violazione del principio di minimizzazione dei dati, sottolineando come il ricorrente non avesse fornito alcuna dimostrazione in merito alla violazione del detto principio nell’ambito della comunicazione dei propri dati a soggetti terzi; ulteriormente rilevandosi che la Banca non potrebbe incorrere, a priori, in una violazione della normativa in ambito privacy “solo perché abbia fornito ai soggetti acquirenti del credito informazioni riguardanti la debitrice funzionali alla cessione del credito, quali la situazione debitoria, ubicazione dell’immobile vincolato alla garanzia del credito, etc.”.

La Corte di Cassazione interviene sulla data minimization

Avv. Vincenzo Colarocco

La Deutsche Bank è stata condannata per inadempimento contrattuale dalla Suprema Corte con sentenza n. 26778 pubblicata il 21.10.2019.

La giurisprudenza di legittimità ha precisato che le disposizioni e i principi in tema di dati sensibili (art. 4, comma 1, lett. d) del Codice della Privacy hanno carattere di norma imperativa (ex art. 1418 c.c.). e che tra i principi della data protection è da considerarsi sicuramente quello di minimizzazione nell’uso dei dati personali (“devono essere utilizzati solo i dati indispensabili, pertinenti e limitati a quanto necessario per il perseguimento delle finalità per cui sono raccolti e trattati”).

Il ricorso in Cassazione è stato proposto avverso una sentenza della Corte di Appello di Genova che aveva confermato la sentenza di primo grado con cui il Tribunale di Chiavari rigettava tutte le domande proposte volte a far accertare in capo all’istituto bancario la sua responsabilità contrattuale nonché la violazione delle norme vigenti in materia di privacy.

Il giudizio trae origine dalla circostanza che una filiale ligure della Deutsche Bank s.p.a. presentava al potenziale cliente il contratto da sottoscrivere per l’instaurazione del rapporto, nel quale l’istituto di credito chiedeva l’autorizzazione al trattamento dei dati sensibili – ora dati particolari ex art. 9 del GDPR – del cliente, pena il rifiuto di dar seguito al contratto.

Al cliente che, quindi, sottoscriveva il contratto senza autorizzare il trattamento dei dati sensibili veniva bloccata l’operatività sia del conto corrente bancario che del deposito titoli nella titolarità del cliente, il tutto giustificato dalla Banca dalla necessità del rilascio del consenso ai fini di una imprecisata completa e migliore gestione dei rapporti con i clienti e/o per eventuali fini cautelativi (potendo tali dati venire pro futuro a conoscenza della stessa Banca).

La Suprema Corte di Cassazione, sottolineando che la clausola con cui la banca ha subordinato l’esecuzione delle proprie operazioni al rilascio del consenso al trattamento dei dati sensibili contrasta decisamente con i principi informatori della legge sulla privacy, accoglie i motivi del ricorso disponendo che “la Banca avendo sottoposto l’informativa all’attenzione del cliente all’atto della sottoscrizione del contratto di conto corrente bancario, di fronte al rifiuto del cliente di sottoscrivere il consenso al trattamento dei dati sensibili, avrebbe dovuto, ove avesse voluto essere coerente, rifiutarsi di instaurare il rapporto contrattuale e non invece […] consentire al cliente di aprire il conto e di operare […] per poi “bloccarlo” per una causa di cui era già pienamente consapevole all’atto dell’apertura del conto corrente” e rinvia alla Corte d’Appello di Genova.