Articoli

Come calcolare il rischio data protection? Arriva il tool dell’ENISA

Avv. Vincenzo Colarocco

Sin dal 2018, l’Agenzia europea per la sicurezza delle reti e dell’informazione, anche nota come ENISA, in linea con il principio di accountability sancito dal legislatore comunitario, ha promosso un approccio basato sul rischio per l’adozione di misure di sicurezza per la protezione dei dati personali. Nell’esercizio della propria funzione, tutta incentrata sull’analisi di soluzioni tecniche ottimali per l’implementazione degli adempimenti prescritti dal GDPR, in un’ottica di mitigazione del rischio, l’Agenzia ha lanciato una piattaforma online che consente di ottenere il profilo di rischio del trattamento posto in essere. La piattaforma è da intendersi come strumento collettivo per la gestione del rischio lato data protection: infatti, le raccomandazioni si riferiscono non soltanto alle PMI, ma anche agli organismi competenti dell’UE ed alle autorità di controllo, fino alla Commissione europea.

La piattaforma è stata resa disponibile in occasione della giornata della protezione dei dati personali 2020, il 28 gennaio.

Allarme ransomware: azienda licenzia 300 dipendenti

Avv. Vincenzo Colarocco

“The Heritage Company”, società americana con sede in Arkansas e 61 anni d’esperienza, potrebbe chiudere definitivamente. Poco prima del Natale, infatti, circa 300 lavoratori hanno ricevuto una lettera dalla compagnia in cui si invitava gli stessi a “cercare un altro lavoro”.

All’origine dell’infausto evento ci sarebbe un attacco ransomware.

Nello specifico, la società di telemarketing era stata colpita lo scorso ottobre da un virus il quale, colpendo i server aziendali, aveva ottenuto i dati in questi circolanti, paralizzando l’attività di tutti gli impiegati. Nella lettera, ottenuta dai media locali, si leggono le parole dell’amministratore delegato, Sandra Franecke, la quale spiega che all’attacco ha fatto seguito una richiesta di riscatto alla quale, la società, ha deciso di adempiere: tutto, pur di riprendere l’attività.

Purtroppo, però, le operazioni di restore hanno richiesto più tempo del dovuto, causando all’azienda perdite per centinaia di migliaia di dollari, perdite che hanno inciso sulla scelta di adottare il drastico comunicato.

Non è la prima volta che, nell’ultimo anno, attacchi ransomware hanno portato alla perdita di posti di lavoro da parte di dipendenti aziendali e persino alla chiusura d’intere aziende.

A settembre, ad esempio, il “Wood Ranch Medical”, con sede in California, ha annunciato che avrebbe chiuso a dicembre, in quanto il provider non era stato in grado di recuperare le cartelle cliniche dei pazienti perse sulla scia di un attacco ransomware di agosto.

Il “Brookside ENT and Hearing Center” del Michigan, invece, annunciò chiusura in aprile, dopo aver rifiutato di pagare il riscatto agli hackers, con il risultato che questi ultimi hanno cancellato tutti i dati dei loro pazienti.

L’Italia in pole position per le sanzioni GDPR del 2019

Avv. Vincenzo Colarocco

L’inizio dell’anno è per antonomasia tempo di bilanci e così è stato anche per l’Osservatorio di Federprivacy che ha condotto uno studio mirato ad analizzare le attività istituzionali in materia di privacy svolte nei 30 Paesi dello Spazio Economico Europeo. Più in particolare sono state computate le sanzioni inflitte nel corso dell’anno spirato da parte delle autorità di controllo. Dell’ammontare complessivo di 410 milioni di euro, il primato è detenuto dall’Italia, con 30 provvedimenti irrogati, per un totale di 4.341.990 euro. Sebbene il susseguirsi delle proroghe non abbia concesso al collegio del Garante di rinnovarsi alla scadenza del suo incarico, ciò non ha impedito all’Authority in carica di svolgere regolarmente le proprie attività ispettive, le quali già alla fine del primo semestre del 2019 avevano individuato 779 contravventori, con una riscossione complessiva prevista di circa 11 milioni di euro al termine dei singoli procedimenti sanzionatori. Tra le infrazioni ricorrenti, nel 44% dei casi si è trattato di trattamento illecito di dati, nel 18% dei procedimenti sono state riscontrate insufficienti misure di sicurezza, il 13% è costituito dal  mancato rispetto dei diritti degli interessati ed il 9% rispettivamente dalla omessa o inidonea informativa (9%) e dagli incidenti informatici e “data breach”. Subito dopo l’Italia, l’autorità spagnola (AEPD) con 28 sanzioni e al terzo posto quella romena (ANSPDCP) con 20 sanzioni comminate. Per quanto concerne il quantum delle sanzioni, l’’autorità più severa in assoluto è risultata quella del Regno Unito (ICO), che ha erogato multe per 312 milioni di euro, pari al 76% del totale complessivo relativo alle nazioni prese in esame. All’altro estremo si collocano le autorità di controllo di Irlanda e Lussemburgo, che non hanno ancora irrogato alcuna sanzione: sarà un caso che le multinazionali straniere che trattano dati personali su larga scala scelgano proprio questi Paesi per nominare il proprio rappresentante stabilito in Europa?

Cessione dei crediti e trattamento dei dati: il principio di minimizzazione deve esser sempre rispettato

Avv. Vincenzo Colarocco

Con recente ordinanza (n. 34113/2019) del 19 dicembre 2019, la Suprema Corte di Cassazione ha avuto modo di esprimersi circa il corretto (e doveroso) bilanciamento tra il trattamento dei dati personali connesso alle attività di recupero del credito ed il principio di minimizzazione dei dati, sottolineando la necessità di limitare le attività di trattamento ed il novero dei dati trattati a quanto strettamente necessario per il perseguimento delle finalità alla base della raccolta.

Per quanto attiene al caso di specie sotteso alla pronuncia in esame, basti sinteticamente rilevare che, con sentenza del 2012, il Tribunale di Napoli condannava il Banco di Napoli s.p.a. a rifondere in favore dell’attore una cospicua somma di denaro dovuta a titolo di responsabilità pre-contrattuale, oltre al risarcimento dei danni quantificati nella somma di € 5.000,00 per violazioni della vigente normativa in materia di protezione dei dati personali. Tali violazioni sarebbero, in particolare, state perpetrate in relazione al trattamento dei dati dell’attore connesso alla fase della cessione del credito da parte dell’istituto bancario.

Del medesimo avviso non risultava la competente Corte d’Appello evidenziando come, una volta eseguito il pignoramento immobiliare, risulterebbe inevitabile che la vicenda debitoria travalichi gli stretti ambiti del rapporto debitore-creditore, coinvolgendo tutti i possibili soggetto interessati all’acquisto del bene staggito.

L’interessato de quo proponeva quindi ricorso per Cassazione adducendo, tra gli altri motivi d’impugnazione, anche la violazione e falsa applicazione degli artt. 15 e seg. del D. Lgs. del Codice Privacy (per tale intendendosi la versione ratione temporis vigente, antecedente alle modifiche apportate dal D. Lgs. 101/2018) in virtù dell’asserita circostanza per cui la Banca la Banca avrebbe segnalato l’interessato debitore a soggetti privati “acquirenti di crediti”, fornendo loro dati sensibili in ordine alla persona del debitore, alla sua abitazione e alla sua situazione debitoria.

La Suprema Corte, quindi, nel rigettare le descritte doglianze, ha avuto modo di soffermarsi anche sull’attuale quadro normativo, rappresentando che il previgente “principio di necessità del trattamento”, di cui agli abrogati artt. 3 e 11 del Codice Privacy, sia stato recentemente riaffermato con l’entrata in vigore dell’art. 5 lett. c) del Regolamento UE 2016/679 (“GDPR”), a mente del quale i dati dovranno risultare “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»)”.

La Cassazione, in più, si è espressa anche in ordine all’onere della prova circa la lamentata violazione del principio di minimizzazione dei dati, sottolineando come il ricorrente non avesse fornito alcuna dimostrazione in merito alla violazione del detto principio nell’ambito della comunicazione dei propri dati a soggetti terzi; ulteriormente rilevandosi che la Banca non potrebbe incorrere, a priori, in una violazione della normativa in ambito privacy “solo perché abbia fornito ai soggetti acquirenti del credito informazioni riguardanti la debitrice funzionali alla cessione del credito, quali la situazione debitoria, ubicazione dell’immobile vincolato alla garanzia del credito, etc.”.

Elezione Garante Privacy. Il 18 febbraio si vota in Camera e al Senato

Avv. Vincenzo Colarocco

Come si apprende da key4biz.it, quotidiano online sulla digital economy, è stata fissata la data per la votazione del Garante per la protezione dei dati personali presso la Camera dei Deputati.

La conferenza dei capigruppo di Montecitorio ha deciso per il 18 febbraio 2020 e il voto sarà doppiamente “unificato”: sia perché la votazione avrà ad oggetto la scelta dei componenti di competenza della Camera non solo per l’Authority Privacy, ma anche dell’AGCOM, sia perché, nello stesso giorno si voterà anche al Senato della Repubblica sulle medesime cariche.

La decisione ha accolto il monito del Presidente della Repubblica dello scorso 27 dicembre, in cui sollecitava le conferenze deputate dei due organi costituzionali nel provvedere in tal senso.

Dati personali e ricerca scientifica: quali limiti?

Avv. Vincenzo Colarocco

L’European Data Protection Supervisor (EDPS) ha pubblicato lo scorso 6 gennaio, il parere preliminare sulla protezione dei dati e la ricerca scientifica, in un contesto in cui rilevanti sono oramai gli aspetti circa il rapporto esistente tra la digitalizzazione, il progresso delle tecnologie, i big data, rispetto alla indispensabile tutela dei dati personali e al relativo consenso: la digitalizzazione ha reso la generazione e la diffusione di dati personali più semplice ed economica trasformando il modo in cui viene condotta la ricerca scientifica.

La protezione dei dati è destinata a servire da “rete di sicurezza” per le persone i cui dati sono necessari per sostenere la ricerca scientifica: i dati personali, infatti, consentono una migliore comprensione delle malattie, dello sviluppo di nuove terapie e del miglioramento generale della qualità della vita. Si aggiunge che la digitalizzazione ha innegabilmente contribuito a creare un nuovo potenziale per la responsabilizzazione del singolo tenuto ad affrontare profonde questioni sociali come la sanità pubblica.

Il presente parere preliminare trae origine dal lavoro dell’EDPS e del Gruppo di Lavoro “Articolo 29” con lo scopo di promuovere una approfondita riflessione tra la community della ricerca e quella della protezione dei dati personali.

Il documento si struttura in sei sezioni che vengono delineati come segue:

–          in primo luogo, viene delineato il quadro generale della ricerca scientifica nell’era digitale e le questioni ad essa correlate (sezione 2);

–          successivamente, viene circoscritto il concetto di ricerca scientifica rispetto al Regolamento UE 2016/679 (“GDPR) (sezione 3);

–          viene delineato il quadro di governance e la politica di ricerca nell’Unione europea ed all’interno del quale si colloca la protezione dei dati, con particolar riguardo agli studi clinici ed alla ricerca medica nel rispetto della dignità umana e il diritto all’integrità della persona (sezioni 4 e 5);

–          viene proposto un quadro sui principi cardine del GDPR connessi al trattamento dei dati per finalità scientifiche e/o di ricerca (a mero titolo esemplificativo e non esaustivo, i principi di liceità, correttezza, trasparenza, minimizzazione dei dati personali) (sezione 6).

Telemarketing indesiderato: 11,5 milioni di euro di sanzione a Eni gas e luce

Avv. Vincenzo Colarocco

Il Garante della Privacy è intervenuto nuovamente sul trattamento dei dati personali in relazione ad iniziative promozionali ed attivazione di contratti non richiesti.

All’esito di istruttorie avviate a seguito di numerose segnalazioni dei consumatori che lamentavano la ricezione di telefonate con operatore, il Garante ha potuto riscontrare condotte di sistema adottate da Eni Gas e Luce nel corso di attività di telemarketing e teleselling indesiderate, nonché violazioni nella conclusione di contratti, all’interno del mercato libero del fornitura di energia e gas, non richiesti.

Per tali motivi, il Garante ha emesso due sanzioni per un ammontare complessivo di 11,5 milioni di euro: una prima sanzione di 8,5 milioni di euro ed una seconda sanzione di euro 3 milioni.

Le gravi irregolarità sono state la conferma dell’assenza di misure tecnico organizzative in grado di recepire le manifestazioni di volontà degli utenti; tempi di conservazione dei dati superiori a quelli consentiti; l’acquisizione dei dati dei potenziali clienti da soggetti (list provider) che non avevano acquisito il consenso per la comunicazione di tali dati, nonché determinato trattamenti non conformi al Regolamento UE, in quanto contrari ai principi di correttezza, esattezza e aggiornamento dei dati.

Dove si applica il GDPR? Pubblicate le linee guida sull’ambito di applicazione territoriale

Avv. Vincenzo Colarocco

L’European Data Protection Board (EDPB), a seguito della quindicesima sessione plenaria tenutasi lo scorso 12 e 13 novembre, ha adottato la versione definitiva delle Linee Guida sull’ambito territoriale del Regolamento europeo n. 679/2016, meglio noto come “GDPR”, volte a delineare il corretto modus operandi in specifici casi affetti da criticità. Il testo fornisce un’importante interpretazione dell’art. 3 del GDPR, di certo ausilio per tutte le aziende che operano al di fuori del territorio dell’Unione Europea. La norma introduce due criteri alternativi per l’individuazione dell’ambito di applicazione territoriale, rispettivamente l’Establishment Criterion (criterio dello stabilimento sul territorio) e il Targeting Criterion (criterio della collocazione fisica e geografica degli interessati). A tali criteri deve essere aggiunto quello del luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico. Nello specifico, con riferimento al primo criterio, il paragrafo 1 dell’art. 3 GDPR stabilisce che il regolamento si applica “al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione”. L’EDPB profila un triplice approccio per determinare se il trattamento dei dati personali rientri o meno nell’ambito di applicazione del GDPR ai sensi dell’articolo 3, paragrafo 1: a) la definizione di “stabilimento” deve essere intesa in senso ampio, soprattutto nei casi che riguardano la fornitura di servizi online. Di conseguenza, in alcune circostanze, la presenza nell’Unione Europea di un solo dipendente o agente di un ente situato extra UE, che agisca con un grado sufficiente di autorità ed autonomia, nonché di stabilità, può essere sufficiente ad integrare uno stabilimento. Al contrario, la semplice presenza di un dipendente nell’UE, quando il trattamento non viene effettuato nel contesto delle attività del dipendente, non comporterà che il trattamento rientri nel campo di applicazione del GDPR. Per esempio: una casa automobilistica americana apre una filiale a Bruxelles: in questo caso, le relative attività ricadono nell’ambito del GDPR, essendoci una stabile organizzazione (la filiale) nell’UE; b) il titolare del trattamento o il responsabile del trattamento saranno soggetti agli obblighi del GDPR ogniqualvolta il trattamento sarà realizzato “in the context of the activities”, cioè quando il trattamento interesserà in termini strumentali la loro attività. Si potrebbe fare l’esempio di un sito di e-commerce gestito da un’azienda con sede in Cina: se da un lato le attività di trattamento vengono svolte esclusivamente in Cina, dall’altro l’azienda dispone di un ufficio europeo con sede a Berlino che conduce campagne di marketing dirette verso i mercati europei. L’EDPB afferma che, in questo caso, le attività dell’ufficio di Berlino sono “inestricabilmente collegate” all’elaborazione di dati personali del sito web di e-commerce cinese nella misura in cui la campagna di marketing verso l’UE renda redditizio il servizio offerto dal sito web. Il trattamento dei dati personali da parte del sito web cinese può quindi essere considerato come svolto nel contesto delle attività dell’ufficio di Berlino, e pertanto soggetto al GDPR; c) il GDPR specifica che il regolamento si applica al trattamento nell’ambito delle attività di uno stabilimento situato nell’UE “indipendentemente dal fatto che il trattamento avvenga o meno nell’Unione“. L’EPDB precisa, dunque, che l’applicazione della normativa prescinde dall’ubicazione o dalla nazionalità dell’interessato i cui i dati personali sono in corso di trattamento; d) la presenza del responsabile del trattamento nel territorio dell’UE non si traduce necessariamente nello stabilimento ai fini dell’individuazione dell’ambito di applicazione del GDPR. Se, invece, il titolare del trattamento soggetto al GDPR sceglie di avvalersi di un responsabile del trattamento situato al di fuori dell’Unione per una determinata attività di trattamento, sarà comunque necessario che il titolare del trattamento garantisca che il responsabile del trattamento tratti i dati conformemente al GDPR. Ad esempio: un istituto di ricerca finlandese conduce ricerche sul popolo Sami. L’istituto lancia un progetto che riguarda solo i Sami in Russia. Per questo progetto l’istituto si avvale di un responsabile del trattamento con sede in Canada. Sebbene il GDPR non si applichi direttamente al responsabile del trattamento canadese, il titolare del trattamento finlandese è tenuto a dare attuazione al GDPR in quanto stabilito nel territorio dell’Unione Europea, con la conseguenza che gli obblighi saranno impartiti anche al soggetto responsabile. Con riferimento al secondo criterio, invece, esso si focalizza sulla collocazione fisica e geografica degli interessati. A prescindere dallo stabilimento del titolare, dunque, la sola circostanza del trattamento di dati di cittadini dell’Unione Europea integra l’applicabilità della normativa. In particolare tale criterio si applica al settore radiotelevisivo, in base al quale sono soggetti al GDPR i trattamenti di dati effettuati nell’ambito di servizi diretti a interessati nell’Unione ovvero del monitoraggio di tali tipologie di servizi, anche se il titolare o il responsabile non sono stabiliti nell’Unione. Un altro esempio di applicazione del secondo criterio è reso dai servizi degli OTT ovvero “imprese prive di una propria infrastruttura e che in tal senso agiscono al di sopra delle reti, da cui Over-The-Top”, non aventi stabilimento in Europa ma che offrono, anche a pagamento, servizi diretti a soggetti siti nell’Unione (quali Google o Facebook). Ciò detto sui primi due criteri, l’EDPB precisa che il GDPR si applichi al trattamento dei dati personali effettuato dalle ambasciate e dai consolati degli Stati membri situati al di fuori dell’UE, in quanto tale trattamento rientra nell’ambito di competenza della Commissione. Caso diverso quello in cui, in virtù delle disposizioni di diritto internazionale, taluni enti, organismi o organizzazioni stabiliti nell’Unione beneficiano di privilegi e immunità quali quelli previsti dalla Convenzione di Vienna sulle relazioni diplomatiche. Analizzati i criteri, è opportuno menzionare il tema della nomina del rappresentante stabilito. La nomina da parte di titolari e responsabili del trattamento di un proprio rappresentante stabilito in uno degli Stati membri dell’Unione Europea è uno degli obblighi da rispettare per conformarsi al GDPR. Il rappresentante può essere una persona fisica o giuridica stabilita nell’Unione in grado di rappresentare titolare o responsabile del trattamento dei dati stabilito al di fuori dell’Unione in relazione ai rispettivi obblighi previsti dal GDPR. L’EDPB specifica che la funzione del rappresentante non è assolutamente compatibile con quella del DPO: quest’ultimo – per definizione –  gode di autonomia decisionale ed estraneità rispetto alla determinazione delle finalità e delle modalità del trattamento. Un esempio di nomina obbligatoria è il seguente: un e-commerce gestito da un’azienda con sede in Turchia offre servizi per la creazione, l’edizione, la stampa e la spedizione di album di foto di famiglia personalizzati. Il sito Web è disponibile in inglese, francese, olandese e tedesco e i pagamenti possono essere effettuati in euro o sterline. Il sito web indica che gli album fotografici possono essere consegnati solo per posta nel Regno Unito, in Francia e in Germania. Tale sito Web ai sensi dell’articolo 3, paragrafo 2, lettera a) è soggetto al GDPR: il titolare dovrà nominare un rappresentante stabilito in uno degli Stati membri in cui è disponibile il servizio offerto, quindi Regno Unito, Francia, Belgio, Paesi Bassi, Lussemburgo o Germania. Il nome ed altre informazioni del responsabile del trattamento dei dati devono far parte delle informazioni rese disponibili online agli interessati una volta che hanno iniziato ad usufruire del servizio creando il loro album fotografico. Al contempo l’art. 27, paragrafo 2 del GDPR prevede una deroga alla nomina obbligatoria del rappresentante nell’Unione da parte del titolare o del responsabile del trattamento quando “il trattamento è occasionale, non include, su larga scala, il trattamento di categorie speciali di dati di cui all’articolo 9, paragrafo 1, o il trattamento di dati personali relativi a condanne penali e reati di cui all’articolo 10“, ed ancora quando  il trattamento è effettuato da un’autorità o un ente pubblico. Nei casi in cui una parte significativa degli interessati si trovino in un determinato Stato membro, l’EDPB raccomanda che il rappresentante sia stabilito in quello stesso Stato membro. Per concludere le linee guida sull’ambito di applicazione territoriale del GDPR fanno riferimento ad obblighi e responsabilità del rappresentante. Il rappresentante agisce per conto del titolare del trattamento o del responsabile del trattamento e facilita la comunicazione tra gli interessati e il titolare o responsabile del trattamento. Se necessario, con l’aiuto di un proprio team, il rappresentante comunica con gli interessati e coopera con le autorità di controllo interessate.

E se il medico pubblicasse le tue foto sui social network?

Avv. Vincenzo Colarocco

Filmati di soggetti ricoverati, foto prima/dopo l’intervento di chirurgia, messaggi di cordoglio per il decesso di un paziente che, per una morale religiosa, si è lasciato morire: sono solo alcuni dei casi che riguardano il fenomeno della condivisione di informazioni relative a dati particolari nell’ambito medico sui social network.

I professionisti, infatti, perseguendo scopi pubblicitari o di altro genere, maturano l’errata convinzione che la mera omissione del nome dei pazienti sia sufficiente a garantire un grado di non identificabilità tale da preservare un diritto fondamentale quale quello alla privacy. Nulla di più sbagliato.

Invero, è nota la definizione di dato personale sancita dall’art. 4 del GDPR, il quale individua come tale “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

In Italia la questione è già da qualche tempo al centro dell’attenzione.

Nel 2017 il Ministero della Salute, mediante una nota, chiese alla Federazione Nazionale dell’Ordine dei medici di redigere un monito rivolto a tutti gli ordini provinciali invitando tutti i professionisti iscritti all’albo a verificare l’uso degli strumenti social in relazione alla professione, ribadendo l’obbligo di rispettare l’art. 10 del Codice deontologico, che impone al medico di “mantenere il segreto su tutto ciò di cui è a conoscenza in ragione della propria attività professionale. La morte della persona assistita non esime il medico dall’obbligo del segreto professionale”. Occorre ricordare che, il medesimo Codice impone, all’art. 11, “rispetto della riservatezza, in particolare dei dati inerenti alla salute e alla vita sessuale. Il medico assicura la non identificabilità dei soggetti coinvolti nelle pubblicazioni o divulgazioni scientifiche di dati e studi clinici”.

La questione dello scorretto e non autorizzato utilizzo dei dati particolari dei pazienti da parte dei medici è stata recentemente attenzionata dall’autorità di controllo di Cipro, la quale ha inflitto una sanzione di 14.000 euro ad un medico che aveva pubblicato su internet i dati sensibili di un paziente senza il suo consenso: in particolare, il chirurgo aveva filmato con il suo telefonino una persona ricoverata in ospedale per sottoporsi a un intervento di rinoplastica e aveva successivamente pubblicato tale contenuto sul web a scopo dimostrativo (prima/dopo) senza riportare il nome del paziente, nell’errata convinzione che tale scelta potesse garantirne l’anonimato, nonostante questi fosse comunque riconoscibile dal volto. Ancor più grave la condotta solo a considerare che il profilo ufficiale Instagram della clinica vanta circa 4 mila follower.

La Corte di Cassazione interviene sulla data minimization

Avv. Vincenzo Colarocco

La Deutsche Bank è stata condannata per inadempimento contrattuale dalla Suprema Corte con sentenza n. 26778 pubblicata il 21.10.2019.

La giurisprudenza di legittimità ha precisato che le disposizioni e i principi in tema di dati sensibili (art. 4, comma 1, lett. d) del Codice della Privacy hanno carattere di norma imperativa (ex art. 1418 c.c.). e che tra i principi della data protection è da considerarsi sicuramente quello di minimizzazione nell’uso dei dati personali (“devono essere utilizzati solo i dati indispensabili, pertinenti e limitati a quanto necessario per il perseguimento delle finalità per cui sono raccolti e trattati”).

Il ricorso in Cassazione è stato proposto avverso una sentenza della Corte di Appello di Genova che aveva confermato la sentenza di primo grado con cui il Tribunale di Chiavari rigettava tutte le domande proposte volte a far accertare in capo all’istituto bancario la sua responsabilità contrattuale nonché la violazione delle norme vigenti in materia di privacy.

Il giudizio trae origine dalla circostanza che una filiale ligure della Deutsche Bank s.p.a. presentava al potenziale cliente il contratto da sottoscrivere per l’instaurazione del rapporto, nel quale l’istituto di credito chiedeva l’autorizzazione al trattamento dei dati sensibili – ora dati particolari ex art. 9 del GDPR – del cliente, pena il rifiuto di dar seguito al contratto.

Al cliente che, quindi, sottoscriveva il contratto senza autorizzare il trattamento dei dati sensibili veniva bloccata l’operatività sia del conto corrente bancario che del deposito titoli nella titolarità del cliente, il tutto giustificato dalla Banca dalla necessità del rilascio del consenso ai fini di una imprecisata completa e migliore gestione dei rapporti con i clienti e/o per eventuali fini cautelativi (potendo tali dati venire pro futuro a conoscenza della stessa Banca).

La Suprema Corte di Cassazione, sottolineando che la clausola con cui la banca ha subordinato l’esecuzione delle proprie operazioni al rilascio del consenso al trattamento dei dati sensibili contrasta decisamente con i principi informatori della legge sulla privacy, accoglie i motivi del ricorso disponendo che “la Banca avendo sottoposto l’informativa all’attenzione del cliente all’atto della sottoscrizione del contratto di conto corrente bancario, di fronte al rifiuto del cliente di sottoscrivere il consenso al trattamento dei dati sensibili, avrebbe dovuto, ove avesse voluto essere coerente, rifiutarsi di instaurare il rapporto contrattuale e non invece […] consentire al cliente di aprire il conto e di operare […] per poi “bloccarlo” per una causa di cui era già pienamente consapevole all’atto dell’apertura del conto corrente” e rinvia alla Corte d’Appello di Genova.