La Corte di Cassazione si è recentemente pronunciata (Cass. civ., sez. I, n. 26778, del 21/10/2019) relativamente alla legittimità della clausola, contenuta in un contratto di conto corrente bancario e di deposito titoli, con cui il cliente autorizza l’istituto di credito al trattamento dei dati sensibili. Alla luce della definizione di «dato sensibile» contenuta nel d.lgs. 196/2003 come insieme di «dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale», la clausola al vaglio della Corte sembrerebbe assumere rilievo ai fini del rispetto rigoroso della disciplina privacy. Infatti i giudici del merito avevano ritenuto che la clausola con cui si chiedeva l’autorizzazione al trattamento dei dati sensibili, la cui mancata sottoscrizione avrebbe comportato l’impossibilità di portare ad esecuzione le operazioni richieste, fosse legittima in quanto riconducibile all’esercizio dell’autonomia contrattuale e gestionale da parte dell’istituto di credito, oltre che necessario per l’instaurazione di un corretto rapporto con la clientela.
La prima sezione della Suprema Corte ha ritenuto, tuttavia, che la soluzione avanzata nei precedenti gradi di giudizio non potesse essere accolta. Secondo quanto si legge nella pronuncia, l’acquisizione da parte della banca di dati sensibili per l’esecuzione delle proprie operazioni «contrasta indubbiamente con i principi informatori della legge sulla privacy», in particolare quello della minimizzazione dell’uso dei dati personali, «dovendo essere utilizzati solo i dati indispensabili, pertinenti e limitati a quanto necessario per il perseguimento delle finalità per cui sono raccolti e trattati». In particolare, la Corte ritiene che l’autorizzazione al trattamento dei dati sensibili del cliente non sia necessario per portare ad esecuzione le operazioni conseguenti alla conclusione dei contratti bancari, in quanto l’«eventuale (alquanto remota) possibilità che la Banca ne venga a conoscenza nel corso della sua attività assume la connotazione di un mero pretesto». Conseguentemente, si deve ritenere che la clausola in esame sia affetta di nullità ex art. 1418 c.c., in quanto contraria a norme imperative, quali quelle relative alla disciplina in tema di trattamento dei dati personali.
La tesi avanzata dalla Suprema Corte nella sentenza in esame solleva qualche perplessità, poiché presuppone che il fenomeno descritto si verifichi raramente e, per tanto, esclude la necessità di ottenere un consenso preventivo al trattamento di dati sensibili da parte del correntista. Altra giurisprudenza della stessa Corte, però, mette in luce come questo si verifichi, soprattutto alla luce del numero sempre più consistente di pagamenti che sono effettuati mediante il circuito bancario. A tal proposito, si ricorda come le Sezioni Unite, nella sentenza n. 30921 del 27/12/2017, hanno affermato che anche gli istituti bancari – qualora ricevano un ordine di pagamento di un indennizzo destinato a soggetti con determinati problemi di salute – siano chiamati ad applicare la disciplina contenuta nel Codice Privacy relativa al trattamento di dati sensibili e, pertanto, siano tenuti ad adottare tecniche di cifratura o criptatura, in modo tale da non rivelare lo stato di salute del beneficiario dell’indennità.
Alla luce di quanto osservato, sarebbe fortemente auspicabile un intervento chiarificatore a livello giurisprudenziale, tenuto conto della delicatezza della tematica.
Scegli l’orario che preferisci e invia la tua richiesta: uno dei nostri professionisti sarà a tua disposizione per approfondire con te la questione.
