La normativa sulla privacy ha natura imperativa ed è quindi inderogabile; l’istituto risponderà di inadempimento contrattuale
La clausola contrattuale con cui la banca subordina le operazioni richieste dal cliente al consenso al trattamento dei dati sensibili è affetta da nullità in quanto contraria a norme imperative ex art. 1418 c.c. Qualora venga bloccata l’operatività del conto corrente, dunque, la banca risponderà di inadempimento contrattuale.
In questi termini si è recentemente espressa la Corte di Cassazione con la decisione n. 26778/2019, relativa a un tema di particolare rilevanza pratica, soprattutto nell’epoca della c.d. patrimonializzazione dei dati personali: la gestione di tali dati da parte degli istituti di credito.
La decisione ha ad oggetto una fattispecie realizzatasi prima dell’entrata in vigore del Regolamento Ue 679/2016 (GDPR), ma gli esiti a cui giunge sembrano potersi estendere anche all’attuale disciplina, in quanto coinvolgono principi accolti anche dal GDPR.
Nel caso di specie una banca aveva sottoposto al cliente, al momento della sottoscrizione di un contratto di conto corrente, una clausola volta a condizionare l’esecuzione delle prestazioni al rilascio dell’autorizzazione al trattamento dei dati sensibili; in seguito, a fronte del rifiuto del correntista, l’istituto aveva bloccato l’operatività del conto corrente.
In primo grado e in appello la richiesta risarcitoria del ricorrente, che ravvisava nella condotta tenuta dall’istituto un’ipotesi di inadempimento contrattuale, era stata rigettata. Secondo i giudici, infatti, la banca, in quanto titolare del trattamento dei dati, non era soggetta a particolari limitazioni di legge nell’ambito della propria autonomia gestionale e contrattuale. Né vi sarebbe stata alcuna violazione della legge sulla privacy, essendo stata sottoscritta dal cliente un’informativa circa le conseguenze del proprio rifiuto.
La Suprema Corte ha però sconfessato con decisione tale ricostruzione.
Una clausola contrattuale così congegnata contrasterebbe con la disciplina in materia di privacy, che ha natura imperativa in quanto posta a tutela di interessi generali volti a garantire il rispetto di diritti e libertà fondamentali (quali la dignità, la riservatezza e la protezione dei dati personali).
Due sono i principi che vengono in rilievo nella decisione, quali limiti invalicabili per l’autonomia privata, a pena di nullità ex 1418 c.c.
In prima battuta, precisano i giudici di legittimità, figura l’art. 23 del DLgs. 196/2003, secondo cui il consenso al trattamento dei dati è validamente prestato solo se espresso liberamente (il medesimo principio è ripreso dal nuovo art. 7 del Regolamento 679/2016): pertanto, una clausola che imponga al cliente il rilascio del consenso al trattamento dei dati con la prospettazione di bloccare il conto corrente realizza una forma di pressione non consentita dall’ordinamento, in contrasto con gli artt. 2, 41 e 47 Cost.
Ulteriore vincolo alla libertà contrattuale delle parti è dato, poi, dal principio di minimizzazione nell’uso dei dati personali, secondo cui occorre utilizzare solo i dati adeguati, pertinenti e limitati rispetto alle finalità per cui questi vengono trattati e che, ancor di più, deve trovare applicazione in relazione a dati sensibili (il principio è stato riaffermato con l’entrata in vigore dell’art. 5 lett. c) del Regolamento 679/2016).
La Corte ha ritenuto violato anche tale principio evidenziando come il consenso al trattamento dei dati sensibili non risulti funzionale alla prestazioni tipiche di un servizio di conto corrente e, dunque, non necessario.
Infondate, peraltro, sono state ritenute le giustificazioni della banca, che aveva genericamente addotto la necessità di meglio gestire i dati in conformità alla propria policy aziendale. Infatti, “fondare, a scopo cautelativo, la richiesta obbligatoria al cliente di rilascio dell’autorizzazione al trattamento dei dati sensibili sulla eventuale (alquanto remota) possibilità che la Banca ne venga a conoscenza nel corso della sua attività assume la connotazione di un mero pretesto”.
Infine, è parso poco trasparente e contraddittorio l’atteggiamento della banca che, una volta acquisito il rifiuto al consenso del cliente, ha comunque instaurato il rapporto contrattuale, salvo poi bloccarne l’operatività in seguito, pur essendo consapevole sin dall’inizio della circostanza addotta.
Alla luce di tali considerazioni, la clausola che condiziona l’esecuzione delle operazioni di conto corrente richieste dal cliente al consenso al trattamento dei propri dati sensibili è stata dichiarata nulla ex art. 1418 c.c.
Di conseguenza, l’istituto di credito è stato considerato responsabile per inadempimento contrattuale per non aver dato seguito alle operazioni richieste dal cliente in esecuzione del contratto.