La Suprema Corte tratta, con la sentenza de qua, una problematica di rilievo e di grande interesse pratico: le banche e la gestione dei dati personali dei clienti.-------------------------------------------------------------------------------------------------------------------------------------------------------------------------- Secondo la Suprema Corte - non condividendo, anzi, confutando recisamente quanto deciso dai Giudici di prime e seconde cure - la clausola con cui la banca ha subordinato il dar corso alle operazioni richieste dal cliente al consenso al trattamento dei dati sensibili è affetta da nullità in quanto contraria a norme imperative, a norma dell'art. 1418 c. c. Ne consegue che la condotta con cui lo stesso istituto di credito ha successivamente provveduto al "blocco" del conto corrente e del deposito titoli, proprio perché trova il proprio titolo in una clausola nulla dalla stessa inserita, non lo esonera da responsabilità per inadempimento contrattuale.-------------------------------------------------------------------------------------------------------------------------------------------------------------------- Peraltro, la Banca, avendo sottoposto l'informativa citata all'attenzione del cliente all'atto della sottoscrizione del contratto di conto corrente bancario, di fronte al rifiuto del cliente di sottoscrivere il consenso al trattamento dei dati sensibili, avrebbe dovuto, ove avesse voluto essere coerente, rifiutarsi di instaurare il rapporto contrattuale e non invece, come effettivamente avvenuto, consentire al cliente di aprire il conto e di operare sullo stesso per un certo periodo di tempo, salvo poi "bloccarlo" per una causa di cui era già pienamente consapevole all'atto dell'apertura del conto corrente ( e del conto titoli). ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- Ad avviso degli Ermellini, va, in primo luogo, osservato che la clausola con cui la banca ha subordinato l'esecuzione delle proprie operazioni al rilascio del consenso al trattamento dei dati sensibili contrasta indubitabilmente con i principi informatori della legge sulla privacy, la quale ha natura di norma imperativa, contenendo tale normativa precetti che non possono essere derogati dall'autonomia privata in quanto posti a tutela di interessi generali, di valori morali e sociali pregnanti nel nostro ordinamento, finalizzati al rispetto dei diritti e delle libertà fondamentali, quali la dignità, la riservatezza, l'identità personale, la protezione dei dati personali. -------------------------------------------------------------------------------------------------------------------------------------------- Tra i principi che regolano la tutela della c.d. privacy rientra a pieno titolo quello di minimizzazione nell'uso dei dati personali, dovendo essere utilizzati solo i dati indispensabili, pertinenti e limitati a quanto necessario per il perseguimento delle finalità per cui sono raccolti e trattati. In particolare, tale principio è ben espresso dall'art. 3 del d.lgs n. 196/2003, recante il titolo "principio di necessità nel trattamento dei dati", dall'art. 11 lett. d) legge cit. , che richiede la pertinenza, la completezza e non eccedenza dei dati rispetto alle finalità per cui sono raccolti e trattati ed è stato recentemente riaffermato con l'entrata in vigore dell'art. 5 lett. c) del regolamento europeo sulla protezione dei dati personali 2016/679. Il principio in esame deve essere, a maggior ragione, rispettato anche nel trattamento dei dati sensibili, intendendo per tali, a norma dell'art. 4 comma 10 lett. d) d.lgs n. 196/2003, quei dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.------------------------------------------------------------------------------------------------------------------------------------------------ Nel caso di specie, la banca ha apoditticamente giustificato la necessità di un consenso obbligatorio del cliente al rilascio dell'autorizzazione al trattamento dei dati sensibili con la propria "policy" aziendale, ai fini di una imprecisata completa e migliore gestione dei rapporti con la clientela, precisando, anche secondo la ricostruzione dei giudici di merito, di ritenere necessario acquisire i dati sensibili, non nel senso "che la banca necessiti di avere a disposizione i dati c.d. sensibili per poter operare, ma nel senso che potendo tali dati venire a conoscenza dell'istituto di Credito, in via di cautela la banca vuole ottenere il consenso al loro trattamento". ------------------------------------------------------------------------------------------------------------------------------------------------ Per la Suprema Corte, tale affermazione non ha una giustificazione plausibile.------------------------------------------------------------------------------------------------------------------------------------ La stessa banca ha dato atto - e non poteva fare diversamente in considerazione della precisa nozione di dati sensibili, evincibile dell'art. 4 comma 1° lett. d) d.lgs n. 196/2003 - di non aver bisogno di tali dati per operare. E' quindi evidente che il fondare, a scopo cautelativo, la richiesta obbligatoria al cliente di rilascio dell'autorizzazione al trattamento dei dati sensibili sulla eventuale (alquanto remota) possibilità che la Banca ne venga a conoscenza nel corso della sua attività assume la connotazione di un mero pretesto. -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- La Banca ha dunque richiesto obbligatoriamente - prospettando, diversamente, l'impossibilità di poter dar corso alle operazioni ed ai servizi richiesti - il consenso al trattamento di dati sensibili non pertinenti, non indispensabili (tali sono quelli relativi alle origine razziale, etnica del cliente, alla sua salute, alla vita sessuale, etc.) eccedenti in modo evidente le finalità per cui tali dati sono trattati e raccolti.---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- Per il che e conclusivamente la sentenza impugnata è stata cassata con rinvio.------------------------------------------------------------------------------------------------------------------------------------ DONATO GIOVENZANA - LEGALE D'IMPRESA