Sentenza Sentenza Cassazione Civile n. 26778 del 21/10/2019

Cassazione civile sez. I, 21/10/2019, (ud. 26/06/2019, dep. 21/10/2019), n.26778

LA CORTE SUPREMA DI CASSAZIONE

SEZIONE PRIMA CIVILE

Composta dagli Ill.mi Sigg.ri Magistrati:

Dott. SAMBITO Maria Giovanna Concetta – Presidente –

Dott. MARULLI Marco – Consigliere –

Dott. IOFRIDA Giulia – Consigliere –

Dott. NAZZICONE Loredana – Consigliere –

Dott. FIDANZIA Andrea – rel. Consigliere –

ha pronunciato la seguente:

ORDINANZA

sul ricorso 25950/2015 proposto da:

E.L., domiciliato in Roma, Piazza Cavour, presso la Cancelleria

Civile della Corte di Cassazione, rappresentato e difeso

dall’avvocato Daniele Minotti, giusta procura in calce al ricorso;

– ricorrente –

contro

Deutsche Bank Spa, in persona del legale rappresentante pro tempore,

elettivamente domiciliata in Roma, Via Sabotino 2/A, presso lo

studio dell’avvocato Paris Filippo, rappresentata e difesa

dall’avvocato Volpe Gian Maria, giusta procura in calce al

controricorso;

– controricorrente –

avverso la sentenza n. 1298/2014 della CORTE D’APPELLO di GENOVA,

depositata il 18/10/2014;

udita la relazione della causa svolta nella camera di consiglio del

26/06/2019 dal Cons. FIDANZIA ANDREA

Fatto

FATTI DI CAUSA

Con sentenza depositata il 18 ottobre 2014 la Corte d’Appello di Genova ha confermato la sentenza di primo grado con cui il Tribunale di Chiavari ha rigettato tutte le domande proposte da E.L. finalizzate a far accertare in capo alla Deutsche Bank s.p.a. la responsabilità contrattuale e/o extra contrattuale e/o violazione di legge, con conseguente condanna al risarcimento dei danni patrimoniali e non patrimoniali, per aver “bloccato” l’operatività del conto corrente bancario e del deposito titoli, nella titolarità del cliente, dai primi giorni di marzo 2008 come conseguenza del fatto che quest’ultimo non aveva inteso autorizzare l’istituto di credito al trattamento dei suoi dati sensibili.

La Corte d’Appello di Genova ha condiviso l’impostazione giuridica del giudice di primo grado secondo cui la banca, quale titolare del trattamento dei dati, nell’ambito della propria autonomia gestionale e contrattuale, non soggetta a particolari limitazioni di legge, avesse legittimamente ritenuto necessario, per una completa e migliore gestione dei rapporti con la clientela, acquisire anche i dati sensibili. Nè l’istituto di credito era incorso in violazioni della legge sulla privacy o in inadempimenti contrattuali, avendo espressamente comunicato al sig. E., a norma del D.Lgs. n. 196 del 2003, art. 13, all’atto della sottoscrizione del contratto, che in caso di mancata autorizzazione al trattamento dei dati sensibili, la banca non avrebbe potuto dar corso alle operazioni richieste dal correntista, e, nonostante ciò, tali condizioni contrattuali furono liberamente sottoscritte dal cliente.

Avverso questa sentenza ha proposto ricorso per cassazione E.L., affidandolo a sette motivi.

La Deutsche Bank si è costituita in giudizio con controricorso eccependo la genericità del ricorso e l’inammissibilità dello stesso ex art. 360 bis c.p.c..

Entrambe le parti hanno depositato le memorie ex art. 180 bis.1 c.p.c..

Diritto

RAGIONI DELLA DECISIONE

1. Prima di illustrare i motivi del ricorso del sig. E. vanno disattese le eccezioni di inammissibilità del ricorso sollevate dalla controricorrente.

In primo luogo, il ricorrente non propone affatto una diversa lettura delle risultanze processuali concentrando le proprie censure soprattutto sulle violazioni di legge (art. 1322 c.c. e legge sulla privacy). Peraltro, tale eccezione è palesemente generica, non facendo alcun riferimento alla vicenda concreta per cui è procedimento.

Palesemente inconferente è, inoltre, il richiamo all’art. 360 bis c.p.c., non avendo i giudici di merito affatto esaminato questioni di diritto su cui la giurisprudenza ha deciso in modo conforme.

2. Con il primo motivo E.L. ha dedotto la violazione e la falsa applicazione dell’art. 360 c.p.c., comma 1, n. 3. in relazione all’art. 1322 c.c. e art. 41 Cost.. Lamenta il ricorrente che l’autonomia contrattuale non può essere esercitata senza limiti, quale quello previsto dal D.Lgs. n. 196 del 2003, art. 23, secondo cui il consenso al trattamento dei dati personali è validamente prestato solo se espresso liberamente. Obbligare il cliente a rilasciare il consenso al trattamento dei dati sensibili con la prospettazione di bloccare, in caso contrario, il conto corrente o il deposito titoli, rientra nelle forme di pressione non consentite dall’autonomia contrattuale, incidendo sul libero discernimento, e ciò in contrasto anche con svariate norme della Costituzione, tra cui gli artt. 2,41 e 47.

3. Con il secondo motivo è stata dedotta la violazione e la falsa applicazione del D.Lgs. n. 196 del 2003, art. 13, art. 23, comma 3 e art. 24.

Ribadisce il ricorrente che non è conforme alla legge sulla privacy obbligare l’altro contraente a rilasciare il consenso ai dati sensibili, senza che ciò corrisponda ad alcun bisogno, prospettando, diversamente, la mancata esecuzione delle operazioni bancarie.

Le linee guida in tema di trattamento di dati personali della clientela in ambito bancario emanate dal Garante della Privacy ribadiscono i principi di pertinenza e di non eccedenza espressi dal D.Lgs. n. 196 del 2003, art. 11, comma 1, lett. d).

4. Con il terzo motivo è stata dedotta la falsa applicazione della clausola 8.1. del contratto.

Lamenta il ricorrente che il capitolo 5, clausola 8.1. del contratto uniforme indicava come necessario solo il consenso relativo ai dati personali.

5. Con il quarto motivo è stata dedotta la nullità della sentenza e del procedimento per violazione del principio del contraddittorio, di cui all’art. 101 c.p.c., comma 2 e artt. 24 e 111 Cost..

Lamenta il ricorrente che il giudice d’appello ha posto a fondamento della propria decisione tre eccezioni rilevate d’ufficio, quali quelle relative al principio di specificità dei motivi, all’erronea applicazione dell’art. 115 c.p.c. e alla doglianza sulla liquidazione delle spese del giudizio di primo grado.

6. Con il quinto motivo è stata dedotta la violazione del principio di specificità, secondo la formulazione dell’art. 342 comma 1 c.p.c. previgente.

Lamenta il ricorrente di aver dedotto dettagliatamente ed analiticamente tutte le ragioni della erroneità della sentenza di primo grado, osservando che, in ogni caso, l’art. 342 c.p.c., comma 1 previgente non richiedeva una rigorosa e formalistica enunciazione delle ragioni invocate a sostegno dell’appello.

7. Con il sesto motivo è stata dedotta violazione di legge in relazione all’art. 113 c.p.c., artt. 24,54,101 e 111 Cost..

Lamenta il ricorrente di non aver mai sostenuto la subordinazione delle fonti normative a quelle contrattuali.

8. Con il settimo motivo è stata censurata la statuizione della sentenza d’appello d’appello nella parte in cui ha dichiarato inammissibile per difetto di specificità la doglianza sulla liquidazione delle spese.

Lamenta il ricorrente che il giudice di primo grado aveva disposto una condanna omnicomprensiva senza la possibilità di controllare analiticamente la correttezza della liquidazione con le tabelle in vigore al tempo.

9. I primi tre motivi, da esaminare unitariamente in relazione alla stretta connessione delle questioni trattate, sono fondati.

Va osservato che non è contestato tra le parti che la banca controricorrente, all’atto della stipula del contratto di conto corrente, con relativa apertura del deposito titoli, abbia sottoposto all’attenzione del cliente, con comunicazione controfirmata da quest’ultimo, la clausola che, in mancanza del consenso al trattamento dei dati sensibili, l’istituto di credito non avrebbe potuto dare corso alle operazioni ed ai servizi richiesti.

Proprio in virtù della circostanza che il cliente, con la predetta informativa, era stato pienamente reso edotto delle conseguenze previste dalla banca in caso di rifiuto a rilasciare il consenso al trattamento dei dati sensibili (e nonostante ciò, il cliente avesse comunque sottoscritto il contratto), entrambi i giudici di merito hanno ritenuto che l’istituto di credito non sia incorso in nessun inadempimento contrattuale, nè nella violazione della legge sulla privacy, avendo la banca stabilito una tale regolamentazione nell’esercizio della propria autonomia contrattuale e gestionale, non soggetta a particolari limitazioni di legge, ai fini di una completa e migliore gestione dei rapporti con la clientela.

Questo Collegio non condivide l’impostazione giuridica della sentenza impugnata.

Va, in primo luogo, osservato che la clausola con cui la banca ha subordinato l’esecuzione delle proprie operazioni al rilascio del consenso al trattamento dei dati sensibili contrasta indubitabilmente con i principi informatori della legge sulla privacy, la quale ha natura di norma imperativa, contenendo tale normativa precetti che non possono essere derogati dall’autonomia privata in quanto posti a tutela di interessi generali, di valori morali e sociali pregnanti nel nostro ordinamento, finalizzati al rispetto dei diritti e delle libertà fondamentali, quali la dignità, la riservatezza, l’identità personale, la protezione dei dati personali.

Tra i principi che regolano la tutela della c.d. privacy rientra a pieno titolo quello di minimizzazione nell’uso dei dati personali, dovendo essere utilizzati solo i dati indispensabili, pertinenti e limitati a quanto necessario per il perseguimento delle finalità per cui sono raccolti e trattati.

In particolare, tale principio è ben espresso dal D.Lgs. n. 196 del 2003, art. 3, recante il titolo “principio di necessità nel trattamento dei dati”, dall’art. 11, lett. d) legge cit., che richiede la pertinenza, la completezza e non eccedenza dei dati rispetto alle finalità per cui sono raccolti e trattati ed è stato recentemente riaffermato con l’entrata in vigore dell’art. 5, lett. c) del regolamento Europeo sulla protezione dei dati personali 2016/679.

Il principio in esame deve essere, a maggior ragione, rispettato anche nel trattamento dei dati sensibili, intendendo per tali, a norma del D.Lgs. n. 196 del 2003, art. 4, comma 1, lett. d), quei dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonchè i dati personali idonei a rivelare lo stato di salute e la vita sessuale.

Nel caso di specie, la banca ha apoditticamente giustificato la necessità di un consenso obbligatorio del cliente al rilascio dell’autorizzazione al trattamento dei dati sensibili con la propria “policy” aziendale, ai fini di una imprecisata completa e migliore gestione dei rapporti con la clientela, precisando, anche secondo la ricostruzione dei giudici di merito, di ritenere necessario acquisire i dati sensibili, non nel senso “che la banca necessiti di avere a disposizione i dati c.d. sensibili per poter operare, ma nel senso che potendo tali dati venire a conoscenza dell’istituto di Credito, in via di cautela la banca vuole ottenere il consenso al loro trattamento” (pag. 6 sentenza impugnata).

Tale affermazione non ha una giustificazione plausibile.

La stessa banca ha dato atto – e non poteva fare diversamente in considerazione della precisa nozione di dati sensibili, evincibile del D.Lgs. n. 196 del 2003, art. 4, comma 1, lett. d) – di non aver bisogno di tali dati per operare. E’ quindi evidente che il fondare, a scopo cautelativo, la richiesta obbligatoria al cliente di rilascio dell’autorizzazione al trattamento dei dati sensibili sulla eventuale (alquanto remota) possibilità che la Banca ne venga a conoscenza nel corso della sua attività assume la connotazione di un mero pretesto.

La Banca ha dunque richiesto obbligatoriamente – prospettando, diversamente, l’impossibilità di poter dar corso alle operazioni ed ai servizi richiesti – il consenso al trattamento di dati sensibili non pertinenti, non indispensabili (tali sono quelli relativi alle origine razziale, etnica del cliente, alla sua salute, alla vita sessuale, etc) eccedenti in modo evidente le finalità per cui tali dati sono trattati e raccolti. Nè potrebbe neppure giustificarsi l’illegittima richiesta di autorizzazione al trattamento dei dati sensibili con il rilievo che nella nozione di “trattamento”, a norma dell’art. 4, comma 1 legge cit., rientra qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, e quindi non solo la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione di dati, anche se non registrati in una banca di dati, ma anche la cancellazione e la distruzione dei medesimi.

In proposito, è evidente che se la Banca fosse stata realmente mossa dall’unico intento di provvedere alla mera cancellazione e distruzione dei dati sensibili di cui fosse eventualmente venuta a conoscenza per pura casualità, non sarebbe stato necessario imporre il consenso preventivo e generico al loro “trattamento” (che è comprensivo di tutte le operazioni di utilizzo sopra enunciate), potendo richiedere una tantum il consenso alla distruzione e cancellazione di tali dati, una volta eventualmente manifestatasi l’esigenza.

In conclusione, la clausola con cui la banca ha subordinato il dar corso alle operazioni richieste dal cliente al consenso al trattamento dei dati sensibili è affetta da nullità in quanto contraria a norme imperative, a norma dell’art. 1418 c.c.. Ne consegue che la condotta con cui lo stesso istituto di credito ha successivamente provveduto al “blocco” del conto corrente e del deposito titoli, proprio perchè trova il proprio titolo in una clausola nulla dalla stessa inserita, non lo esonera da responsabilità per inadempimento contrattuale.

Peraltro, la Banca, avendo sottoposto l’informativa più volte citata, all’attenzione del cliente all’atto della sottoscrizione del contratto di conto corrente bancario, di fronte al rifiuto del cliente di sottoscrivere il consenso al trattamento dei dati sensibili, avrebbe dovuto, ove avesse voluto essere coerente, rifiutarsi di instaurare il rapporto contrattuale e non invece, come effettivamente avvenuto, consentire al cliente di aprire il conto e di operare sullo stesso per un certo periodo di tempo, salvo poi “bloccarlo” per una causa di cui era già pienamente consapevole all’atto dell’apertura del conto corrente (e del conto titoli).

Deve pertanto cassarsi la sentenza impugnata con rinvio alla Corte d’Appello di Genova, in diversa composizione, per nuovo esame e per provvedere sulle spese del giudizio di legittimità.

9. I motivi dal quarto al settimo sono assorbiti.

P.Q.M.

Accoglie i primi tre motivi, assorbiti gli altri e rinvia alla Corte d’Appello di Genova, in diversa composizione, per nuovo esame e per provvedere sulle spese del giudizio di legittimità.

Così deciso in Roma, il 26 giugno 2019.

Depositato in Cancelleria il 21 ottobre 2019