Diritto e Fisco | Articoli

Il consenso al trattamento dati va firmato per forza?

27 Ottobre 2019
Il consenso al trattamento dati va firmato per forza?

Privacy: che succede se, in un contratto, non si firma il consenso al trattamento dei dati personali?

Quante firme ti ha chiesto il tuo assicuratore prima di consegnarti la polizza? E quante la banca a cui ti sei rivolto per chiedere l’apertura di un conto corrente? Buona parte di queste sottoscrizioni servono per il consenso al trattamento dei dati personali: un obbligo imposto dalla legge sulla privacy, ma su cui spesso si sorvola proprio per l’eccessiva inflazione di carte, postille, caselle da sbarrare e sigle da apporre. 

Preso dalla foga di concludere l’affare, difficilmente ti sarai chiesto cosa succede se non firmi il consenso al trattamento dei dati. Ma sappi che è un tuo diritto. Un diritto che puoi esercitare anche in un successivo momento, revocando l’autorizzazione già data in precedenza (ti sfido, però, a ricordare tutte le società a cui hai ceduto i tuoi dati). 

Qualcuno una volta ha chiesto alla Cassazione: il consenso al trattamento dei dati va firmato per forza? Questo “qualcuno” aveva appena siglato un contratto con il proprio istituto di credito per l’apertura di un conto corrente. Volendo fare il “duro”, strenue difensore della privacy, si è visto però precludere la possibilità di usare il conto. Secondo la banca, l’omessa autorizzazione preclude l’operatività del contratto. Così l’uomo si è rivolto ai giudici. 

La sentenza della Corte è lo spunto per comprendere se il consenso al trattamento dei dati personali va dato obbligatoriamente o se, al contrario, si può evitare di firmare l’apposito spazio (o di “flaggare la casella” per chi sta operando su internet).

Cerchiamo di fare il punto della situazione.

A che serve il trattamento dei dati personali? 

Il più delle volte, il professionista (così è chiamata la società che si interfaccia col consumatore e gli vende beni o eroga servizi) usa i dati personali del proprio cliente per archiviarli nei propri registri e per meglio eseguire la propria prestazione. Si pensi a un ordine di acquisto per merce da consegnare a casa ove è necessario conoscere l’indirizzo di residenza, il numero di telefono e il nominativo del cliente. 

Anche la banca, quando eroga un mutuo, ha bisogno dell’Iban del correntista, le prove del suo reddito (magari le buste paga o il 730), della liberatoria alla cessione dei dati alle società di recupero crediti eventualmente incaricate per ricordare le scadenze ai morosi. 

Se non dai l’autorizzazione ad Amazon a trattare i dati relativi all’indirizzo di casa, come mai potrà spedirti l’ordine che hai fatto online e quali informazioni potrà dare al corriere? Come potrà, la ditta che fa manutenzione alla tua caldaia, mandarti il tecnico a casa se non sa dove vivi e che tipo di impianto hai? Certo, c’è sempre la memoria e, in quel caso, non c’è bisogno di autorizzazione “all’archiviazione”, ma chi pensa in questo modo è evidente che è scollato dal contesto. 

Spesso e volentieri, però, i dati vengono immagazzinati anche per inviare offerte pubblicitarie, email ed sms promozionali, ecc. Ecco che allora ti sarai chiesto: a cosa serve il numero del mio cellulare al franchising che mi ha venduto un divano se la prestazione si è ormai consumata? Perché il negozio di cosmesi, per rilasciarmi una carta fedeltà, ha preso tutti i miei dati? È chiaro: la “targhettizzazione” della clientela – o, per dirla con un termine moderno, la profilazione – è l’anima del commercio perché figlio della pubblicità. 

In questo, però, il Garante della privacy è stato molto chiaro: tutte le volte in cui i dati del cliente vengono usati, oltre che per eseguire la prestazione contrattuale, anche per fini di marketing, è necessario che il consenso al trattamento dei dati sia raccolto due volte. Due firme, quindi, due clausolette, due caselle da sbarrare, due click del mouse e chi più ne ha, più ne metta. 

Insomma, se è vero che il consenso dei dati è a volte imprescindibile per l’esecuzione della prestazione richiesta, in quasi tutti i casi serve anche per farsi aggredire dallo spam.

È obbligatorio fornire il consenso ai dati personali?

Di qui, ti sarai chiesto: che succede se non do il consenso ai dati? Quando è necessario per la prestazione, il professionista potrà rifiutarsi di eseguire il contratto. Né ci potrai fare nulla. Se, però, il consenso viene raccolto solo per finalità di marketing, non ti potrà essere opposto alcun diniego. Ed è questo il chiarimento offerto dalla Cassazione: la banca – perché di tanto si parlava nella causa in questione – non può bloccare il conto se il correntista vieta l’uso del trattamento dei dati personali. La clausola che prevede il consenso obbligatorio è nulla per contrarietà a norme imperative se l’istituto non ha necessità di quelle informazioni per operare.

Se, quindi, la società ti racconta la favola secondo cui ha bisogno di acquisire i tuoi dati per poter meglio gestire i rapporti con la clientela, non cascarci sempre: la legge sulla privacy, infatti, non obbliga l’altro contraente a rilasciare il consenso senza che ciò corrisponda ad alcun bisogno da parte del professionista.

La Suprema Corte, nell’accogliere il ricorso, ha rilevato che la clausola con cui la banca ha subordinato l’esecuzione delle proprie operazioni al rilascio del consenso al trattamento dei dati sensibili contrasta indubbiamente con i principi informatori della legge sulla privacy. Difatti, tra i principi che regolano la tutela della privacy rientra a pieno titolo quello di minimizzazione nell’uso dei dati personali, dovendo essere utilizzati solo i dati indispensabili, pertinenti e limitati a quanto necessario per il perseguimento delle finalità per cui sono raccolti e trattati. Tale principio vale, a maggior ragione, nel caso in cui si discuta di (e venga chiesta l’autorizzazione al trattamento di) dati sensibili, cioè quei dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni o organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.

Nel caso in esame, invece, la banca aveva richiesto obbligatoriamente il consenso al trattamento di dati sensibili non pertinenti e non indispensabili allo svolgimento del rapporto. Ne consegue, ha concluso la Cassazione, che la clausola con cui l’istituto di credito subordina l’operatività del conto corrente al consenso al trattamento dei dati è da considerarsi nulla e il blocco del predetto conto corrente genera una responsabilità della banca per inadempimento contrattuale.

Che succede se in un contratto non firmo il trattamento dei dati personali? 

Arriviamo alla conclusione. Premesso che è tuo diritto non firmare il consenso al trattamento dei dati, così com’è diritto dell’altro soggetto non firmare con te il contratto, c’è però da dire che se tali dati non sono indispensabili allo svolgimento della prestazione richiesta la controparte non può rifiutarsi di opporre il diniego. 

Insomma, laddove i dati personali sono necessari per l’esecuzione della prestazione, il contratto non può avere efficacia; se, invece, i dati non sono rilevanti, è diritto avere la prestazione. 


note

[1] Cass. ord. n. 26778/19 del 21.10.2019.

Corte di Cassazione, sez. I Civile, ordinanza 26 giugno – 21 ottobre 2019, n. 26778

Presidente Sambito – Relatore Fidanzia

Fatti di causa

Con sentenza depositata il 18 ottobre 2014 la Corte d’Appello di Genova ha confermato la sentenza di primo grado con cui il Tribunale di Chiavari ha rigettato tutte le domande proposte da E.L. finalizzate a far accertare in capo alla Deutsche Bank s.p.a. la responsabilità contrattuale e/o extra contrattuale e/o violazione di legge, con conseguente condanna al risarcimento dei danni patrimoniali e non patrimoniali, per aver “bloccato” l’operatività del conto corrente bancario e del deposito titoli, nella titolarità del cliente, dai primi giorni di marzo 2008 come conseguenza del fatto che quest’ultimo non aveva inteso autorizzare l’istituto di credito al trattamento dei suoi dati sensibili.

La Corte d’Appello di Genova ha condiviso l’impostazione giuridica del giudice di primo grado secondo cui la banca, quale titolare del trattamento dei dati, nell’ambito della propria autonomia gestionale e contrattuale, non soggetta a particolari limitazioni di legge, avesse legittimamente ritenuto necessario, per una completa e migliore gestione dei rapporti con la clientela, acquisire anche i dati sensibili. Nè l’istituto di credito era incorso in violazioni della legge sulla privacy o in inadempimenti contrattuali, avendo espressamente comunicato al sig. E. , a norma del D.Lgs. n. 196 del 2003, art. 13, all’atto della sottoscrizione del contratto, che in caso di mancata autorizzazione al trattamento dei dati sensibili, la banca non avrebbe potuto dar corso alle operazioni richieste dal correntista, e, nonostante ciò, tali condizioni contrattuali furono liberamente sottoscritte dal cliente.

Avverso questa sentenza ha proposto ricorso per cassazione E.L. , affidandolo a sette motivi.

La Deutsche Bank si è costituita in giudizio con controricorso eccependo la genericità del ricorso e l’inammissibilità dello stesso ex art. 360 bis c.p.c..

Entrambe le parti hanno depositato le memorie ex art. 180 bis.1 c.p.c..

Ragioni della decisione

1. Prima di illustrare i motivi del ricorso del sig. E. vanno disattese le eccezioni di inammissibilità del ricorso sollevate dalla controricorrente.

In primo luogo, il ricorrente non propone affatto una diversa lettura delle risultanze processuali concentrando le proprie censure soprattutto sulle violazioni di legge (art. 1322 c.c. e legge sulla privacy). Peraltro, tale eccezione è palesemente generica, non facendo alcun riferimento alla vicenda concreta per cui è procedimento.

Palesemente inconferente è, inoltre, il richiamo all’art. 360 bis c.p.c., non avendo i giudici di merito affatto esaminato questioni di diritto su cui la giurisprudenza ha deciso in modo conforme.

2. Con il primo motivo E.L. ha dedotto la violazione e la falsa applicazione dell’art. 360 c.p.c., comma 1, n. 3. in relazione all’art. 1322 c.c. e art. 41 Cost.. Lamenta il ricorrente che l’autonomia contrattuale non può essere esercitata senza limiti, quale quello previsto dal D.Lgs. n. 196 del 2003, art. 23, secondo cui il consenso al trattamento dei dati personali è validamente prestato solo se espresso liberamente. Obbligare il cliente a rilasciare il consenso al trattamento dei dati sensibili con la prospettazione di bloccare, in caso contrario, il conto corrente o il deposito titoli, rientra nelle forme di pressione non consentite dall’autonomia contrattuale, incidendo sul libero discernimento, e ciò in contrasto anche con svariate norme della Costituzione, tra cui gli artt. 2, 41 e 47.

3. Con il secondo motivo è stata dedotta la violazione e la falsa applicazione del D.Lgs. n. 196 del 2003, art. 13, art. 23, comma 3 e art. 24.

Ribadisce il ricorrente che non è conforme alla legge sulla privacy obbligare l’altro contraente a rilasciare il consenso ai dati sensibili, senza che ciò corrisponda ad alcun bisogno, prospettando, diversamente, la mancata esecuzione delle operazioni bancarie.

Le linee guida in tema di trattamento di dati personali della clientela in ambito bancario emanate dal Garante della Privacy ribadiscono i principi di pertinenza e di non eccedenza espressi dal D.Lgs. n. 196 del 2003, art. 11, comma 1, lett. d).

4. Con il terzo motivo è stata dedotta la falsa applicazione della clausola 8.1. del contratto.

Lamenta il ricorrente che il capitolo 5, clausola 8.1. del contratto uniforme indicava come necessario solo il consenso relativo ai dati personali.

5. Con il quarto motivo è stata dedotta la nullità della sentenza e del procedimento per violazione del principio del contraddittorio, di cui all’art. 101 c.p.c., comma 2 e artt. 24 e 111 Cost..

Lamenta il ricorrente che il giudice d’appello ha posto a fondamento della propria decisione tre eccezioni rilevate d’ufficio, quali quelle relative al principio di specificità dei motivi, all’erronea applicazione dell’art. 115 c.p.c. e alla doglianza sulla liquidazione delle spese del giudizio di primo grado.

6. Con il quinto motivo è stata dedotta la violazione del principio di specificità, secondo la formulazione dell’art. 342 comma 1 c.p.c. previgente.

Lamenta il ricorrente di aver dedotto dettagliatamente ed analiticamente tutte le ragioni della erroneità della sentenza di primo grado, osservando che, in ogni caso, l’art. 342 c.p.c., comma 1 previgente non richiedeva una rigorosa e formalistica enunciazione delle ragioni invocate a sostegno dell’appello.

7. Con il sesto motivo è stata dedotta violazione di legge in relazione all’art. 113 c.p.c., artt. 24, 54, 101 e 111 Cost..

Lamenta il ricorrente di non aver mai sostenuto la subordinazione delle fonti normative a quelle contrattuali.

8. Con il settimo motivo è stata censurata la statuizione della sentenza d’appello d’appello nella parte in cui ha dichiarato inammissibile per difetto di specificità la doglianza sulla liquidazione delle spese.

Lamenta il ricorrente che il giudice di primo grado aveva disposto una condanna omnicomprensiva senza la possibilità di controllare analiticamente la correttezza della liquidazione con le tabelle in vigore al tempo.

9. I primi tre motivi, da esaminare unitariamente in relazione alla stretta connessione delle questioni trattate, sono fondati.

Va osservato che non è contestato tra le parti che la banca controricorrente, all’atto della stipula del contratto di conto corrente, con relativa apertura del deposito titoli, abbia sottoposto all’attenzione del cliente, con comunicazione controfirmata da quest’ultimo, la clausola che, in mancanza del consenso al trattamento dei dati sensibili, l’istituto di credito non avrebbe potuto dare corso alle operazioni ed ai servizi richiesti.

Proprio in virtù della circostanza che il cliente, con la predetta informativa, era stato pienamente reso edotto delle conseguenze previste dalla banca in caso di rifiuto a rilasciare il consenso al trattamento dei dati sensibili (e nonostante ciò, il cliente avesse comunque sottoscritto il contratto), entrambi i giudici di merito hanno ritenuto che l’istituto di credito non sia incorso in nessun inadempimento contrattuale, nè nella violazione della legge sulla privacy, avendo la banca stabilito una tale regolamentazione nell’esercizio della propria autonomia contrattuale e gestionale, non soggetta a particolari limitazioni di legge, ai fini di una completa e migliore gestione dei rapporti con la clientela.

Questo Collegio non condivide l’impostazione giuridica della sentenza impugnata.

Va, in primo luogo, osservato che la clausola con cui la banca ha subordinato l’esecuzione delle proprie operazioni al rilascio del consenso al trattamento dei dati sensibili contrasta indubitabilmente con i principi informatori della legge sulla privacy, la quale ha natura di norma imperativa, contenendo tale normativa precetti che non possono essere derogati dall’autonomia privata in quanto posti a tutela di interessi generali, di valori morali e sociali pregnanti nel nostro ordinamento, finalizzati al rispetto dei diritti e delle libertà fondamentali, quali la dignità, la riservatezza, l’identità personale, la protezione dei dati personali.

Tra i principi che regolano la tutela della c.d. privacy rientra a pieno titolo quello di minimizzazione nell’uso dei dati personali, dovendo essere utilizzati solo i dati indispensabili, pertinenti e limitati a quanto necessario per il perseguimento delle finalità per cui sono raccolti e trattati.

In particolare, tale principio è ben espresso dal D.Lgs. n. 196 del 2003, art. 3, recante il titolo “principio di necessità nel trattamento dei dati”, dall’art. 11, lett. d) legge cit., che richiede la pertinenza, la completezza e non eccedenza dei dati rispetto alle finalità per cui sono raccolti e trattati ed è stato recentemente riaffermato con l’entrata in vigore dell’art. 5, lett. c) del regolamento Europeo sulla protezione dei dati personali 2016/679.

Il principio in esame deve essere, a maggior ragione, rispettato anche nel trattamento dei dati sensibili, intendendo per tali, a norma del D.Lgs. n. 196 del 2003, art. 4, comma 1, lett. d), quei dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.

Nel caso di specie, la banca ha apoditticamente giustificato la necessità di un consenso obbligatorio del cliente al rilascio dell’autorizzazione al trattamento dei dati sensibili con la propria “policy” aziendale, ai fini di una imprecisata completa e migliore gestione dei rapporti con la clientela, precisando, anche secondo la ricostruzione dei giudici di merito, di ritenere necessario acquisire i dati sensibili, non nel senso “che la banca necessiti di avere a disposizione i dati c.d. sensibili per poter operare, ma nel senso che potendo tali dati venire a conoscenza dell’istituto di Credito, in via di cautela la banca vuole ottenere il consenso al loro trattamento” (pag. 6 sentenza impugnata).

Tale affermazione non ha una giustificazione plausibile.

La stessa banca ha dato atto – e non poteva fare diversamente in considerazione della precisa nozione di dati sensibili, evincibile del D.Lgs. n. 196 del 2003, art. 4, comma 1, lett. d) – di non aver bisogno di tali dati per operare. È quindi evidente che il fondare, a scopo cautelativo, la richiesta obbligatoria al cliente di rilascio dell’autorizzazione al trattamento dei dati sensibili sulla eventuale (alquanto remota) possibilità che la Banca ne venga a conoscenza nel corso della sua attività assume la connotazione di un mero pretesto.

La Banca ha dunque richiesto obbligatoriamente – prospettando, diversamente, l’impossibilità di poter dar corso alle operazioni ed ai servizi richiesti – il consenso al trattamento di dati sensibili non pertinenti, non indispensabili (tali sono quelli relativi alle origine razziale, etnica del cliente, alla sua salute, alla vita sessuale, etc) eccedenti in modo evidente le finalità per cui tali dati sono trattati e raccolti. Nè potrebbe neppure giustificarsi l’illegittima richiesta di autorizzazione al trattamento dei dati sensibili con il rilievo che nella nozione di “trattamento”, a norma dell’art. 4, comma 1 legge cit., rientra qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, e quindi non solo la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione di dati, anche se non registrati in una banca di dati, ma anche la cancellazione e la distruzione dei medesimi.

In proposito, è evidente che se la Banca fosse stata realmente mossa dall’unico intento di provvedere alla mera cancellazione e distruzione dei dati sensibili di cui fosse eventualmente venuta a conoscenza per pura casualità, non sarebbe stato necessario imporre il consenso preventivo e generico al loro “trattamento” (che è comprensivo di tutte le operazioni di utilizzo sopra enunciate), potendo richiedere una tantum il consenso alla distruzione e cancellazione di tali dati, una volta eventualmente manifestatasi l’esigenza.

In conclusione, la clausola con cui la banca ha subordinato il dar corso alle operazioni richieste dal cliente al consenso al trattamento dei dati sensibili è affetta da nullità in quanto contraria a norme imperative, a norma dell’art. 1418 c.c.. Ne consegue che la condotta con cui lo stesso istituto di credito ha successivamente provveduto al “blocco” del conto corrente e del deposito titoli, proprio perché trova il proprio titolo in una clausola nulla dalla stessa inserita, non lo esonera da responsabilità per inadempimento contrattuale.

Peraltro, la Banca, avendo sottoposto l’informativa più volte citata, all’attenzione del cliente all’atto della sottoscrizione del contratto di conto corrente bancario, di fronte al rifiuto del cliente di sottoscrivere il consenso al trattamento dei dati sensibili, avrebbe dovuto, ove avesse voluto essere coerente, rifiutarsi di instaurare il rapporto contrattuale e non invece, come effettivamente avvenuto, consentire al cliente di aprire il conto e di operare sullo stesso per un certo periodo di tempo, salvo poi “bloccarlo” per una causa di cui era già pienamente consapevole all’atto dell’apertura del conto corrente (e del conto titoli).

Deve pertanto cassarsi la sentenza impugnata con rinvio alla Corte d’Appello di Genova, in diversa composizione, per nuovo esame e per provvedere sulle spese del giudizio di legittimità.

9. I motivi dal quarto al settimo sono assorbiti.

P.Q.M.

Accoglie i primi tre motivi, assorbiti gli altri e rinvia alla Corte d’Appello di Genova, in diversa composizione, per nuovo esame e per provvedere sulle spese del giudizio di legittimità.

 


Sostieni LaLeggepertutti.it

La pandemia ha colpito duramente anche il settore giornalistico. La pubblicità, di cui si nutre l’informazione online, è in forte calo, con perdite di oltre il 70%. Ma, a differenza degli altri comparti, i giornali online non hanno ricevuto alcun sostegno da parte dello Stato. Per salvare l'informazione libera e gratuita, ti chiediamo un sostegno, una piccola donazione che ci consenta di mantenere in vita il nostro giornale. Questo ci permetterà di esistere anche dopo la pandemia, per offrirti un servizio sempre aggiornato e professionale. Diventa sostenitore clicca qui

3 Commenti

  1. Buongiorno.
    Sottolineo come molto di quanto sia scritto nel presente articolo sia ormai obsoleto e non vorrei che una visione distorta della situazione attuale fosse data al lettore.
    La pronuncia si basa sul vecchio codice privacy: D.Lgs. n. 196 del 2003, infatti secondo il principio di irretroattività, essendo i fatti precedenti l’entrata in vigore del Regolamento Europeo 2016/679 (cd. GDPR), quest’ultimo non si è applicato al caso di specie.
    Ora la situazione è diversa: il consenso non è richiesto per i trattamenti di dati personali necessari “all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso” (Articolo 6 par. 1 punto b del GDPR), quindi le affermazioni inerenti la necessità di fornire il consenso per il trattamento finalizzato a esecuzioni contrattuali e la possibilità da parte del professionista di rifiutare la prestazione senza il consenso sono totalmente fuorvianti.
    Il consenso è solo uno degli elementi di liceità del trattamento. Fondamentale importanza, in merito, riveste l’informativa ex articoli 13 e 14 del GDPR della quale, purtroppo, nell’articolo non è stato fatto neanche il minimo accenno.

  2. Sono andato a visionare un appartamento in vendita con una agenzia immobiliare, al termine mi sono stati chiesti i dati anagrafici e sottoposto a firmare l’informativa privacy redatta in caratteri minuscoli e molto corposa, a questo punto non essendo in grado di comprendere appieno il documento mi sono rifiutato di firmarlo, domande: ero obbligato? Poteva contenere clausole sanzionatorie in caso di rifiuto a firmare?

    1. Il foglio di visita immobiliare serve all’agente immobiliare per dimostrare che l’eventuale acquirente, che svolge il sopralluogo, ha visto quell’immobile per la prima volta grazie all’attività del mediatore. Talvolta, alcuni mediatori potrebbero richiedere la firma del foglio visita immobiliare, con l’indicazione dell’aliquota della provvigione, spacciando quella dichiarazione come informativa privacy. Informativa che il professionista dovrà far firmare al potenziale acquirente durante la visita per l’autorizzazione al trattamento dei dati personali, ma si tratta di un documento ben diverso.

Rispondi a Roberto Tuninetti - DPO & Privacy Consultant Annulla risposta

Usa il form per discutere sul tema (max 1000 caratteri). Per richiedere una consulenza vai all’apposito modulo.

 


NEWSLETTER

Iscriviti per rimanere sempre informato e aggiornato.

CERCA CODICI ANNOTATI

CERCA SENTENZA

Canale video Questa è La Legge

Segui il nostro direttore su Youtube