“Va, in primo luogo, osservato che la clausola con cui la banca ha subordinato l’esecuzione delle proprie operazioni al rilascio del consenso al trattamento dei dati sensibili contrasta indubitabilmente con i principi informatori della legge sulla privacy, la quale ha natura di norma imperativa, contenendo tale normativa precetti che non possono essere derogati dall’autonomia privata in quanto posti a tutela di interessi generali, di valori morali e sociali pregnanti nel nostro ordinamento, finalizzati al rispetto dei diritti e delle libertà fondamentali, quali la dignità, la riservatezza, l’identità personale, la protezione dei dati personali.
Tra i principi che regolano la tutela della c.d. privacy rientra a pieno titolo quello di minimizzazione nell’uso dei dati personali, dovendo essere utilizzati solo i dati indispensabili, pertinenti e limitati a quanto necessario per il perseguimento delle finalità per cui sono raccolti e trattati.
In particolare, tale principio è ben espresso dall’art. 3 del d.lgs n. 196/2003, recante il titolo “principio di necessità nel trattamento dei dati”, dall’art. 11 lett. d) legge cit. , che richiede la pertinenza, la completezza e non eccedenza dei dati rispetto alle finalità per cui sono raccolti e trattati ed è stato recentemente riaffermato con l’entrata in vigore dell’art. 5 lett. c) del regolamento europeo sulla protezione dei dati personali 2016/679.
Il principio in esame deve essere, a maggior ragione, rispettato anche nel trattamento dei dati sensibili, intendendo per tali, a norma dell’art. 4 comma 10lett. d) d.lgs n. 196/2003, quei dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.
Nel caso di specie, la banca ha apoditticamente giustificato la necessità di un consenso obbligatorio del cliente al rilascio dell’autorizzazione al trattamento dei dati sensibili con la propria “policy” aziendale, ai fini di una imprecisata completa e migliore gestione dei rapporti con la clientela, precisando, anche secondo la ricostruzione dei giudici di merito, di ritenere necessario acquisire i dati sensibili, non nel senso “che la banca necessiti di avere a disposizione i dati c.d. sensibili per poter operare, ma nel senso che potendo tali dati venire a conoscenza dell’istituto di Credito, in via di cautela la banca vuole ottenere il consenso al loro trattamento”
Tale affermazione non ha una giustificazione plausibile.
La stessa banca ha dato atto – e non poteva fare diversamente in considerazione della precisa nozione di dati sensibili, evincibile dell’art. 4 comma 1° lett. d) d.lgs n. 196/2003 – di non aver bisogno di tali dati per operare. E’ quindi evidente che il fondare, a scopo cautelativo, la richiesta obbligatoria al cliente di rilascio dell’autorizzazione al trattamento dei dati sensibili sulla eventuale (alquanto remota) possibilità che la Banca ne venga a conoscenza nel corso della sua attività assume la connotazione di un mero pretesto.
La Banca ha dunque richiesto obbligatoriamente – prospettando, diversamente, l’impossibilità di poter dar corso alle operazioni ed ai servizi richiesti – il consenso al trattamento di dati sensibili non pertinenti, non indispensabili (tali sono quelli relativi alle origine razziale, etnica del cliente, alla sua salute, alla vita sessuale, etc) eccedenti in modo evidente le finalità per cui tali dati sono trattati e raccolti.
Né potrebbe neppure giustificarsi l’illegittima richiesta di autorizzazione al trattamento dei dati sensibili con il rilievo che nella nozione di “trattamento”, a norma dell’art. 4 comma 1° legge cit., rientra qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, e quindi non solo la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione di dati, anche se non registrati in una banca di dati, ma anche la cancellazione e la distruzione dei medesimi.
In proposito, è evidente che se la Banca fosse stata realmente mossa dall’ unico intento di provvedere alla mera cancellazione e distruzione dei dati sensibili di cui fosse eventualmente venuta a conoscenza per pura casualità, non sarebbe stato necessario imporre il consenso preventivo e generico al loro “trattamento” (che è comprensivo di tutte le operazioni di utilizzo sopra enunciate), potendo richiedere una tantum il consenso alla distruzione e cancellazione di tali dati, una volta eventualmente manifestatasi l’esigenza.
In conclusione, la clausola con cui la banca ha subordinato il dar corso alle operazioni richieste dal cliente al consenso al trattamento dei dati sensibili è affetta da nullità in quanto contraria a norme imperative, a norma dell’art. 1418 cod. civ.. Ne consegue che la condotta con cui lo stesso istituto di credito ha successivamente provveduto al “blocco” del conto corrente e del deposito titoli, proprio perché trova il proprio titolo in una clausola nulla dalla stessa inserita, non lo esonera da responsabilità per inadempimento contrattuale.“
Cassazione civile sez. I, 21/10/2019, n. 26778