Diffondere le coordinate bancarie della persona risarcita viola la normativa data protection?

Dar prova di aver adempiuto un obbligo contrattuale non può costituire un pregiudizio alla riservatezza e alla tutela dei soggetti terzi nel rispetto dei principi data protection. Inoltre provare di aver risarcito il danno, in quanto richiesto dall'assicurato, “non può in alcun modo ricomprendere anche la diffusione delle coordinate bancarie delle persone risarcite”, non essendo tale trattamento del dato né funzionale alla finalità per cui esso era stato raccolto né necessario per adempiere alla richiesta recepita.

L'appartamento di una famiglia veniva interessato da infiltrazioni d'acqua provenienti dall'appartamento di Tizio. Quest'ultimo, beneficiando di una copertura assicurativa, chiedeva l'intervento dell'assicurazione che stragiudizialmente liquidava i danneggiati.

A richiesta dell'assicurato, l'assicurazione gli trasmetteva una stampa del sistema informativo interno della compagnia nonché un atto di liquidazione, questo indicante in calce le coordinate bancarie dei risarciti, coordinate acquisite dal proprio perito nel corso della procedura aperta per la copertura del sinistro. Tali documenti in seguito venivano da questi presentati alla successiva riunione dei condomini e allegati al verbale assembleare.

La famiglia in questione si doleva quindi che un dato personale fosse divenuto di dominio pubblico senza alcuna valida ragione e motivazione. Vista disattesa la propria doglianza dal Tribunale adito, veniva proposto ricorso per Cassazione.

Al fine di provare di aver adempiuto ad un obbligo contrattuale occorre rispettare la riservatezza e alla tutela dei soggetti terzi? L'Iban rientra tra i dati personali alla luce della normativa data protection?

La Suprema Corte con Ordinanza n. 4475/2021 ha enunciato che dar prova di aver risarcito il danno, poiché richiesto dall'assicurato, “non può in alcun modo ricomprendere anche la diffusione delle coordinate bancarie delle persone risarcite”, non essendo tale trattamento del dato né funzionale alla finalità per cui esso era stato raccolto né necessario per adempiere alla richiesta recepita.

Con il Provvedimento analizzato i Giudici hanno dato quindi ragione ai ricorrenti sulla base del suddetto elemento fattuale.

Nella vicenda analizzata, il dato personale illecitamente comunicato, è costituito dalle coordinate bancarie del danneggiato le quali costituiscono un dato personale, ovvero si tratta di informazioni «relative a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale». Il codice Iban è soggetto alla legge sul trattamento dei dati personali come precisato, tra gli altri, dal Provvedimento dell'Autorità Garante, n. 231 del 21 aprile 2018, ovvero dal Tribunale di Ragusa con la Sent. del 31 gennaio 2019).

La Suprema Corte con il Provvedimento analizzato torna a ribadire che dar prova di aver adempiuto un obbligo contrattuale non può costituire un pregiudizio alla riservatezza e alla tutela dei soggetti terzinel rispetto dei cd. principi di proporzionalità, pertinenza e non eccedenza. A nulla vale, in questo ambito, sostenere che trattandosi di esecuzione di obblighi contrattuali non si necessiti del consenso per tale trattamento. Sul punto, il provvedimento evidenzia che “il contratto di assicurazione del cui adempimento si tratta non aveva come suoi contraenti gli odierni ricorrenti”, essendo al più applicabile al proprio assicurato. Il danneggiato era soggetto terzo rispetto al contratto assicurativo. Per questo, la Corte dapprima si rifà al principio di correttezza quale generale principio di solidarietà sociale, in base al quale, anche nell'ambito della responsabilità extracontrattuale, si è tenuti a mantenere un comportamento leale che, evidentemente, nel caso di specie è venuto a mancare. Più puntualmente, raccolti i dati dall'interessato (in questo caso le coordinate bancarie del danneggiato), comunicarli al proprio cliente per dimostrare di aver risarcito il danno viola i principi di correttezza e minimizzazione, specificamente pertinenza e limitazione del trattamento alle finalità della raccolta di tali dati. Al contrario, “sarebbe stato sufficiente inviare alla famiglia una comunicazione in cui si dava atto dell'intervenuto ristoro dei danni, come solitamente d'uso nelle compagnie, e/o, al più, consegnargli la quietanza dopo averne debitamente oscurato le informazioni sui dati personali non divulgabili ai sensi della normativa sulla privacy”.

Nel caso analizzato essendo stato rivelato il codice Iban a terzi, senza che la ragione era attinente allo scopo per cui aveva ricevuto tale informazione, Tizio ha commesso una violazione della privacy. Ai sensi della normativa data protection chi cagiona un danno per effetto dell'illegittimo trattamento dei dati personali altrui è tenuto al risarcimento del danno, anche non patrimoniale.

Secondo la Corte di Cassazione, essendo la privacy tutelata dalla Costituzione, il danno risarcibile è anche quello morale, derivante dal «fastidio, preoccupazione, disagio». Al riguardo non è sufficiente affermare l'esistenza del danno, bensì occorre anche dimostrarla e, soprattutto, quantificarla; in tal senso la Suprema Corte ha rinviato al giudice di merito l'accertamento di tali presupposti.

Il codice Iban è protetto dalla normativa in tema di protezione dei dati personali per cui trattandosi di un dato personale, come il nome, il cognome o il numero di telefono occorre che lo stesso segua le norme in tema di protezione dei dati personali. Secondo i principi del Regolamento europeo in tema di protezione dei dati personali (n. 679/2016) e del Codice Privacy d.lgs 196/2003 da ultimo novellato, il codice Iban, in quanto dato personale, deve essere trattato in modo lecito e secondo correttezza; può essere conservato solo per scopi determinati, espliciti e legittimi; può essere utilizzato per scopi non eccedenti rispetto alle finalità per cui è stato raccolto e trattato; deve essere conservato per un periodo di tempo non superiore rispetto a quello necessario agli scopi per i quali esso è stato raccolto e trattato.

In tema di risarcimento del danno, secondo la Corte di Cassazione, essendo la privacy tutelata dalla Costituzione, il danno risarcibile è anche quello morale, derivante dal «fastidio, preoccupazione, disagio» subiti. Al riguardo non è sufficiente affermare l'esistenza del danno, bensì occorre anche dimostrarlo e, soprattutto, quantificarlo; in tal senso la Suprema Corte ha rinviato al giudice di merito l'accertamento di tali presupposti. È verosimile pertanto che la difficoltà maggiore per chi chiede il risarcimento per la diffusione del proprio codice Iban sarà dimostrare i danni effettivamente patiti nonchè l'ammontare degli stessi.