venerdì, Marzo 29, 2024
Uncategorized

Cassazione, è violazione della privacy la divulgazione dell’iban altrui

Dal 1° luglio 2008 è obbligatorio l’utilizzo di uno standard internazionale riconosciuto e necessario per concludere tutte le operazioni bancarie e online di trasferimento di denaro, non solo verso un Paese estero (area SEPA), ma anche in seno ai confini nazionali: è l’IBAN, acronimo di International Bank Account Number. Si tratta di un codice alfanumerico il cui precipuo fine è quello di identificare in modo univoco e assoluto un conto corrente ed il relativo intestatario. In Italia, è costituito da 27 caratteri ed è così composto: due lettere iniziali che indicano la provenienza del conto (ad esempio, la sigla IT per Italia, DE per Germania, FR per Francia); due cifre di controllo, le cosiddette check number ed un carattere di controllo costituito da una lettera, il Cin (Control Internal Number); l’Abi (Associazione Bancaria Italiana), costituito da cinque numeri che identifica l’istituto bancario ove risiede il conto; il Cab (Codice di Avviamento Bancario), ossia altri cinque numeri che permettono di identificare la filiale demandata della gestione del deposito bancario; infine, il numero di conto corrente che è composto di dodici cifre [1].

È d’uopo precisare che la conoscenza da parte di terzi del codice iban altrui generalmente non implica rischi di alcuna natura, non essendo possibile effettuare prelievi non autorizzati dei fondi presenti sul conto corrente né tantomeno perpetrare azioni fraudolente ai danni dei correntisti. Ma, al contempo, non va sottaciuto che lo stesso è protetto dalle norme sulla privacy. Difatti, si tratta di un dato personale alla stregua del nome, del cognome, del numero di telefono, della email et cetera e come tale, pertanto, non può essere divulgato senza il consenso del suo titolare.

A tale conclusione è giunta, di recente, la Suprema Corte di Cassazione la quale, con l’ordinanza del 19 febbraio 2021, n. 4475 [2], si è pronunciata in materia di protezione dei dati personali statuendo l’illegittimità della condotta di una compagnia assicuratrice che aveva trasmesso al proprio assicurato anche le coordinate bancarie del soggetto risarcito. La vicenda trae origine dalla domanda con la quale i signori M.F. ed C.A. convenivano in giudizio dinanzi al Tribunale di Roma una compagnia assicuratrice chiedendone la condanna al risarcimento dei danni subiti in seguito alla illegittima diffusione dei loro dati bancari. A fondamento di quanto domandato, esponevano che la medesima compagnia nel violare il d.lgs. n. 196/2003 (noto come “codice della privacy”) [3], aveva reso di dominio pubblico un loro dato personale senza alcuna valida ragione e motivazione; in particolare, aveva fornito al proprio assicurato una stampa del sistema informativo interno della medesima compagnia in uno all’atto di liquidazione ove figuravano anche le coordinate iban degli stessi attori. A questi ultimi, da tale illegittima diffusione ne sarebbe derivato “fastidio, preoccupazione, disagio”, in quanto l’assicurato, in un secondo momento, le aveva esibite nel corso di un’assemblea condominiale di cui erano parte gli stessi attori. Il Giudice di prime cure rigettava la domanda, ritenendo legittima la condotta della compagnia in quanto: “doverosamente ha trasmesso al suo assicurato l’atto di transazione e quietanza a favore del M., non violando alcun obbligo di custodia e riservatezza di dati sensibili”; inoltre, secondo il Tribunale capitolino, tale comunicazione è da considerarsi un adempimento di natura contrattuale nei confronti del proprio assicurato. Pertanto, avverso l’anzidetta decisione gli attori proponevano ricorso in Cassazione.

Orbene, nell’accogliere il ricorso, gli Ermellini hanno asserito che le coordinate bancarie (iban) sono da qualificarsi come un dato personale ex art. 4, lett. b) del D.Lgs. n. 196 del 2003 (nel testo, applicabile ratione temporis, anteriore alle modifiche apportategli dal D.L. n. 201 del 2011, convertito, con modificazioni, dalla L. n. 214 del 2011) rientrando in tale nozione “..qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale..”. Tra l’altro, richiamando un precedente indirizzo della giurisprudenza di legittimità, nel provvedimento in commento vengono indicate le modalità con le quali i dati personali devono essere trattati. Innanzitutto, in quanto tale, l’iban deve essere trattato in modo lecito e secondo correttezza; inoltre, potrà essere raccolto, conservato e utilizzato solo per scopi determinati, espliciti e legittimi e non eccedenti rispetto alle finalità per le quali è raccolto; da ultimo, per un periodo di tempo non superiore rispetto a quello necessario agli scopi stessi [4]. La Corte ha precisato che, nel caso di specie, l’obbligo della compagnia assicuratrice di fornire una prova al proprio assicurato dell’avvenuto risarcimento del danno in favore dei ricorrenti “..non può in alcun modo ricomprendere anche la diffusione delle coordinate bancarie delle persone risarcite, atteso che tale trasmissione dei dati  oltre a non essere funzionale all’attività per cui gli stessi erano stati raccolti, neppure era necessaria per adempiere al predetto obbligo”. Ex adverso, infatti, “sarebbe stato sufficiente inviare al D.B. una comunicazione in cui si dava atto dell’intervenuto ristoro dei danni, come solitamente d’uso nelle compagnie, e/o, al più, consegnargli la quietanza dopo averne debitamente oscurato le informazioni sui dati personali non divulgabili ai sensi della normativa sulla privacy”; in soldoni, l’assicurato avrebbe potuto ricevere una mera comunicazione circa l’avvenuto risarcimento dei danni o, in alternativa, la quietanza con i dati bancari debitamente oscurati.

Ciò detto, in merito al risarcimento del danno, essendo esclusa la possibilità di subire un pregiudizio di natura patrimoniale in seguito alla illecita diffusione del codice iban, la Suprema Corte ha sancito che il danno risarcibile può consistere anche in quello morale, derivante dal «fastidio, preoccupazione, disagio». È opportuno precisare che, in generale, il risarcimento del danno non patrimoniale non è previsto solo ipso iure come conseguenza di un fatto illecito, ma è dovuto anche nel caso in cui siano stati violati diritti costituzionalmente garantiti [5]. A tal proposito, benché nella nostra Carta fondamentale non ci sia esplicito riferimento alla privacy, essa assorge a rango costituzionale per il viatico dell’art 2 Cost. il quale riconosce i diritti inviolabili dell’uomo [6]. A tanto aggiungasi che il diritto alla protezione dei dati personali è tutelato non solo dall’anzidetto articolo, ma anche dall’art. 21 Cost., nonché all’art. 8 Carta dei diritti fondamentali dell’Unione Europea, ai sensi del quale “ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano… tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge..”. Secondo la Corte, il diritto a mantenere il controllo sulle proprie informazioni, nei diversi contesti ed ambienti di vita, «concorre a delineare l’assetto di una società rispettosa dell’altro e della sua dignità in condizioni di eguaglianza» [7]. Chiaramente, non è sufficiente lamentare la lesione del diritto costituzionalmente garantito o affermare l’esistenza del danno, il quale, invece, dovrà essere in ogni caso dimostrato; pertanto, accertata la sussistenza dell’an di un tale pregiudizio, il giudice adito dovrà indagare il quantum debeatur.

In conclusione, nella società odierna ove la privacy è messa costantemente a rischio, alla luce del principio enunciato dai Giudici di ultima istanza, il titolare del dato personale de quo potrà rivolgersi all’Autorità giudiziaria, al fine di accertare la responsabilità del soggetto che ha posto in essere la condotta illecita e, di conseguenza, ottenere un provvedimento di condanna risarcitoria.

 

 

 

[1] Nato con l’intento di semplificare le transazioni economiche tra persone fisiche o Piccole e medie imprese (PMI), oggi non è ancora ampiamente diffuso, soprattutto al di fuori dell’Europa; difatti, è ancora consigliato e richiesto dalle banche l’uso del codice BIC (o SWIFT). Per un approfondimento sul punto, si veda “Codice Iban: cos’è e come funziona”, aprile 2018, disponibile qui:  https://www.laleggepertutti.it/201088_codice-iban-cose-e-come-funziona

[2] Cass. Civ. Sez. I, ordinanza n. 4475, 19 febbraio 2021.

[3] Per un approfondimento sul punto, si veda “Codice della Privacy 2020”, disponibile qui: https://www.altalex.com/documents/codici-altalex/2014/02/10/codice-della-privacy ; Il codice in materia di protezione dei dati personali (d.lgs. n. 196 del 2003) è stato oggetto, di recente, di modifiche apportate dalla L. 27 dicembre 2019, n. 160, dal D.L. 14 giugno 2019, n. 53, dal D.M. 15 marzo 2019 e, soprattutto, dal Decreto di adeguamento al GDPR (Decreto Legislativo 10 agosto 2018, n. 101). Quest’ultimo, il cosiddetto “decreto privacy”, recepisce formalmente il GDPR nella normativa italiana e ha novellato in buona parte il codice del 2003, il quale resta in vigore per gli specifici articoli non espressamente abrogati dal detto decreto. In merito al nuovo Regolamento UE (GDPR), nel dicembre del 2015, la Commissione Europea ha trovato l’accordo col Parlamento e col Consiglio UE per un testo unico sulla privacy al fine di armonizzare le normative degli Stati membri. Il regolamento (UE) n. 2016/679, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, è applicato definitivamente a decorrere dal 25 maggio 2018 e ha abrogato la direttiva 95/46/CE.

[4] Cass. Civ. Sez. III, sentenza n. 1593, 23 gennaio 2013.

[5] Sul punto, l’art. 2059 c.c. è stato oggetto di una serie di pronunce della Corte di Cassazione a Sezioni Unite, le note sentenze di San Martino, con le quali gli Ermellini hanno sancito la risarcibilità del danno non patrimoniale, non solo nelle ipotesi espressamente previste dalla legge, ma anche nel caso in cui vengano lesi quei diritti costituzionalmente garantiti; si vedano, ex multis, Cass. Civ. SS.UU., sentenze nn. 26972, 26973, 26974, 26975/2008.

[6] L’art. 2 Cost. stabilisce che «la Repubblica riconosce e garantisce i diritti inviolabili dell’uomo, sia come singolo, sia nelle formazioni sociali ove si svolge la sua personalità…»;  esso è considerato un catalogo aperto in quanto, da un lato sono riconosciuti tutti i diritti indicati in Costituzione, dall’altro anche tutti quei diritti dell’uomo “non espressamente e immediatamente tutelati dalla Carta fondamentale, ma che essendo fatti propri in un momento successivo dalla coscienza sociale, possono essere progressivamente riconosciuti dalla giurisprudenza e dal legislatore ordinario”. Per un approfondimento sul punto, si veda “L’articolo 2 Costituzione: i diritti inviolabili dell’uomo”, novembre 2016, disponibile qui: https://www.laleggepertutti.it/140125_larticolo-2-costituzione-i-diritti-inviolabili-delluomo

[7] Cass. Civ. Sez. II, sentenza n. 186, 4 gennaio 2011.

 

 

 

 

 

 

Raffaele Toriaco

Avvocato, iscritto all'Ordine degli Avvocati di Foggia. Si è laureato nel 2018, presso la facoltà di Giurisprudenza dell’Università Alma Mater Studiorum di Bologna, con una tesi in Diritto Sportivo dal titolo “Le misure antiviolenza nel calcio in Italia, tra prevenzione e repressione dei reati da stadio". Dopo la pratica forense, si è abilitato all'esercizio della professione di avvocato nell’ottobre del 2021, presso la Corte d'Appello di Bari. Nello stesso anno, ha approfondito la materia del diritto della proprietà intellettuale con il “Master online in Intellectual Property”, Business school Meliusform. Nel 2022 ha frequentato il Corso di perfezionamento in Diritto sportivo e Giustizia sportiva “Lucio Colantuoni”, organizzato dall’Università degli Studi di Milano. È autore di pubblicazioni giuridiche e collabora con altre riviste giuridiche. Email: toriacoraffaele@virgilio.it

Lascia un commento