Privacy: anche il codice IBAN deve essere considerato come dato personale? La riposta affermativa della Cassazione.

Articoli, Digitale, Impresa0 Comments

Cass. civ. Sez. I, Ordinanza del 19-02-2021, n. 4475

Interessante ordinanza della Suprema Corte in materia di privacy con la quale si stabilisce l’illegittimità della condotta di una compagnia assicuratrice che, nel comunicare al proprio assicurato l’avvenuto risarcimento del danno, trasmette allo stesso anche le coordinate bancarie della persona risarcita.

I signori M.F. ed C.A. citavano dinanzi al Tribunale di Roma una compagnia assicuratrice ai sensi dell’art. 152 del “Codice in materia di protezione dei dati personali” (ratione temporis D.Lgs. 196/2003) sostenendo di essere stati danneggiati dalla condotta tenuta dalla medesima ed in particolare per aver fornito al proprio assicurato una stampa del sistema informativo interno della medesima compagnia nonché un atto di liquidazione ove erano riportate, tra l’altro, le loro coordinate IBAN degli stessi soggetti risarciti.

A dire degli attori, tale illegittima diffusione avrebbe loro provocato “fastidio, preoccupazione, disagio” perché l’assicurato destinatario di tali informazioni, successivamente le aveva esibite nel corso di un’assemblea del condominio di cui erano parte gli stessi attori.

Il Tribunale di Roma rigettava la domanda, ritenendo la legittimità della condotta della compagnia in quanto: “doverosamente ha trasmesso al suo assicurato l’atto di transazione e quietanza a favore del M., non violando alcun obbligo di custodia e riservatezza di dati sensibili” e considerando tale comunicazione un adempimento di natura contrattuale nei confronti del proprio assicurato.

Avverso detto provvedimento gli attori promuovevano ricorso in Cassazione.

La Corte, accogliendo il ricorso, ha espressamente ritenuto che le coordinate bancarie (IBAN), fossero da qualificarsi come un dato personale ai sensi del D.Lgs n. 196 del 2003, art. 4, lett. b), rientrando in tale nozione “..qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale..”.

Nel medesimo provvedimento la Corte indica le modalità con le quali i dati personali debbono essere trattati specificando che ciò debba avvenire: a) in modo lecito e secondo correttezza; b) mediante raccolta e registrazione per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi; c) indicando dati esatti e, se necessario, aggiornati; d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati; e) conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.

La Corte, pertanto, richiamati i principi generali in materia di trattamento dei dati personali, non ha condiviso il convincimento del Tribunale capitolino quanto alla legittimità della condotta della compagnia assicuratrice, non ritenendola un adempimento di natura contrattuale nei confronti dell’assicurato.

L’obbligo della compagnia assicuratrice di fornire una prova al proprio assicurato dell’avvenuto risarcimento del danno, secondo i Giudici della Cassazione, non può in alcun modo ricomprendere anche la diffusione delle coordinate bancarie delle persone risarcite.

La trasmissione di tale dato, infatti, oltre a non essere funzionale all’attività per cui gli stessi erano stati raccolti, neppure era necessaria per adempiere al predetto obbligo.

In altri termini, l’esigenza di provare l’adempimento dell’obbligo risarcitorio della compagnia nei confronti dell’assicurato, non può considerarsi prevalente sul diritto alla riservatezza ed alla tutela dei dati personali trasmessi.

La Corte accoglie pertanto il ricorso principale e cassa la sentenza impugnata disponendo il rinvio al Tribunale di Roma, in persona di diverso magistrato, per il corrispondente nuovo esame.

La Suprema Corte conferma, pertanto, che anche il codice IBAN deve essere considerato come dato personale e come tale vada trattato in modo lecito e secondo correttezza.

Tale dato potrà essere conservato e utilizzato solo per scopi determinati, espliciti e legittimi e per un periodo di tempo non superiore rispetto a quello necessario agli scopi per i quali esso è stato raccolto e trattato.

Corollario di questo principio è che l’illecito trattamento del dato in questione potrà comportare, a carico della persona responsabile di tale condotta, un obbligo risarcitorio in favore del titolare.

Avv. Riccardo Precetti

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *