Con ordinanza 26778/19 del 21 ottobre, la Suprema Corte ha ordinato ad una banca di fornire ad un cliente il servizio di apertura di conto corrente, servizio che la banca aveva negato a seguito di rifiuto al consenso al trattamento di dati sensibili.
Tale decisione va a contrastare in toto l’impostazione giuridica della sentenza impugnata, che veniva cassata con rinvio. Sia in appello che in primo grado, infatti, i giudici rigettavano la richiesta del cliente in ragione del fatto che quest’ultimo, nonostante che la banca gli avesse sempre prospettato in modo chiaro e trasparente che senza consenso al trattamento si sarebbe potuta rifiutare di dare corso al contratto, aveva liberamente sottoscritto tali condizioni.
La Suprema Corte così motiva la sua decisione: “la clausola con cui la banca ha subordinato il dar corso alle operazioni richieste dal cliente al consenso al trattamento dei dati sensibili è affetta da nullità in quanto contraria a norme imperative, a norma dell’art. 1418 cod. civ.”
Ciò in quanto, a norma dell’art. 3 del d.lgs n. 196/2003 dal titolo “principio di necessità nel trattamento dei dati”, così come riaffermato dal GDPR, il quale richiede la pertinenza, la completezza e non eccedenza dei dati rispetto alle finalità per cui sono raccolti e trattati, a maggior ragione quando si tratta di dati sensibili, i dati per la quale la banca aveva richiesto il consenso necessario non erano, secondo quanto dichiarato peraltro dalla stessa banca, né pertinenti né indispensabili allo svolgimento del rapporto. Nel giustificare la necessità di un consenso obbligatorio al trattamento, la banca avrebbe infatti fatto riferimento alla propria “policy” aziendale secondo la quale, nell’ottica di una imprecisata completa e migliore gestione dei rapporti con la clientela, potendo tali dati venire a conoscenza dell’istituto di credito, in via cautelativa riterrebbe necessario il consenso del cliente al trattamento dei dati sensibili.
Si tratterebbe, pertanto, di un consenso che la banca richiede “in via precauzionale” e che come tale la Corte ritiene priva di alcuna giustificazione anche perché, se la richiesta di trattamento della banca fosse servita unicamente per provvedere alla mera cancellazione e distruzione dei dati sensibili di cui fosse eventualmente venuta a conoscenza per pura casualità, sarebbe stato sufficiente, nel caso, richiedere una tantum il consenso alla distruzione e cancellazione di tali dati.
“Ne consegue che la condotta con cui lo stesso istituto di credito ha successivamente provveduto al “blocco” del conto corrente e del deposito titoli, proprio perché trova il proprio titolo in una clausola nulla dalla stessa inserita, non lo esonera da responsabilità per inadempimento contrattuale”.
Aggiungono infine gli Ermellini che “la Banca, avendo sottoposto l’informativa più volte citata, all’attenzione del cliente all’atto della sottoscrizione del contratto di conto corrente bancario, di fronte al rifiuto del cliente di sottoscrivere il consenso al trattamento dei dati sensibili, avrebbe dovuto, ove avesse voluto essere coerente, rifiutarsi di instaurare il rapporto contrattuale e non invece, come effettivamente avvenuto, consentire al cliente di aprire il conto e di operare sullo stesso per un certo periodo di tempo, salvo poi “bloccarlo” per una causa di cui era già pienamente consapevole all’atto dell’apertura del conto corrente.”