Categorie approfondimento: Credito e banche
28 Novembre 2008

Privacy e centrale rischi

Di cosa si tratta

La sentenza della Corte di Cassazione del 1° aprile 2009, n. 7958 rappresenta una nuova impostazione dell’applicazione della disciplina sulla privacy nei rapporti dei clienti con le banche e nell’impiego della Centrale Rischi con la stessa Banca d’Italia (questa sentenza consideriamo anche in altra sede in ordine alla portata delle affermazioni sulla collocazione a “sofferenza”; nel sito: “Centrale rischi: le regole per la segnalazione a “sofferenza””).
Come capita di frequente il principio affermato nella massima non pare dire molto. Si legge infatti: “La Banca d’Italia è legittimata passiva in ordine all’art. 152 del D.Lgs. n. 196/2003, relativa al trattamento dei dati personali effettuato dalla Centrale Rischi, con riferimento sia alla domanda di rettifica o cancellazione dell’erronea segnalazione, sia alle conseguenze risarcitorie”.
Per capirne il significato va considerato che in precedenza non si riteneva che, nell’introdurre un giudizio volto a stabilire la correttezza della “segnalazione”, la Banca d’Italia fosse parte del giudizio e quindi destinataria anche dei potenziali effetti della pronunzia che ne potevano derivare; ora non più.
Il caso in giudizio aveva quale oggetto l’accertamento della situazione di un marito che, in occasione del giudizio di separazione personale dalla moglie, aveva appreso che questa aveva commesso in suo danno atti di malversazione nella gestione dei suoi rapporti bancari e che la Banca aveva erogato dal suo conto corrente un finanziamento, parzialmente rimborsato sino a una certa epoca mediante prelievi dallo stesso conto, e di avere quindi contestato alla Banca di non aver mai richiesto il finanziamento, sottoscritto il contratto, rilasciato disposizioni per i pagamenti delle rate di rimborso; comunque di non avere posto in essere qualsiasi atto direttamente o indirettamente collegato all’operazione e di avere richiesto, poi, alla banca di sospendere ogni addebito sui propri conti, riguardante il pagamento del finanziamento, sino a quando la situazione non fosse stata chiarita, reiterando le diffide e richieste in ordine al finanziamento.
La banca, avendo riconosciuto esplicitamente che non esistevano “ordini firmati di alcun tipo per il prelievo ed il giroconto” aveva segnalato alla Centrale Rischi presso la Banca d’Italia l’asserita sofferenza derivante dal mancato pagamento delle rate a rientro del finanziamento e il nominativo risultava ancora appostato in Centrale Rischi tra le “Sofferenze”.
Il ricorrente aveva rappresentato la situazione alla banca, effettuando la diffida “a procedere con la massima urgenza a tutte le necessarie rettifiche delle segnalazioni alla Centrale dei rischi presso la Banca d’Italia, comprese quelle attinenti all’archivio storico.
In giudizio la Banca d’Italia eccepì l’inammissibilità nei suoi confronti del ricorso ai sensi e per gli effetti dell’art. 8, II comma, lett. d) del D. Lgs. 196/2003; b) eccepì la propria carenza di legittimazione passiva per essere la Banca d’Italia estranea alle vicende dedotte e priva del potere di valutare il merito delle segnalazioni ricevute, potere competente in via esclusiva agli intermediari; priva del potere di “modificare unilateralmente i dati delle segnalazioni senza la contemporanea ed adeguata modifica dei dati dell’azienda segnalante cui compete quantificare e classificare il grado di rischio dei rapporti in essere con la clientela”.
Il Tribunale di Roma respinse la domanda, osservando che l’attore aveva inteso esercitare un’azione diretta alla cancellazione e al risarcimento del danno subito, a seguito di un illecito trattamento dei propri dati personali, concretatosi in una segnalazione alla c.d. Centrale Rischi del proprio nominativo, in assenza delle condizioni legittimanti e che sotto l’aspetto della violazione delle norme di cui al T.U. 30 giugno 2003 n. 196 (codice in materia di protezione dei dati personali), nessuna violazione appariva essere stata posta in essere dai resistenti, tenuto conto della «incontestata erogazione di somme e la mancata parziale restituzione» e considerato che «lo stato di insolvenza che giustifica “il rischio” e la segnalazione, che deve valutarsi a parere del giudicante, in senso oggettivo, in considerazione dell’entità del credito insoluto, del tempo trascorso in una situazione di inadempienza, e, sopratutto, della manifesta volontà di non adempiere».
Contro la sentenza fu proposto ricorso per cassazione affidato a tre motivi, in uno dei quali il ricorrente in sintesi deduce che la normativa di cui al d.lgs. n. 196/2003 consentirebbe «di ottenere un provvedimento dell’autorità giudiziaria che abbia come destinataria Banca d’Italia ai fini della cancellazione del proprio nominativo dalla Centrale Rischi, categoria Sofferenze».
La Corte muove dall’esame dell’eccezione di difetto di legittimazione passiva sollevata dalla Banca d’Italia perché concerne, in generale, l’individuazione della disciplina applicabile alla controversia oggetto del ricorso.
La Corte rileva che il Codice in materia di protezione dei dati personali, approvato con D.Lgs. 30 giugno 2003, n. 196, disciplina il trattamento di dati personali effettuato da chiunque è stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranità dello Stato (Art. 5), intendendosi per “trattamento”, qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati (Art. 4).
Salvo le eccezioni elencate nell’art. 8, l’interessato può esercitare i diritti di accesso (e di rettificazione, cancellazione, opposizione etc…) disciplinati dall’articolo 7, con richiesta rivolta senza formalità al titolare o al responsabile, anche per il tramite di un incaricato, alla quale è fornito idoneo riscontro senza ritardo ovvero con ricorso al Garante per la protezione dei dati personali. In particolare, delle dette eccezioni, in relazione alle quali i diritti di cui all’articolo 7 non possono essere esercitati con richiesta al titolare o al responsabile o con ricorso ai sensi dell’articolo 145, si riferisce alla fattispecie in esame quella prevista dall’art. 8, comma 2, lett. d), concernente i trattamenti di dati personali effettuati «da un soggetto pubblico, diverso dagli enti pubblici economici, in base ad espressa disposizione di legge, per esclusive finalità inerenti alla politica monetaria e valutaria, al sistema dei pagamenti, al controllo degli intermediari e dei mercati creditizi e finanziari, nonché alla tutela della loro stabilità».
Si tratta dei servizi o sistemi centralizzati di rilevazione dei rischi creditizi, istituiti in base al testo unico delle leggi in materia bancaria e creditizia con deliberazioni del Cicr, regolati da istruzioni della Banca d’Italia e sottoposti alla relativa vigilanza.
Peraltro, anche in relazione a tali attività di trattamento dei dati personali il Garante, anche su segnalazione dell’interessato, provvede nei modi di cui agli articoli 157, 158 e 159 (art. 8, comma 3), ossia, con le modalità indicate nell’art. 159, provvede alla richiesta di informazioni e di esibizione di documenti e ai necessari accertamenti (Art. 158), disponendo, tra l’altro, accessi a banche di dati, archivi o altre ispezioni e verifiche nei luoghi ove si svolge il trattamento o nei quali occorre effettuare rilevazioni comunque utili al controllo del rispetto della disciplina in materia di trattamento dei dati personali.
Dall’esame del complesso delle norme richiamate si trae il convincimento che la Banca d’Italia, in relazione al trattamento dei dati personali effettuato dalla Centrale Rischi, non è estranea all’applicazione del codice, essendo esclusi soltanto alcuni rimedi altrimenti a disposizione dell’interessato, come la tutela amministrativa (Sezione II del codice) e quella definita dal codice come «tutela alternativa a quella giurisdizionale» (Sezione III), mentre resta applicabile, ovviamente, la tutela giurisdizionale di cui al Capo II (art. 152), oltre a quella dinanzi al Garante nelle forme del reclamo per rappresentare una violazione della disciplina rilevante in materia di trattamento di dati personali e della segnalazione al fine di sollecitare un controllo della disciplina medesima (art. 141, lett. a e b).
La conseguenza è l’applicabilità delle norme generali in tema di trattamento dei dati di cui all’art. 11 («1. I dati personali oggetto di trattamento sono: a) trattati in modo lecito e secondo correttezza; b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi; c) esatti e, se necessario, aggiornati; d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati; e) conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati. 2. I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati) e in tema di responsabilità per i danni cagionati per effetto del trattamento di cui all’art. 15 («1. Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile. 2. Il danno non patrimoniale è risarcibile anche in caso di violazione dell’articolo 11»).
Peraltro, che la Banca d’Italia non possa sottrarsi alla disciplina comune in tema di responsabilità civile nel trattamento dei dati discende dall’ovvia considerazione che, per errore di uno degli “incaricati” (definiti come «le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile»), la segnalazione da parte del responsabile potrebbe essere recepita e trattata in modo non corretto.
E’ quindi apparsa irrilevante la pronuncia del Garante, richiamata dalla Banca d’Italia, con la quale è stato ritenuto inammissibile il ricorso nei confronti della Banca d’Italia «in quanto il trattamento dei dati effettuato da tale Istituto per la gestione della … Centrale dei rischi rientra tra quelli rispetto ai quali, ai sensi dell’art. 8, comma 2, lett. d), del Codice, non possono essere esercitati i diritti di cui all’art. 7, né può essere proposto ricorso al Garante ai sensi dell’art. 145 del Codice» (Provvedimento del 26 luglio 2006, doc. web n. 1332498, del Garante per la protezione dei dati personali).
La Banca d’Italia quindi non si sottrae alla tutela giurisdizionale di cui all’art. 152 del Codice, il cui comma 12 dispone che con la sentenza il giudice provvede sulla domanda «anche in deroga al divieto di cui all’articolo 4 della legge 20 marzo 1865, n. 2248, allegato E) (sull’abolizione del contenzioso amministrativo), quando è necessario anche in relazione all’eventuale atto del soggetto pubblico titolare o responsabile».

(Visited 10 times, 8 visits today)