Che rischi si corrono se si divulga l'Iban altrui?

• Risarcimento da divulgazione dati bancari
• Domanda di risarcimento per diffusione illecita dell'Iban
• Diffusione dei dati incompatibile con lo scopo della loro raccolta
• Risarcimento anche se il pregiudizio non è stato arrecato da chi li divulga i dati

Risarcimento da divulgazione dati bancari

[Torna su]

Sbaglia la compagnia di assicurazione che rilascia copia dell'atto di liquidazione del sinistro, che riporta l'Iban dei beneficiari, all'assicurato, se quest'ultimo deposita il documento nel corso di un'assemblea condominiale. La compagnia poteva infatti oscurare i dati, ma non provvedendovi, ha leso la privacy dei soggetti titolari dei dati bancari e quindi deve risarcire il danno arrecato, anche se di fatto questi sono stati divulgati da un altro soggetto. Queste le conclusioni della Cassazione nell'ordinanza n. 4475/21(sotto allegata) emessa per risolvere la controversia che si va a illustrare.

Domanda di risarcimento per diffusione illecita dell'Iban

[Torna su]

Due soggetti convengono in giudizio una compagnia assicurativa, chiedendo i danni derivati dalla diffusione dei propri dati bancari.

La compagnia, a loro dire, avrebbe violato il dlgs n. 196/20003 in materia di protezione dei dati personali, per aver fornito a un assicurato una stampa del sistema informativo interno e un atto di liquidazione contenente le loro coordinate bancarie. Tale diffusione illegittima ha provocato un immediato fastidio, preoccupazione e disagio, in quanto che il soggetto che è entrato in possesso di questi dati, ha prodotto la suddetta documentazione nel corso di un'assemblea condominiale, a cui erano presenti anche gli attori, realizzando in questo modo la diffusione di un dato personale tra i condomini senza ragione alcuna. Condotta che, tra l'altro, ha complicato una causa pendente tra gli attori e il condominio, con cui avevano in corso diversi contenziosi.

Il Tribunale adito però rigetta la richiesta degli attori, perché la compagnia non ha fatto altro che trasmettere al suo assicurato un atto di transazione e quietanza in favore di uno degli attori, non violando alcun obbligo di custodia e riservatezza di dati sensibili. L'attività della compagnia deve considerarsi infatti un mero adempimento contrattuale nei confronti del suo assicurato e la scelta di quest'ultimo di rendere noti i dati bancari per questioni condominiali non ha nulla a che vedere con la normativa privacy, perché l'assicurato non è destinatario della stessa.

Diffusione dei dati incompatibile con lo scopo della loro raccolta

[Torna su]

Contro detta sentenza le parti soccombenti ricorrono alla Corte di Cassazione, sollevando quattro motivi.

• Con il primo censurano il fatto che il giudice abbia considerato la consegna dell'atto di liquidazione che riportava le loro coordinate bancarie come un obbligo contrattuale. Trascurato inoltre il fatto che nell'informativa rilasciata al fiduciario dell'assicurazione per svolgere la perizia a cui era seguita la liquidazione era specificato che "I dati potranno essere da voi comunicati alla Compagnia Assicurativa", che a sua volta non avrebbe potuto comunicarli al suo assicurato.
• Con il secondo contestano la violazione, da parte della sentenza, del provvedimento datato 08.01.2009 del Garante privacy con il quale ha chiarito che "il trattamento dei dati personali è ammissibile anche senza il consenso dei titolari purché avvenga nei limiti delle finalità originarie ovvero in termini compatibili con gli scopi per i quali erano stati raccolti": condizioni insussistenti nella vicenda in esame.
• Con il terzo lamentano la violazione del principio che sancisce la corrispondenza tra il chiesto e il pronunciato, visto che oggetto del contendere è la violazione dell'obbligo di riservatezza realizzatosi con la divulgazione dei dati indicati nei documenti e che la compagnia di assicurazione non ha avuto l'accortezza di eliminare.
• Con l'ultimo infine rilevano l'errata qualificazione dell'atto di liquidazione consegnato dall'assicurazione come di transazione e quietanza, trattandosi in realtà di un atto di sola transazione.

Risarcimento anche se il pregiudizio non è stato arrecato da chi li divulga i dati

[Torna su]

La Cassazione accoglie il primo e secondo motivo del ricorso e dichiara assorbiti gli altri per le seguenti ragioni.

L'oggetto della controversia è il "dato personale" come descritto dall'art. 4, lett. b), del dlgs n. 196/2003, applicabile alla controversia ratione temporis, prima delle modifiche del 2011 in quanto in tale nozione rientra "qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale."

La Cassazione ricorda che "L'interessato ha il diritto di conoscere in ogni momento chi possiede i suoi dati personali e come li adopera, nonché di opporsi al trattamento dei medesimi, ancorché pertinenti allo scopo della raccolta, ovvero di ingerirsi al riguardo, chiedendone la cancellazione, la trasformazione, il blocco, ovvero la rettificazione, l'aggiornamento, l'integrazione. Al di là delle specifiche fonti normative, è in ogni caso il principio di correttezza a fondare in termini generali l'esigenza del bilanciamento in concreto degli interessi e, conseguentemente, il diritto dell'interessato ad opporsi al trattamento, quand'anche lecito, dei propri dati."

Da considerare anche che il diritto alla protezione dei dati personali è tutelato dagli articoli 2 e 21 Costituzione e dall'art 8 della Carta dei diritti fondamentali dell'UE e che la Cassazione nella sentenza n. 1655/2016 ha precisato che tra i casi in cui "il trattamento dei dati può essere effettuato senza consenso (c'è) quello in cui il trattamento stesso sia necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste di questi."

Alla luce di quanto sopra deve quindi ritenersi erroneo il convincimento del Tribunale in merito alla legittimità della condotta dell'assicurazione, concretatasi nella comunicazione al proprio assicurato della copia dell'atto di liquidazione dei danni accertati dal proprio fiduciario, recante in calce le coordinate bancarie, ovvero l'IBAN dei ricorrenti. Non è dirimente l'assunto secondo cui la condotta deve ricondursi ad un adempimento contrattuale della compagnia nei confronti del proprio assicuratore. Il comportamento richiesto dall'art. 11 lett. a) del dlgs n. 193/2003, e invocato dalla compagnia, deve infatti riferirsi alla condotta del preposto al trattamento dei dati, ovvero la compagnia assicurativa, nei confronti del titolare dei dati e non di soggetti diversi, come nel caso di specie.

La Corte precisa pertanto che le coordinate bancarie dei ricorrenti indicate nell'atto di liquidazione dovevano essere comunicate dalla compagnia solo agli aventi diritto e non all'assicurato, che avrebbe ben potuto ricevere una comunicazione di ristoro dei danni e/o al più la quietanza con i dati bancari debitamente oscurati.

Ne consegue che, come affermato dalla Cassazione 14694/2016 "in materia di protezione di dati personali, quando la loro illecita diffusione abbia dato luogo a condotte pregiudizievoli poste in essere da soggetti diversi dagli autori della divulgazione, non può, per ciò solo, escludersi l'esistenza, tra tale comportamento ed il danno lamentato, del nesso causale, dovendo la sua ricorrenza essere comunque affermata qualora risulti che le condotte dei terzi non sarebbero state possibili se non fossero stati resi noti i dati personali dei danneggiati".

Danni la cui quantificazione spetta al giudice del rinvio, competente ad espletare le dovute valutazioni di merito, non consentite in sede di legittimità.