L’invio della quietanza come prova del risarcimento contenente il codice Iban viola i dati personali del terzo beneficiario

I signori M. convenivano in giudizio la compagnia di Assicurazione richiedendo il risarcimento per aver comunicato al signor D., suo assicurato e responsabile per alcune infiltrazioni d'acqua verificatesi nell'appartamento dei signori M, le coordinate bancarie di questi ultimi. In particolare, l'Assicurazione aveva trasmesso al proprio assicurato D. la copia dell'atto di liquidazione con indicate le coordinate bancarie dei beneficiari. Successivamente il D. aveva divulgato tale dato nel corso di una assemblea condominiale che veniva allegato al relativo verbale di assemblea.

Il Tribunale di Roma, investito della controversia, rigettava la domanda di risarcimento avanzata ai sensi dell'art. 152, d.lgs. n. 196/2003 (ratione temporis) dai signori M. nei confronti dell'Assicurazione che chiamava in causa il D. per essere manlevata.

In particolare, il Tribunale si pronunciava affermando che il documento contenente l'Iban degli attori era riconducibile a un atto di transazione che veniva accettato dall'assicurato M. Pertanto, l'Assicurazione era legittimata a trasmettere il suddetto atto al proprio assicurato trattandosi di un obbligo contrattuale. Inoltre, il Tribunale dichiarava inammissibile la chiamata del terzo avanzata dalla compagnia nei confronti del signor D. poiché la normativa investiva esclusivamente l'attività dell'Assicurazione e non poteva essere applicata all'ulteriore attività del terzo chiamato.

Avverso la sentenza del Tribunale di Roma, le parti soccombenti proponevano ricorso per cassazione. Resistevano con controricorso sia l'Assicurazione, che proponeva altresì ricorso incidentale condizionato, che il terzo chiamato signor D.

I ricorrenti lamentano la violazione e falsa applicazione degli articoli 11, 13, e 24 d.lgs. n. 196/2003 (oggi art. 5, 13, 6 Reg. UE 679/2016) per aver ritenuto il Tribunale che la consegna della documentazione da parte dell'Assicurazione al proprio assicurato D fosse conseguenza di un obbligo contrattuale. Inoltre, lamentavano la violazione e falsa applicazione del provvedimento del Garante Privacy dell'8 gennaio 2009 che prevede la possibilità di effettuare il trattamento dei dati personali senza il consenso dell'interessato purché avvenga nei limiti delle finalità originarie o in termini compatibili con gli scopi per i quali erano stati raccolti (ad ogni buon conto la Suprema Corte esclude possa trattarsi di una violazione di legge non essendo un provvedimento normativo ma un provvedimento emesso a seguito di istanza di una società privata). Inoltre, lamentavano la violazione e falsa applicazione dell'art. 112 c.p.c., corrispondenza tra chiesto e pronunciato, in quanto l'oggetto del contendere non era la consegna della documentazione dall'Assicurazione al cliente-assicurato, ma la violazione dell'obbligo di riservatezza con la divulgazione dei dati personali, dati che la compagnia assicurativa avrebbe dovuto eliminare. Infine, lamentavano l'errata qualificazione da parte del Tribunale dell'atto di liquidazione come “transazione e quietanza” dovendosi, invece, qualificare come sola “transazione”.

L'Assicurazione, con il ricorso incidentale, lamentava l'omesso esame di un fatto decisivo e in particolare l'assenza del nesso di causalità e l'eventuale danno stante la violazione del signor D, nonché la ritenuta inammissibilità della chiamata in causa del terzo in manleva.

La Suprema Corte accoglie parzialmente le lagnanze di parte ricorrente.

Innanzitutto, chiarisce che il codice Iban è da qualificarsi quale dato personale ai sensi dell'art. 4, lett. b, d.lgs. n. 196/2003 (sempre ratione temporis): «qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale».

Pertanto, il relativo trattamento deve seguire i precetti chiariti anche dalla Cass. n. 1593/2013 ossia liceità, correttezza, legittimità, esattezza, pertinenza, completezza e per il tempo necessario al trattamento.

Ad ogni buon conto, viene richiamato il principio di correttezza a fondare l'esigenza del bilanciamento concreto degli interessi e, conseguentemente, il diritto dell'interessato ad opporsi al trattamento dei propri dati, anche se lecito (cfr. Cass. n. 1593/2013).

Inoltre, la Cass. n. 1655/2016, richiamata nella sentenza de qua, indica tra i casi in cui sia possibile effettuare il trattamento senza il consenso dell'interessato quello necessario per eseguire un obbligo derivante da contratto: «L'art. 24, lettera b) del codice della privacy indica tra i casi nei quali il trattamento dei dati può essere effettuato senza consenso quello in cui il trattamento stesso sia necessario per eseguire obblighi derivante da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste di questi. La norma, al pari di quelle contenute nelle lettere d) ed i-ter), è evidentemente intesa a favorire lo svolgersi dei rapporti commerciali e richiede che il trattamento sia necessario ai fini della conclusione o dell'esecuzione del contratto (confermata, nella specie, la decisione dei giudici del merito che avevano escluso ogni sorta di violazione a danno del ricorrente, il quale lamentava che, una volta stipulato un contratto di finanziamento, a seguito dell'omesso pagamento di alcune rate aveva ricevuto presso il suo studio professionale delle telefonate di un incaricato della società finanziatrice, il quale aveva riferito tutti i particolari la situazione di morosità)».

La Corte ritiene errata la giustificazione dell'Assicurazione rispetto alla diffusione del dato dei signori M, ossia la necessità di fornire una prova al proprio assicurato D circa l'avvenuto risarcimento del danno. Infatti, tale informazione non richiedeva la necessità di diffondere anche le coordinate bancarie poiché «oltre a non essere funzionale all'attività per cui gli stessi erano stati raccolti, neppure era necessaria per adempiere al predetto obbligo». La Corte ritiene infatti sufficiente per assolvere l'obbligo a carico dell'Assicurazione, e necessario per il rispetto della normativa in tema di trattamento dei dati personali, la consegna della quietanza «dopo averne debitamente oscurato le informazioni sui dati personali non divulgabili ai sensi della normativa sulla privacy». In altri termini, riferisce la Suprema Corte, le «esigenze di mera prova, da parte dell'assicurato, dell'avvenuto adempimento dell'obbligo contrattualmente assunto dall'assicuratore nei suoi confronti di tenerlo indenne dalle pretese risarcitorie di soggetti terzi rientranti nell'oggetto dello stipulato contratto di assicurazione, non possono considerarsi prevalenti sul diritto alla riservatezza ed alla tutela dei dati personali di quei soggetti terzi, assumendo fondamentale rilievo, al riguardo, il rispetto dei cd. Principi di proporzionalità, pertinenza e non eccedenza di cui al già citato art. 11 del d.lgs. n. 196 del 2003».

Quanto alla chiamata del terzo, la Cassazione conferma come doveva ritenersi ammissibile trattandosi di una garanzia impropria, ossia sorta dalla volontà del convenuto di farsi manlevare dal terzo per le conseguenze del proprio inadempimento in base a un titolo diverso da quello dedotto con la domanda principale.

Inoltre, chiarisce la Cassazione, la condotta del terzo chiamato D da un lato non ha eliminato l'originaria condotta illegittima dell'Assicurazione, ma dall'altro potrebbe avere contribuito al verificarsi dei danni a carico dei signori M.

(Fonte: Diritto e Giustizia.it)