Trattamento dei dati sensibili e tutela della privacy: obbligo di segreto della Banca nelle operazioni col cliente

1. Estensione del diritto alla riservatezza e dell'obbligo della tutela della privacy agli enti pubblici ed agli istituti di credito.

Il diritto alla protezione dei dati personali è un diritto fondamentale dell'individuo, tutelato espressamente nel D. Lgs. n. 196 del 20 giugno 2003, ossia dal Codice in materia di protezione dei dati personali, oltre che da vari altri atti normativi di origine italiana ed internazionale.

In base ad esso, infatti, ogni individuo può pretendere che i propri dati personali siano trattati da terzi solo nel rispetto delle regole e dei principi stabiliti dalla legge, e che dunque non li divulghino senza il previo consenso dell'interessato. Tale normativa in realtà ha cercato di rispondere ad una valida esigenza dell'ordinamento, consistente nella tutela della sfera intima e personale di ciascun individuo, spesso soggetta a "soprusi divulgativi" da parte di terzi detentori di tali informazioni.

Leggendo le norme, emerge come il legislatore, col suo intervento, abbia voluto riconoscere un vero e proprio "diritto di proprietà" di ogni soggetto sulla propria vita intima e personale, ossia su ogni informazione attinente alla propria sfera sensibile, e pertanto suscettibile di tutela in caso di appropriazione illegittima. La quaestio iuris si pone in quanto, proprio come accade per le res materiali, le informazioni personali di un individuo sono spesso nella disponibilità di terzi soggetti, i quali, in qualità di meri detentori delle stesse, non avrebbero alcun diritto di disporne a proprio piacimento. Tuttavia, non rari sono stati i fenomeni di diffusione dei dati personali da parte di terzi, i quali, agendo in buona o mala fede, hanno spesso diffuso informazioni attinenti alla sfera giuridica altrui, ledendo un diritto da riconoscersi come assoluto.

Orbene, tale obbligo giuridico è stato esteso ad ogni soggetto dell'ordinamento, sia esso una persona fisica che giuridica, prevendo pertanto una valida estensione della disciplina a livello soggettivo. A tal proposito è interessante osservare come la recente pronuncia della Corte di Cassazione, ossia la sentenza n. 30981 del 27.12.2017 (allegata all'articolo), abbia statuito sulla necessità di osservazione di tale obbligo di protezione dei dati personali anche da parte di enti pubblici e banche, i quali, rispettivamente nell'esercizio delle proprie funzioni pubbliche o contrattuali, hanno il dovere giuridico di tutelare la privacy dei soggetti interessati, non ledendo così il proprio diritto alla riservatezza.

Infatti, la Corte ha concluso affermando che "i dati sensibili idonei a rivelare lo stato di salute possono essere trattati soltanto mediante modalità organizzative, quali tecniche di cifratura o criptatura che rendono non identificabile l'interessato. Ne consegue che i soggetti pubblici o le persone giuridiche private, anche quando agiscano rispettivamente in funzione della realizzazione di una finalità di pubblico interesse o in adempimento di un obbligo contrattuale, sono tenuti all'osservanza delle predette cautele nel trattamento dei dati in questione" (1). Nel caso di specie, un soggetto lamentava in Cassazione la diffusione dei propri dati personali causata da un comportamento negligente dei due soggetti in questione, ossia la Regione Campania ed il Banco di Napoli.

Quest'ultimi, infatti, nel comiunicare tra loro al fine di devolvere al soggetto ricorrente l'indennità a lui spettante a seguito di problematiche di salute irreversibili, omettevano di oscurare la sua problematica di salute, che veniva così a conoscenza di tutti. In particolare, infatti, la lesione del diritto alla privacy emergeva dal fatto che nella causale dell'accredito dell'indennità vi era l'esplicita voce "pagamento rateo arretrati bimestrali e posticipati...ex L. n. 210 del 1992", essendovi così una diffusione non autorizzata di un dato altamente personale del soggetto leso. Accogliendo il ricorso, ovvero cassando con rinvio la sentenza impugnata al Tribunale di Napoli, la Corte di Cassazione ha mostrato così assoluta sensibilità a tale tematica, riconoscendo sic et simpliciter un diritto del soggetto al mantenimento della propria riservatezza, anche qualora i propri dati personali siano gestiti da soggetti diversi, quali gli enti pubblici e gli istituti di credito. Pertanto, sia che si tratti di soggetti privati, sia che si tratti di soggetti pubblici, la sfera personale del soggetto merita di restar sempre tutelata.

2. Focus: la posizione degli istituti di credito in merito agli obblighi di riservatezza ed alle relative responsabilità.

Orbene, partendo dal dato normativo, nonchè dall'ultima pronuncia giurisprudenziale, vale la pena soffermarsi maggiormente sulla posizione degli istituti di credito, protagonisti ogni giorno di manovre finanziarie e contrattuali con la clientela. In particolare diventa necessario soffermarsi sia sull'entità e la natura degli obblighi di riservatezza in capo alle Banche, sia sulle relative forme di responsabilità imputabili alle stesse.

Relativamente al primo punto, osserviamo come lo stesso Garante della protezione dei dati personali, nell'analisi di un caso pratico, ha statuito che "Le banche non possono comunicare informazioni sui conti dei loro clienti a persone estranee che chiedono di conoscere tali informazioni per meglio tutelare le proprie ragioni in sede giudiziaria. Anche la sola conferma dell'esattezza dei dati relativi ad un cliente, fornita ad un terzo che non vi abbia titolo, rappresenta una illegittima divulgazione e una violazione del c.d. "segreto bancario". Nel caso in esame la comunicazione dei dati personali dell'interessato da parte della banca ad un legale è risultata contraria al principio di liceità e correttezza nel trattamento dei dati personali ed effettuata in violazione degli obblighi contrattuali relativi ai rapporti bancari" (2).

Emerge, pertanto, un generale obbligo di segreto degli istituti di credito, che si riferisce al divieto della divulgazione di qualunque tipologia di informazione, economica e non, dei propri clienti a terzi soggetti, senza alcuna tipologia di autorizzazione ricevuta. Si tratta precisamente di un obbligo autonomo e distinto, e strumentale al rapporto principale di credito-debito esistente tra il cliente e la Banca. Infatti, la stessa Corte di Cassazione nella sentenza in esame ha statuito che "...ci sono due relazioni produttive di effetti giuridici, l'una riguardante il beneficio accordato dalla L. n. 210 del 1992, e l'altra tutela del diritto fondamentale alla riservatezza in ordine ai dati personali relativi alla salute. Per questa seconda relazione giuridicamente qualificata, che ha ad esclusivo oggetto il trattamento dei dati, la fonte di regolazione non può in alcun modo desumersi dal regime normativo e contrattuale dell'altra, perchè si tratta di diritti e beni giuridici diversi e non sovrapponibili".

Il diritto alla riservatezza, pertanto, conserva un'autonomia giuridica propria, ed ingenera un rapporto giuridico autonomo ed indipendente da ogni tipologia di relazione esistente, così come la stessa Corte costituzionale ha sottolineato, statuendo che “con il termine segreto bancario si denota un dovere di riserbo cui sono tradizionalmente tenute tutte le imprese bancarie in relazione alle operazioni, ai conti e alle posizioni concernenti gli utenti dei servizi da essa erogati. A tale dovere tuttavia non corrisponde nei singoli clienti delle banche una posizione giuridica soggettiva costituzionalmente protetta, né, men che meno, un diritto della personalità, poiché la sfera di riservatezza con la quale vengono tradizionalmente circondati i conti e le operazioni degli utenti dei servizi bancari è direttamente strumentale all’obiettivo della sicurezza e del buon andamento dei traffici commerciali. In ragione di ciò, il se, il quando ed il come della tutela del segreto bancario sono lasciati alla scelta discrezionale del legislatore ordinario, il quale, in tale valutazione, è tenuto ad un non irragionevole apprezzamento dei fini di utilità e di giustizia sociale che gli artt. 41 2° co. e 42 2° co. della Costituzione prevedono a proposito della disciplina delle attività economiche e del regime delle appartenenze dei beni patrimoniali” (3)

Per di più, anche al termine delle operazioni di credito, la Banca conseva ugualmente tale obbligo di segreto dei dati economici e personali, anche se in sostanza il cliente non è più tale. Infatti, "nei rapporti che si costituiscono con il cliente è insita l’assunzione da parte della banca, dell’obbligo al segreto su quanto egli le confida attenga all’operazione compiuta ed anche se nessuna operazione venga posta in essere, o perché la proposta del cliente non sia accolta o perché il cliente siasi rivolto alla banca per semplice consiglio". (4)

Nel nostro ordinamento non è presente una norma che sancisca direttamente l'obbligo generale di segreto bancario, anche se vi sono disposizioni che ne presuppongono sostanzialmente l’esistenza. In passato, la fonte del segreto bancario si rinveniva nell’articolo 10 della legge bancaria, ormai abrogata, ed il cui contenuto oggi è riprodotto nell’articolo 7 del TUB (5) nel quale è sancita l’opponibilità del segreto d’ufficio, anche nei confronti della PA, per le informazioni acquisite dalla Banca d’Italia quale organo di vigilanza, segreto di ufficio cui sono vincolati tutti i dipendenti della Banca d’Italia.
Tale obbligo si evince anche dall'articolo 622 c.p. (6), il quale dispone il divieto di divulgazione del segreto professionale (7); tuttavia, nonostante l'esistenza di riferimenti normativi, civili e penali, la dottrina maggioritaria, nonchè la Cassazione nella sentenza del 18 luglio 1974 n. 2147, hanno preferito intravedere il fondamento del segreto bancario nelle norme consuetudinarie. Ciò attraverso l’articolo 1374 c.c., il quale obbliga le parti di un contratto non solo a quanto in esso previsto ma anche a quanto la legge o, in mancanza, gli usi o l’equità stabiliscano ad integrazione del contenuto pattizi.

Inoltre, più di recente, si è diffuso anche il convincimento per cui il segreto bancario debba ricondursi nell’alveo del principio di correttezza, di cui all’articolo 1175 c.c., proprio di tutti i contatti sociali di natura contrattuale. Ergo, tale obbligo di segreto rientrerebbe, ad oggi, come species del più generale dovere di buona fede e correttezza, ossia di quelle clausole generali da rispettare già durante la fase delle trattative instauratesi tra istituto di credito e cliente.
Pertanto, al fine di rispettare l'art. 1337 c.c., gli istituti di credito hanno l'obbligo di non rendere note le informazioni del cliente, e dunque di mantenere il riserbo sui fatti attinenti alla sua vita privata, proprio nel rispetto dei principi di bona fidei e correttezza precontrattuale.
Il cliente, infatti, nutre la ragionevole aspettativa che l'istituto Bancario tuteli le proprie informazioni, e dunque vada a preservare la propria privacy in tutte le operazioni poste in essere. Ovviamente, il riferimento normativo maggioritario sulla questione resta pur sempre la disciplina prevista in materia di trattamento dei dati personali del 2003, la quale comunque ha inciso in maniera determinante sulla questione, in particolare per ciò che concerne la circolazione di informazioni interbancarie e infragruppo, in precedenza non coperte dal segreto. La legge ammette la circolazione di queste informazioni a condizione che l’interessato o la persona presso la quale sono raccolti i dati personali siano previamente informati, oralmente o per iscritto, riguardo i soggetti o le categorie di soggetti ai quali i dati possono essere comunicati e l’ambito di diffusione degli stessi.

Analizzando anche la casistica, osserviamo come la materia sia stata abbondantemente trattata dai Giudici della Cassazione, anche con pronuncie precedenti al 2017, ove la Suprema Corte ha statuito circa la necessità di preservare tale obbligo di riservatezza.
In particolare, con la sentenza n. 17014 del 2011 veniva affrontato il caso di un dipendente di un istituto di credito che, in occasione del versamento di un soggetto terzo di una somma di denaro sul conto corrente di un proprio cliente, rilasciava in busta aperta una contabile bancaria con l’indicazione del saldo.
Inoltre, con la sentenza n. 8451 del 2012, la Cassazione decideva invece su un errore commesso dalla filiale che inviava l’estratto conto del proprio cliente all’indirizzo dell’abitazione materna, facendo così conoscere alla madre la grave situazione debitoria del figlio. In entrambi i casi, la Cassazione riconosceva il diritto del soggetto alla tutela della propria posizione, non riconoscendo però in tali casi il diritto al risarcimento del danno, a seguito della mancata prova ex art. 2043 c.c.

Orbene, a tal fine appare opportuno soffermarci sulla natura della responsabilità della Banca qualora essa violi l'obbligo di segreto e riservatezza prefissato.
Ci si chiede, pertanto, se si tratti di responsabilità contrattuale, extracontrattuale, o addirittura precontrattuale. In genere, la dottrina ha cercato di sussumere tali singole fattispecie nell'alveo della responsabilità extracontrattuale, essendovi una lesione che attiene alla sfera non contrattualizzata, in quanto riferita alla divulgazione dei dati sensibili.
Tuttavia, si potrebbe avanzare anche l'idea dell'esistenza di una responsabilità precontrattuale, nel caso specifico in cui il cliente e l'istituto si trovavano nella mera e semplice fase delle trattative. Immaginiamo, ad esempio, il caso in cui un cliente chieda alla Banca una forma di finanziamento a seguito di problematiche afferenti la propria persona. Qualora l'istituto divulghi tali informazioni, sicuramente sarebbe da inquadrarsi come responsabile in via precontrattuale, in quanto la lesione verificatasi è da riferire ad un periodo precedente a qualunque tipologia di contratto, ossia relativa ad un mero contatto sociale esistente tra loro. Pertanto, in realtà, a seconda dello status esistente tra i soggetti contraenti, è possibile rinvenire la species particolare di responsabilità esistente. 
Ovviamente il soggetto leso avrà diritto a richiedere il risarcimento del danno, a seguito della divulazione dei propri dati personali, essendo tale possibilità espressamente prevista dall'articolo 15, primo comma, del d.lgs 196/03. In questo caso, però, l'onere della prova del danno subito spetta al danneggiato, il quale deve provare che gli effetti pregiudizievoli subiti derivino dalla condotta posta in essere dall'istituto di credito. Quest'ultimo, al massimo, ha l'onere di dimostrare, con una prova contraria, la mancanza di dolo o colpa nella condotta posta in essere, ossia di aver adottato tutte le misure idonee per prevenire il danno subito.