Limiti alla responsabilità della banca per il trattamento illecito dei dati personali

di Avv. Carlo Cavallo

Articolo comparso sulla rivista BancaFinanza (febbraio 2017).150123-banca_finanza

 

Con una recentissima pronuncia di merito (Trib. Civ. Bari, sez. distaccata Rutigliano, Sent. 5639/2016), la giurisprudenza è tornata sull’annosa questione della responsabilità dell’istituto bancario in caso di trattamento illecito di informazioni personali e riservate realizzato in danno del cliente.

La vicenda, di natura civilistica, traeva origine dal presunto trattamento illecito di notizie riservate e dati sensibili effettuato dalla Banca, della quale, nel corso del giudizio, si era accertato il comportamento illegittimo.

La norma di riferimento per la pretesa risarcitoria avanzata dal danneggiato, in questo caso, va ricercata nell’art. 15 del D.Lgs. 196/2003, normativa che disciplina le regole per il trattamento e la protezione dei dati personali (cd. legge sulla privacy).

La disposizione di legge stabilisce che “chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento (…)”, estendendo a tale ipotesi la disciplina dettata dal codice civile in materia di danno da attività pericolose (art. 2050 cod. civ.). In altre parole, il trattamento di dati personali, da parte di qualunque soggetto sia posto in essere, viene assimilato ad una attività suscettibile, di per sé, di comportare rischi di divulgazione di informazioni riservate, che la legge intende tutelare nell’interesse della riservatezza del soggetto al quale quei dati si riferiscono.

Coerentemente con tale finalità di tutela, il legislatore ha stabilito che, in base al disposto del citato art. 15 comma secondo della legge sulla privacy, la violazione delle modalità di trattamento dei dati concordate con il soggetto interessato (comprese le modalità di raccolta, registrazione, utilizzazione e conservazione) o la violazione dei requisiti di tali dati (ove, cioè, questi eccedano i limiti di pertinenza o di scopo per i quali sono raccolti) daranno diritto al soggetto leso di vedersi ristorare non solo i danni patrimoniali (vale a dire delle perdite economiche o dei mancati introiti direttamente conseguenti alla violazione accertata), ma anche i danni non patrimoniali da lui patiti (art. 15 co. 2 D.Lgs. 196/2003).

Così posta, la regola generale non sembrerebbe individuare ulteriori limitazioni alla richiesta d risarcimento dei danni (anche non patrimoniali) avanzata, come nel caso in esame, dal cliente di una Banca che si ritenga leso rispetto al trattamento illecito effettuato dall’istituto su propri dati personali. Ebbene, nel caso suddetto, il Tribunale di Bari ha invece respinto la richiesta risarcitoria (sotto il profilo del danno non patrimoniale) del cliente, affermando che solo un “danno grave e serio”, direttamente conseguente alle predette violazioni sul trattamento dei dati personali, può legittimare la richiesta risarcitoria stabilita dalla norma di legge e tali requisiti non ricorrevano nel caso di specie. La pronuncia si inserisce, così, a pieno titolo, nel solco tracciato dalla giurisprudenza di legittimità che ha affermato come il risarcimento del danno non patrimoniale sia dovuto “solo nel caso in cui sia superato il livello di tollerabilità” in riferimento alla lesione di un determinato bene giuridico e nei casi in cui “il pregiudizio non sia futile” (in tal senso, fra le tante, Cass. civ. 16133/2014).

Ne consegue che, in caso analoghi, è onere della parte danneggiata dimostrare, in giudizio, con appositi mezzi di prova, gli “aspetti contingenti dell’offesa” e quantificare “le perdite personali verificatesi”, anche in relazione a richieste risarcitorie afferenti alla sfera del trattamento illecito di dati personali.

Un’interpretazione della norma, questa avallata dalla giurisprudenza, che, inevitabilmente, finisce col gravare ulteriormente il danneggiato, a favore dell’operato degli istitui di credito (nel caso esaminato) e, in generale, dei soggetti titolari del trattamento di dati, così arginando l’instaurazione di giudizi per richieste di risarcimento infime o “bagatellari”, giustificato, peraltro (come affermato da Cass. civ.  26972/2008) da un necessario bilanciamento tra il principio di solidarietà verso la vittima, e quello di tolleranza nell’ambito della convivenza sociale (ricavabile dall’art. 2 della Costituzione).

Di un analogo principio e di “soglie di risarcibilità” implicite all’interno della legislazione si trova traccia, peraltro, anche in altri ordinamenti europei: il principio “de minimis non curat praetor” informa, da sempre, le decisioni della Corte Europea dei Diritti dell’Uomo (CEDU) nell’esaminare l’ammissibilità dei ricorsi, alla stregua del criterio del “pregiudizio significativo”, che porta a verificare , in concreto, se la violazione di un diritto abbia raggiunto “una soglia minima di gravità per giustificare l’esame da parte di una giurisdizione internazionale”. (Corte EDU, Sentenza n. 77 del 7 gennaio 2014, Cusan e Fazzo c. Italia).