Limiti alla responsabilità della banca per il trattamento illecito dei dati personali

di Avv. Carlo Cavallo150123-banca_finanza

Articolo comparso sulla rivista BancaFinanza (febbraio 2017).

 

Con una recentissima pronuncia di merito (Trib. Civ. Bari, sez. Rutigliano, 5639/16), la giurisprudenza è tornata sull’annosa questione della responsabilità dell’istituto bancario in caso di trattamento illecito di informazioni personali e riservate realizzato in danno del cliente.

La vicenda, di natura civilistica, traeva origine dal presunto trattamento illecito di notizie riservate e dati sensibili effettuato dalla Banca, della quale, nel corso del giudizio, si era accertato il comportamento illegittimo.

La norma di riferimento per la pretesa risarcitoria avanzata dal danneggiato, in questo caso, va ricercata nell’art. 15 del D.Lgs. 196/2003, normativa che disciplina le regole per il trattamento e la protezione dei dati personali (cd. legge sulla privacy).

La disposizione di legge stabilisce che “chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento (…)”, estendendo a tale ipotesi la disciplina dettata dal codice civile in materia di danno da attività pericolose (art. 2050 cod. civ.). In altre parole, il trattamento di dati personali, da parte di qualunque soggetto sia posto in essere, viene assimilato ad una attività suscettibile, di per sé, di comportare rischi di divulgazione di informazioni riservate, che la legge intende tutelare nell’interesse della riservatezza del soggetto al quale quei dati si riferiscono.

Coerentemente con tale finalità di tutela, il legislatore ha stabilito che, in base al disposto del citato art. 15 comma secondo della legge sulla privacy, la violazione delle modalità di trattamento dei dati concordate con il soggetto interessato (comprese le modalità di raccolta, registrazione, utilizzazione e conservazione) o la violazione dei requisiti di tali dati (ove, cioè, questi eccedano i limiti di pertinenza o di scopo per i quali sono raccolti) daranno diritto al soggetto leso di vedersi ristorare non solo i danni patrimoniali (vale a dire delle perdite economiche o dei mancati introiti direttamente conseguenti alla violazione accertata), ma anche i danni non patrimoniali da lui patiti (art. 15 co. 2 D.Lgs. 196/2003).

Così posta, la regola generale non sembrerebbe individuare ulteriori limitazioni alla richiesta di risarcimento dei danni (anche non patrimoniali) avanzata, come nel caso in esame, dal cliente di una Banca che si ritenga leso rispetto al trattamento illecito effettuato dall’istituto su propri dati personali. Ebbene, nel caso suddetto, il Tribunale di Bari ha invece respinto la richiesta risarcitoria (sotto il profilo del danno non patrimoniale) del cliente, affermando che solo un “danno grave e serio”, direttamente conseguente alle predette violazioni sul trattamento dei dati personali, può legittimare la richiesta risarcitoria stabilita dalla norma di legge e tali requisiti non ricorrevano nel caso di specie. La pronuncia si inserisce, così, a pieno titolo, nel solco tracciato dalla giurisprudenza di legittimità che ha affermato come il risarcimento del danno non patrimoniale sia dovuto “solo nel caso in cui sia superato il livello di tollerabilità” in riferimento alla lesione di un determinato bene giuridico e nei casi in cui “il pregiudizio non sia futile” (in tal senso, fra le tante, Cass. civ. 16133/2014).

Ne consegue che, in casi simili, è onere della parte danneggiata dimostrare, in giudizio, li “aspetti contingenti dell’offesa” e quantificare “le perdite personali verificatesi”, anche in relazione al trattamento illecito di dati personali. Un’interpretazione della norma, questa, che finisce col gravare ulteriormente il danneggiato, a favore dell’operato degli istituti di credito (nel caso esaminato), evitando l’instaurazione richieste di risarcimento “bagatellari”, in un necessario bilanciamento tra il principio di solidarietà verso la vittima, e quello di tolleranza nell’ambito della convivenza sociale (art. 2 Costituzione).