Il principio di minimizzazione dei dati, previsto dall’articolo 5 del GDPR, è stato ribadito dalla Corte di Cassazione in un caso di recupero crediti. Con l’ordinanza 34113 del 30 ottobre 2019, ma pubblicata il 19 dicembre 2019, gli ermellini hanno rigettato il ricorso della cliente di un istituto di credito, evidenziando la genericità della sua contestazione e richiamando al contempo il concetto di minimizzazione, di cui lei doveva provare la violazione.
Indice degli argomenti
L’antefatto
Nel 2012, il Tribunale di Napoli aveva condannato la banca a pagare 254.960 euro a titolo di “responsabilità pre-contrattuale ascritta alla Banca in occasione delle trattative intraprese con l’attrice finalizzate alla conclusione di una transazione”, come si legge nell’ordinanza, oltre a 5.000 euro aggiuntivi per violazione della privacy. Il giudice del tribunale di Napoli infatti aveva rilevato che “l’istituto di credito, dopo aver pignorato l’immobile posto a garanzia del contratto di mutuo non adempiuto dall’attrice, nonostante le proposte via via migliorative” presentate dalla ricorrente, “aveva ingiustificatamente ceduto il proprio credito pro soluto” a un terzo, a una somma inferiore rispetto a quella offerta dalla ricorrente.
In Appello, i giudici hanno riformato la sentenza evidenziando per quanto riguarda il pignoramento che l’acquisto del credito era avvenuto in un’unica soluzione e che non era stato dato un anticipo in data antecedente le trattative con la debitrice, era infatti stato riscontrato un errore nella scrittura privata. Relativamente alla privacy invece, “il giudice d’appello ha evidenziato che, una volta eseguito il pignoramento immobiliare, è del tutto evidente che la vicenda debitoria travalichi gli stretti ambiti del rapporto debitore-creditore, coinvolgendo tutti i possibili soggetto interessati all’acquisto del bene”, scrive la Cassazione. È stato quindi proposto ricorso in terzo grado.
La decisione sulla presunta violazione della privacy nel recupero crediti
La Cassazione ha rilevato che “lamenta la ricorrente che vi è stata violazione della normativa sulla privacy al momento della cessione del credito della Banca ad un privato. In particolare, la Banca ha segnalato la debitrice a soggetti privati acquirenti di crediti fornendo loro dati sensibili in ordine alla persona del debitore, alla situazione debitoria e all’abitazione della debitrice”: la Suprema corte ha ritenuto inammissibile questa motivazione “per genericità”.
Richiamando sia l’articolo 5 del GDPR, la Cassazione evidenzia che “non vi è dubbio che il trattamento delle informazioni personali effettuato nell’ambito dell’attività di recupero crediti sia lecito purché, avvenga nel rispetto del criterio di minimizzazione nell’uso dei dati personali, dovendo essere utilizzati solo i dati indispensabili, pertinenti e limitati a quanto necessario per il perseguimento delle finalità per cui sono raccolti e trattati”.
In particolare, sottolinea la Corte, non si può contestare alla banca la violazione della privacy “solo perché abbia fornito ai soggetti acquirenti del credito informazioni riguardanti la debitrice funzionali alla cessione del credito, quali la situazione debitoria, ubicazione dell’immobile vincolato alla garanzia del credito”, poiché non è stata fornita prova che la comunicazione a terzi sia avvenuta in violazione del principio di minimizzazione dei dati. La ricorrente aveva contestato alla banca di aver rivelato dati sensibili sulla sua persona, senza però indicare quali.
La Cassazione quindi, rilevando la genericità della contestazione, ha rigettato il ricorso per tutti i motivi presentati dalla ricorrente (quindi anche quelli legati al pignoramento), condannandola a pagare 12.200 euro per le spese processuali.
Il commento
Spiega l’avvocato Marco Martorana: “la questione oggetto dell’Ordinanza della Cassazione n. 34113/2019 sottende ad una sottile quanto non scontata riflessione sulla distinzione logica e concettuale tra principio di necessità e liceità del trattamento”.
“Il GDPR infatti, se da un lato annovera tra le basi giuridiche del trattamento anche il consenso dell’interessato, dall’altro pone delle norme imperative che impongono al titolare di determinare le finalità del trattamento, e adottare politiche interne volte a raccogliere unicamente i dati adeguati, pertinenti e limitati al conseguimento delle stesse. Per tale motivo il principio di necessità e minimizzazione del trattamento (art. 5 GDPR) rileva in un momento logicamente antecedente al principio di liceità (art. 6 GDPR)”.
“Quest’ultimo – continua l’avvocato – non può prescindere da una valutazione in concreto del trattamento esaminato. Nel caso preso in considerazione dalla Suprema Corte di Cassazione, ove il cliente lamentava un illecito trasferimento di dati (anche sensibili) effettuato dalla Banca a soggetti privati, emerge con chiarezza che il presupposto di liceità non può riguardare la cessione in astratto di dati personali per le finalità connesse alla cessione del credito, bensì la cessione di dati che, a monte ed in concreto, debbono essere adeguati, pertinenti e limitati a quanto necessario per il perseguimento delle finalità per cui sono raccolti e trattati e la cui non indispensabilità rispetto alle finalità debba essere provata o quantomeno allegata da parte del ricorrente. Per tale motivo il consenso che rende lecita la cessione deve insinuarsi su un trattamento che risulta già minimizzato, non potendo, in alcun modo legittimare un trattamento ultroneo e ridondante rispetto alle finalità”.
