Corte di Cassazione e privacy: il principio di minimizzazione dei dati del GDPR

 

privacy

La  Suprema Corte di Cassazione, a fine dicembre 2019,  è intervenuta ( con ordinanza) in materia di privacy, ribadendo le disposizioni afferenti  il “principio di necessità nel trattamento dei dati” previsto dall’art. 3 del  d.lgs n 196/2003 nonchè quanto previsto  dall’art. 11 lett. d), richiedente la pertinenza, la completezza e non eccedenza dei dati rispetto alle finalità per cui sono raccolti e trattati (tali articoli sono stati recentemente abrogati a seguito dell’entrata in vigore del d.lgs n del 10/08/2018 n. 101).

La Corte nella motivazione richiama in proposito il principio stabilito   dall’art 5 lett. c) del regolamento europeo sulla protezione dei dati personali 2016/679.

Il ricorrente in Cassazione  aveva  dedotto la violazione e falsa applicazione degli artt. 15 e ss d.lgs n 196/2003, operata dalla Corte d’appello territoriale, in relazione alla  cessione del credito della Banca ad un privato, ed alla diffusione a terzi di dati relativi al pignoramento dei beni del debitore.

In particolare, la Banca aveva segnalato la debitrice a soggetti privati “acquirenti di crediti” fornendo loro dati sensibili in ordine alla persona del debitore, alla situazione debitoria e all’abitazione della debitrice.

La Corte ha osservato ”  Va preliminarmente osservato che non vi è dubbio che il trattamento delle informazioni personali effettuato nell’ambito dell’attività di recupero crediti sia lecito purchè, avvenga nel rispetto del criterio di minimizzazione nell’uso dei dati personali, dovendo essere utilizzati solo i dati indispensabili, pertinenti e limitati a quanto necessario per il perseguimento delle finalità per cui sono raccolti e trattati. Tale principio era ben espresso dall’art. 3 del d.lgs n. 196/2003, recante il titolo “principio di necessità nel trattamento dei dati”, e dall’art. 11 lett. d) legge cit. , richiedente la pertinenza, la completezza e non eccedenza dei dati rispetto alle finalità per cui sono raccolti e trattati (tali articoli sono stati recentemente abrogati a seguito dell’entrata in vigore del d.lgs n del 10/08/2018 n. 101) ed è stato recentemente riaffermato con l’entrata in vigore dell’art. 5 lett. c) del regolamento europeo sulla protezione dei dati personali 2016/679.”

Nel caso di specie la Corte però ha ritenuto che   la Banca non  sia incorsa nella violazione della legge sulla privacy solo perché la stessa  abbia fornito ai soggetti acquirenti del credito informazioni riguardanti la debitrice funzionali alla cessione del credito, quali la situazione debitoria, l’ubicazione dell’immobile vincolato alla garanzia del credito, etc.,  in quanto il ricorrente  deve comunque provare che la comunicazione a terzi sia avvenuta in violazione del principio sopra enunciato di “minimizzazione nell’uso dei dati personali”.

Secondo la Cassazione il ricorrente non avrebbe provato la  rivelazione da parte della Banca di dati c.d. sensibili ( secondo una terminologia non più attuale n.d.r.)  concernenti la sua persona, mentre fosse suo preciso onere specificare i dati sensibili propalati in violazione del criterio della “minimizzazione” ( che la Corte chiama impropriamente minimalizzazione n.d.r)  dei dati personali.

Da ciò il rigetto del ricorso.

@fulviosarzana