Pubblicato il

Privacy, banche obbligate a rispondere alle richieste di accesso

Corte di Cassazione, sez. I Civile, Ordinanza n.9313 del 04/04/2023

Le banche e gli istituti finanziari sono tenuti a rispondere alle richieste di accesso ai dati personali presentate dai loro clienti.

Lo ha deciso la Corte di Cassazione, sezione I, con l'ordinanza n. 9313 del 4 aprile 2023.

Nel caso di specie, il Tribunale di Milano aveva respinto la domanda presentata da un cliente, ritenendo che non fosse stata dimostrata la sua qualità di titolare o di responsabile del trattamento dei dati personali del richiedente.

Tuttavia, secondo la Corte Suprema, in base agli articoli 15 e seguenti del GDPR (Regolamento UE 2016-679), l'istituto di credito avrebbe dovuto fornire una risposta alla richiesta dell'interessato, anche se il risultato fosse stato negativo.

Al contrario di quanto stabilito dal Tribunale, è il destinatario della richiesta di accesso ai dati che deve essere considerato obbligato a fornire una risposta riguardo al possesso o meno dei dati personali in questione, e non si può invece ritenere che sia il richiedente ad avere l'obbligo di dimostrare tale circostanza fattuale.

Trattamento dei dati personali, obbligo di fornire risposta, destinatario dell'istanza

In materia di trattamento dei dati personali, il soggetto onerato dell'obbligo di fornire risposta in ordine al possesso (o meno) dei dati sensibili è il destinatario dell'istanza di accesso e non invece l'istante, dovendo il primo sempre riscontrare l'istanza dell'interessato, anche in termini negativi, dichiarando espressamente di essere, o meno, in possesso dei dati di cui si richiede l'ostensione.

Condividi su FacebookCondividi su LinkedinCondividi su Twitter

Cassazione civile, sez. I, ordinanza 04/04/2023, (ud. 24/02/2023, dep. 04/04/2023), n. 9313

RILEVATO CHE


1.Con la sentenza non appellabile qui impugnata con ricorso per cassazione il Tribunale di Milano ha rigettato la domanda proposta dal C. nei confronti di ING BANK N. V., volta a far accertare l'inadempimento di quest'ultima all'obbligo di riscontrare l'istanza di accesso ai dati personali inoltrata con comunicazione pec del 18.11.2019.

Il Tribunale ha in primo luogo ricordato che il C. aveva assunto, a fondamento della sua domanda, la circostanza secondo cui quest'ultimo aveva inoltrato in data 18.11.2019, a mezzo pec, istanza di accesso ai dati personali e che la banca avesse violato il Regolamento UE 2016-679 (artt. 15 e seg. GDPR) e il D.Lgs. n. 196 del 2003, art. 7, in ordine all'obbligo di fornire riscontro completo e tempestivo a tale istanza; ha ricordato che la convenuta Ing Bank N. V., nel costituirsi in giudizio, aveva, tra l'altro, contestato di aver trattato i dati personali del C.; ha tuttavia osservato che l'attore non aveva assolto l'onere di allegazione e di prova - sullo stesso gravante, in considerazione della contestazione di parte convenuta - della sussistenza del presupposto della responsabilità di Ing Bank N. V., presupposto costituito dal possesso in capo a quest'ultima della qualità di titolare ovvero di responsabile del trattamento dei dati personali del ricorrente, con ciò dunque imponendosi il rigetto della domanda.

2. La sentenza, pubblicata il 16 febbraio 2021, è stata impugnata da C.A. con ricorso per cassazione, affidato a tre motivi.

La società intimata non ha svolto difese.

CONSIDERATO CHE

1.Con il primo motivo il ricorrente lamenta, ai sensi dell'art. 360 c.p.c., comma 1, n. 3, violazione e falsa applicazione del Regolamento Europeo n. 679 del 2016, artt. 12 e 15 e dell'art. 1175 c.c..

1.1 Il motivo è fondato.

1.2 Come correttamente osservato dal ricorrete, il Reg. UE n. 679 del 2016, art. 12 onera il soggetto destinatario della richiesta di accesso agli atti di fornire al richiedente informazioni in ordine all'esistenza dei dati personali, e ciò solo per effetto dell'istanza di accesso presentata dall'interessato.

Ne consegue che, diversamente da quanto sostenuto dal giudice di prime cure, la Ing Bank N. V. avrebbe dovuto fornire compiuto riscontro alla richiesta di accesso agli atti entro i termini previsti dalla normativa vigente (v. Reg. UE n. 2016-679, art. 12, comma 3) o quantomeno avrebbe dovuto chiedere una proroga, al fine di effettuare eventuali verifiche.

2.3 Risulta, peraltro, circostanza non controversa (e comunque accertata anche nella sentenza impugnata) che la Ing Bank N. V. non aveva riscontrato la predetta istanza di accesso agli atti, non consentendo dunque al richiedente di conoscere l'eventuale possesso dei suoi dati personali e di verificare la legittimità della procedura di raccolta degli stessi.

2.4 Va infatti chiarito che, sulla base della normativa sopra richiamata, la Ing Bank avrebbe dovuto fornire una risposta all'istanza dell'interessato, anche qualora il riscontro stesso avesse avuto un esito negativo.

Contrariamente a quanto ritenuto dal Tribunale, è il destinatario dell'istanza di accesso ai dati a dover essere considerato onerato dell'obbligo di fornire risposta in ordine al possesso o meno dei predetti dati personali e non può invece ritenersi l'istante onerato della prova di tale circostanza fattuale.

2.5 L'art. 12 del Reg. Ue sopra citato è infatti chiaro nello statuire, espressamente nel suo comma 3, che "Il titolare del trattamento fornisce all'interessato le informazioni relative all'azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il titolare del trattamento informa l'interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta. Se l'interessato presenta la richiesta mediante mezzi elettronici, le informazioni sono fornite, ove possibile, con mezzi elettronici, salvo diversa indicazione dell'interessato", aggiungendo, inoltre, al comma 4 che "Se non ottempera alla richiesta dell'interessato, il titolare del trattamento informa l'interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell'inottemperanza e della possibilità di proporre reclamo a un'autorità di controllo e di proporre ricorso giurisdizionale". Ma è peraltro il comma 5 del sopra menzionato art. 12 a precisare espressamente, e per quanto qui di interesse per la presente controversia, che "Incombe al titolare del trattamento l'onere di dimostrare il carattere manifestamente infondato o eccessivo della richiesta".

2.6 Orbene, dal tenore letterale dalla norma da ultimo citata emerge dunque chiaramente che il destinatario della richiesta di accesso ai dati deve sempre riscontrare l'istanza dell'interessato, anche in termini negativi, non potendosi trincerare dietro ad un non liquet.

La sentenza impugnata ha invece illegittimamente onerato l'istante, nella specie il C., della dimostrazione in giudizio della titolarità e del possesso da parte della Ing Bank N. V. dei dati personali che lo riguardavano, con ciò, da un lato, onerando la parte di una probatio diabolica (non essendo chiaro come il C. potesse fornire una prova siffatta) e, dall'altro, invertendo l'onere della prova che, chiaramente e per le ragioni predette, deve essere posto invece a carico del destinatario dell'istanza di accesso, il quale ha per lo meno l'obbligo di rispondere all'interessato, anche nei termini negativi sopra chiariti.

3. L'accoglimento del primo motivo determina l'assorbimento dei restanti motivi, con i quali il ricorrente deduce, nel secondo, vizio "di motivazione in relazione all'art. 360 c.p.c. n. 4" e, nel terzo, vizio di "omesso esame di fatto decisivo per il giudizio in relazione all'art. 360 c.p.c. n. 5", in relazione al mancato esame da parte del giudice di primo grado di prove documentali e testimoniali, articolate nel giudizio innanzi al Tribunale, idonee a dimostrare il possesso da parte di Ing Bank N. V. dei dati dei quali si chiedeva l'ostensione.

Occorre pertanto enunciare il seguente principio di diritto:

"In materia di trattamento dei dati personali, il soggetto onerato dell'obbligo di fornire risposta in ordine al possesso (o meno) dei dati sensibili è il destinatario dell'istanza di accesso e non invece l'istante, dovendo il primo sempre riscontrare l'istanza dell'interessato, anche in termini negativi, dichiarando espressamente di essere, o meno, in possesso dei dati di cui si richiede l'ostensione".

P.Q.M.

accoglie il primo motivo di ricorso; dichiara assorbiti i restanti motivi; cassa la sentenza impugnata e rinvia al Tribunale di Milano, in persona di diverso giudice, per la decisione anche delle spese del presente giudizio di legittimità.

Così deciso in Roma, il 24 febbraio 2023.

Depositato in Cancelleria il 4 aprile 2023.

©2024 misterlex.it - [email protected] - Privacy - P.I. 02029690472