Lo scorso Dicembre la Corte di Cassazione, dovendo occuparsi di una vicenda tra un istituto di credito ed una cliente, ha incidentalmente toccato anche una delicata questione in materia di trattamento dati. In estrema sintesi una signora ha contestato il modo in cui era stato gestito un contratto con la sua banca, ceduto a terzi: oltre alle contestazioni nello stretto merito della vicenda, la signora ha lamentato di come la stessa banca abbia violato la sua privacy, poiché i suoi dati personali sono stati messi nella disponibilità di altre persone estranee al rapporto.

Non è dato conoscere per quali ragioni il Tribunale, giudice di primo grado, avesse riconosciuto la violazione della privacy e riconosciuto alla signora un risarcimento di € 5.000,00. In ogni caso il giudice di appello aveva annullato la sentenza rilevando come, una volta eseguito il pignoramento sui beni della signora, la vicenda avesse travalicato gli stretti ambiti del rapporto debitore – creditore, coinvolgendo anche i possibili interessati all’acquisto del credito.

L’argomento è stato riproposto anche davanti alla Corte di Cassazione e la ricorrente ha lamentato che la banca avrebbe violato la normativa sulla privacy al momento della cessione del credito della Banca ad un privato. In particolare, la Banca ha segnalato la debitrice a soggetti privati "acquirenti di crediti", fornendo loro dati sensibili in ordine alla persona del debitore, alla situazione debitoria e all'abitazione della debitrice.

La Cassazione ha valutato la vicenda alla luce del D. Lgs. 196/2003 all’epoca in vigore, ma ha anche operato un interessante richiamo al GDPR. In primo luogo i giudici di Piazza Cavour hanno osservato che il trattamento dei dati personali effettuato in un’attività di recupero crediti è lecito purché avvenga nel rispetto dei criteri di minimizzazione all’uso degli stessi, applicando così uno dei parametri previsti nel nuovo regolamento europeo.

Muovendo da quello che era l’art. 3 del Decreto 196/03, laddove parlava di “principio di necessità nel trattamento dei dati”, nonché dall’art. 11 della stessa norma in ordine alla pertinenza, completezza e non eccedenza, entrambi ora abrogati, la Suprema Corte ha concluso che gli stessi principi sono oggi contenuti nel GDPR e riaffermati nell’art. 5 lett. C) dove si fa riferimento alla minimizzazione dei dati da trattare, nonché alle finalità dei trattamenti stessi.

Nessuna censura quindi alla banca che ha fornito a soggetti interessati all’acquisto di un credito i riferimenti sia del debitore, sia degli elementi identificativi del rapporto contrattuale e degli accessori oggetto della cessione. Una pronunzia che, sostanzialmente, non fa che riconfermare come, in un rapporto contrattuale, i dati possono essere oggetto di comunicazione per l’esercizio dei diritti che ne derivano in favore delle parti e, ad esempio, ben potranno essere comunicati ad un avvocato, e tramite lo stesso depositati in un Tribunale.