Persona, diritti personalità - Riservatezza, privacy -  Andrea Castiglioni - 17/05/2016

Errata segnalazione in C.A.I. e dati personali. La Banca dItalia è titolare del trattamento - Cass. 6927/2016 - Andrea Castiglioni

In caso di iscrizione illegittima di nominativi di traenti di assegni nella Centrale Allarme Interbancaria, operata da alcuni Istituti bancari segnalanti, la Banca d"Italia non si sottrae alla qualifica di titolare del trattamento dei dati personali, con tutto quanto consegue in termini di responsabilità.

 

Un società faceva ricorso (ex art. 145, Cod. della privacy, D.lgs. 30.06.2006 n. 196) al Garante della protezione dei dati personali, perchè in conseguenza di furti di assegni bancari, presentati all"incasso da ignoti (peraltro con firme palesemente false) e risultati privi di provvista, era stata iscritta segnalazione presso la Centrale Allarme Interbancaria (cd. C.A.I., istituita con l"art. 10 bis, L. 15.12.1990 n. 386 - Nuova disciplina sanzionatoria degli assegni bancari) ai danni della società stessa.
Data l"illegittimità dell"iscrizione, il Garante accoglieva il ricorso intimando sia all"Istituto bancario iscrivente, sia alla Banca d"Italia, di cancellare i dati relativi alle iscrizioni degli assegni in questione. La Banca d"Italia si opponeva avanti al Tribunale, eccependo la propria carenza di legittimazione passiva, non ritenendo corretta su di sé la qualifica di "titolare del trattamento" dei dati personali, in quanto soggetto pubblico a cui, relativamente alla gestione del registro C.A.I., sarebbe riservata una funzione "meramente esecutiva", e quindi la legittimazione a gestire la segnalazione e l'iscrizione spetterebbe soltanto agli Istituti bancari che hanno richiesto l"iscrizione medesima.
Secondo l"interpretazione autentica fornita dall"art. 4 Cod. della privacy, il "titolare del trattamento" è la persona fisica, persona giuridica o Pubblica Amministrazione, "a cui competono le decisioni in ordine alle finalità, alle modalità del trattamento dei dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza"; nonché, possiamo aggiungere, i conseguenti profili di responsabilità.
La Banca d"Italia, invocando numerose normative di settore, tentava di sostenere di essere incaricata di un mero ruolo di "esecutore materiale" delle incombenze relative alla gestione dei nominativi, eseguendo quanto i singoli Istituti bancari richiedono in quanto soggetti a diretto contatto con il titolo di pagamento scoperto.
La Corte di Cassazione statuisce che non è possibile distinguere vari livelli di trattamento, quindi tra un trattamento "concreto" e uno "meramente esecutivo". La ragione trova basi direttamente nell"art. 4, comma 1 lett. g (definizione di "responsabile"), laddove indicato come responsabile è il soggetto (persona fisica, persona giuridica, Pubblica Amministrazione) titolare del trattamento, ovvero da lui preposto. Viene osservato che la Banca d"Italia è responsabile della tenuta del registro C.A.I. ai sensi dell"art. 10 bis L. 386/1990; che può senz'altro esercitare una delega a favore di un soggetto terzo (che appunto può essere un altro Istituto bancario), ma che l'esercizio di tale delega non comporta uno svuotamento di potere e di responsabilità in capo soggetto preponente. Ed invero, ciò è dettato anche dalla logica, poiché i poteri in capo al delegato (o preposto) devono necessariamente sussistere anche in capo al delegante (o preponente), quindi richiamando quelli che sono i principi generali in tema di delega di funzioni, su cui la giurisprudenza si è espressa più volte, con particolare riferimento alla delicata materia della sicurezza sui luoghi di lavoro (regolata dal D.lgs. 81/2008).
In conclusione, le segnalazioni illegittime alla C.A.I. accadono sovente, e a tutti sono note le gravi conseguenze che possono derivare; si pensi ad un commerciante o un"impresa, ed i riflessi sulla concessione del credito a loro favore.
Ai cd. "interessati", ossia i soggetti "cui si riferiscono i dati personali" trattati (art. 4, comma 1, lett. i, Cod. Privacy), sono notoriamente riconosciuti i diritti di rettifica e cancellazione (art. 7 Cod. Privacy), e legittimato passivo, nonché responsabile e parte passiva delle obbligazioni derivanti, è anche la Banca d"Italia, unitamente agli Istituti di credito singolarmente coinvolti. Ulteriore conseguenza (ma su questo punto la sentenza non è esplicita) è anche la sussistenza di litisconsorzio necessario in caso di contenzioso.