Massima
Nel caso di richiesta di accesso ai dati inoltrata al titolare o al responsabile del trattamento dei dati personali ex artt. 7 ed 8, comma 1, D.Lgs. n. 196/2003 (Protezione dati personali), il termine di riscontro senza ritardo è di quindici giorni dal ricevimento della richiesta, a prescindere dal fatto che i diritti di cui all’art. 7, D.Lgs. cit. siano poi fatti valere dinanzi all’autorità giudiziaria o con ricorso al Garante ex artt. 145 e segg. D.Lgs. cit., anche in conformità a quanto previsto dall’art. 8, comma 4, del Codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti (art. 117 D.Lgs. cit.).
Commento
Gli intermediari finanziari sono molto spesso interessati dalle richieste dei clienti che intendono recuperare notizie e/o documenti su tutto ciò che afferisce i rapporti con gli stessi intrattenuti; ove per rapporti si intendono non soltanto i contratti perfezionati, in corso di esecuzione o già estinti, ma, più in generale, ogni forma ed occasione che generi un contatto, pure occasionale, tra l’intermediario ed il cliente, tale per cui l’intermediario acquisisca e conservi dati personali dello stesso cliente; come può essere, a titolo esemplificativo, nel caso di una istruttoria di affidamento conclusasi negativamente piuttosto che di segnalazioni sulla qualità dei pagamenti.
La sentenza in commento non rileva tanto per lo specifico caso trattato – perché il ricorso era dichiarato inammissibile a causa di un’omessa notifica all’intimato – quanto, piuttosto, perché la Corte riteneva di valersi della previsione dell’art. 363, comma 3, c.p.c., e, quindi, di enunciare il principio di diritto d’ufficio, essendo la questione decisa “di particolare importanza”.
Il caso, comunque, in estrema sintesi. Tizio ha notizia di una segnalazione negativa a suo carico a causa di un contratto di finanziamento con la società Alfa. Inoltra ad Alfa rituale istanza di accesso ai propri dati a mezzo fax, per ottenerne la cancellazione. L’istanza è ricevuta da Alfa e vi è prova della ricezione, ma non segue alcun concreto riscontro. Di conseguenza, Tizio esercita la tutela giurisdizionale per effetto del combinato disposto dell’art. 145 D.Lgs. 196/2003 e dell’art. 8 del c.d. Codice deontologico per i sistemi informativi privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti. La società Alfa si costituisce e produce le note informative richieste in allegato alla propria comparsa di costituzione e risposta. Tizio è soddisfatto ed il Giudice dichiara cessata la materia del contendere, spese di lite a carico di Alfa, per il principio della soccombenza virtuale. Alfa, però, propone ricorso per saltum avanti la Suprema Corte, sostenendo, tra l’altro, che aveva chiesto una pronuncia nel merito, ed in particolare l’accertamento della correttezza del proprio operato. Pronuncia che non avrà mai luce, considerata la inammissibilità del ricorso.
Ciò detto, la Corte non si arresta sulla soglia della inammissibilità e chiarisce il percorso che il cliente deve compiere per accedere alle banche dati gestite dagli intermediari. Percorso che, ad onor del vero, differisce a seconda dell’oggetto della richiesta. E qui ritengo opportuna una breve digressione, per porre in luce un aspetto un pò in ombra nell’argomentare della Corte, con specifico riferimento al sistema bancario.
Mi riferisco al fatto che, prima ancora del D.Lgs. n. 196/2003 (di seguito “Codice per la privacy”), il Testo Unico Bancario aveva disciplinato le istanze della clientela verso le Banche ai sensi dell’art. 119, comma 4, che recita: “Il cliente […] ha[nno] diritto di ottenere, a proprie spese, entro un congruo termine e comunque non oltre novanta giorni, copia della documentazione inerente a singole operazioni poste in essere negli ultimi dieci anni”. Sulla differenza tra questo diritto ed i diritti di cui all’art. 7 del Codice per la privacy si è ripetutamente espresso il Garante per la protezione dei dati personali come segue: “Il diritto di accesso ai dati personali tutelato dall’art. 7 del Codice è distinto dal diritto di accesso alla documentazione bancaria di cui all’art. 119 del testo unico in materia bancaria (d.lg. 1 settembre 1993, n. 385) […]”; “l’esercizio del diritto di accesso ai dati personali, attraverso il ricorso proposto ai sensi dell’art. 145 del Codice, deve essere garantito gratuitamente e non può essere condizionato (anche in ordine al profilo delle spese) a quanto statuito, ad altri fini, dal predetto testounico in materia di bancaria e creditizia in riferimento al distinto diritto del cliente di ottenere copia di interi atti e documenti bancari contenenti o meno dati personali” (Provvedimento del 24 aprile 2008, doc. web 1514719); ed ancora in altro Provvedimento del Garante: “[…] l’odierno ricorso viene preso in considerazione solo quale legittima richiesta di accesso, ai sensi dell’art. 7 del Codice, a tutti i dati personali relativi a un rapporto di conto corrente e a una apertura di credito specificamente individuati” (Provvedimento del 13 marzo 2008, doc. web 1502164). Dal che parsi evincere che il discrimentra le due fattispecie riposi sulla dizione letterale di “copia della documentazione inerente a singole operazioni” di cui all’art. 119, comma 4, TUB; in sostanza, se il cliente chiede copia di documenti inerenti a singole operazioni, contenenti o meno dati personali, tale richiesta ricade sotto il dominio dell’art. 119, comma 4, TUB; mentre, se il cliente chiede di acquisire tutti i dati personali inerente a determinati rapporti bancari allo stesso intestati, e cioè formula una richiesta omnicomprensiva per quei rapporti, ebbene, questa richiesta ricade sotto il dominio dell’art. 7 del Codice per la privacy, con il beneficio della gratuità dell’accesso e – come vedremo – della maggiore stringenza del termine di replica per il titolare del trattamento dei dati personali.
Fatta questa breve (ma essenziale) digressione, la Corte estende alle comunicazioni fuori dal processo il principio sancito per le comunicazioni all’interno del processo, vale a dire che la prova documentale della trasmissione e ricezione di un documento a mezzo fax produce una presunzione semplice che quelle trasmissione e ricezione siano effettivamente avvenute, onerando controparte di dimostrare “l’esistenza di elementi idonei a confutare l’avvenuta ricezione”. Così stabilito il dies a quo dal quale far decorrere il termine entro cui evadere la richiesta del cliente di accesso ai propri dati personali, la Corte problematizza questo termine, la sua esistenza e la sua durata. All’uopo richiama, innanzitutto, l’art. 8, comma 4, del Codice deontologico e di buona condotta per i sistemi informativi privati, che recita: “Il partecipante [vale a dire l’intermediario], al quale è rivolta una richiesta con cui è esercitato taluno dei diritti di cui all’articolo 7 del Codice relativamente alle informazioni creditizie registrate in un sistema, fornisce direttamente riscontro nei termini previsti dall’art. 146, commi 2 e 3 del Codice e dispone le eventuali modifiche ai dati ai sensi dell’articolo 4, comma 5. Se la richiesta è rivolta al gestore, quest’ultimo provvede anch’esso direttamente nei medesimi termini, consultando ove necessario il partecipante”; quindi, richiama l’art. 146, comma 2, cit., che, a proposito dell’interpello preventivo all’intermediario, titolare del trattamento dei dati personali, da proporsi prima di proporre ricorso al Garante ex art. 145 dello stesso Codice, recita: “Il riscontro alla richiesta da parte del titolare o del responsabile è fornito entro quindici giorni dal suo ricevimento”; ed ancora, richiama l’art. 8, comma 1, dello stesso Codice, secondo cui alla richiesta di esercizio dei diritti di cui al precedente art. 7 deve essere “fornito idoneo riscontro senza ritardo”; e giunge così la Corte alla conclusione che: “Correttamente, dunque, il giudice del merito ha fatto riferimento al termine previsto in relazione all’interpello preventivo al fine di individuare un congruo spatium deliberandi al destinatario della richiesta di accesso”, essendo, comunque, questo termine inserito nella “sezione del Codice della privacy dedicata alla <<Tutela alternativa a quella giurisdizionale>> e che l’art. 145, comma 1, prevede che <<i diritti di cui all’art. 7 possono essere fatti valere dinanzi all’autorità giudiziaria o con ricorso al Garante>>”.
In sintesi: l’intermediario dovrà fornire adeguata replica all’istanza di accesso del cliente, formulata ai sensi degli artt. 7 ed 8 del Codice per la privacy, entro e non oltre il termine di quindici giorni dalla ricezione della richiesta, qualunque sia la modalità di trasmissione dell’istanza, anche a mezzo fax, avendo cura di far prudenzialmente decorrere il calcolo del termine dalla data di avvenuta ricezione del fax, anche al fine (non ultimo) di evitare d’incorrere nella c.d. soccombenza virtuale in sede giudiziale, con conseguente condanna al pagamento delle spese di lite.
La Corte, infine, ripercorre le modalità con le quali l’intermediario deve porre a disposizione i dati personali, avendo mente, al di là della normativa di dettaglio e dei richiamati Provvedimenti esplicativi del Garante – cui si rinvia – che tale messa a disposizione deve rispettare alcuni principi fondamentali, vale a dire deve essere completa ed intelleggibile, perché nulla è più grave, nella logica della disciplina del consumatore, che offrire al cliente/consumatore un prospetto o supporto informatico pure esaustivo, ma riservato alla scienza di pochi addetti ai lavori, impedendone, di fatto, la comprensione da parte dell’istante, frustrandone, così, le esigenze sottese all’istanza formulata.