Il contenuto atipico delle informative sul trattamento dei dati personali
Nota Corte di Cassazione, ordinanza n. 34426 del 2022
Una recente pronuncia della Corte di Cassazione offre l'occasione per trattare un argomento peculiare, sia perché non largamente affrontato altrove sia perché sottovalutato nella pratica applicativa, quello del contenuto atipico delle informative di cui agli artt. 13 e 14 del Reg. UE 2016/679 (GDPR).
Nel dettaglio, con l'ordinanza n. 34426 del 2022 (Civile Sez. 3) la corte di legittimità ha affrontato la questione della validità di una disposizione contrattuale, segnatamente di natura fideiussoria, annidata all'interno del testo di una informativa sul trattamento dei dati personali, informativa che un legale aveva reso in favore di un proprio cliente in occasione dell'affidamento di plurimi patrocini legali. Per mezzo della suddetta clausola, al pagamento delle competenze professionali veniva vincolato non soltanto il cliente persona giuridica ma anche il rappresentante legale della società, in proprio. Il focus dell'ordinanza è centrato sulla validità di una siffatta clausola e precisamente sulla correttezza del suo inserimento all'interno di un testo deputato, sia formalmente che funzionalmente, alla tutela di specifici interessi, vale a dire quelli relativi al controllo sulla circolazione di informazioni di carattere personale.
Le conclusioni a cui giunge la Corte, il cui percorso argomentativo non lascia spazio a perplessità di sorta, trovano saldamente ancoraggio nell'ermeneutica tradizionale, per la quale nella ricerca della reale o effettiva volontà delle parti il criterio letterale deve essere necessariamente riguardato alla stregua degli ulteriori criteri legali d'interpretazione, quali in particolare quelli dell'interpretazione sistematica (art. 1363 c.c.), funzionale (art. 1369 c.c.) e secondo buona fede oggettiva (art. 1366 c.c.). E proprio il canone della correttezza, o buona fede oggettiva, non consente di dare ingresso a interpretazioni delle espressioni contrattuali deponenti per un significato in contrasto con la ragione pratica o causa concreta dell'accordo negoziale (cfr. Cass., 19/2/2021, n. 4571; Cass., 30/8/2019, n. 21840; Cass., Sez. Un., 8/3/2019, n. 6882).
Sulla scorta di siffatti principi, pur essendo astrattamente possibile che la dichiarazione di prestare fideiussione sia inserita in un diverso negozio (v. Cass., 30/10/2008, n. 26064; Cass., 24/06/2004, n. 11727), la Corte giunge a ritenere che l'«annegamento» all'interno di un testo avente diverse sembianze e finalità – qual è l'informativa sul trattamento dei dati personali – debba esser valutato con riferimento alle esigenze di chiarezza e comprensibilità idonee a consentire la inequivoca manifestazione di volontà richiesta per la prestazione di fideiussione ex art. 1937 c.c. (v. Cass., 24/2/2016, n. 3628; Cass., 2/4/2009, n. 8005; Cass., 30/10/2008, n. 26064) nonché con riferimento alle esigenze di "solidarietà contrattuale", di cui l'obbligo di buona fede o correttezza è espressione.
Sin qui l'aspetto principale su cui ha indagato l'ordinanza in rassegna, quello della validità e correttezza di espressioni contrattuali inserite all'interno di un documento avente altre finalità. Ma l'aspetto che interessa esaminare adesso è quello della validità di un'informativa nel cui testo sono annidate ulteriori disposizioni, semmai di natura contrattuale come nel caso di specie, validità da esaminare rispetto al fine precipuo di dare una corretta informazione all'interessato circa il trattamento dei suoi dati personali.
Com'è noto l'informativa sul trattamento dei dati personali è il documento con cui il titolare del trattamento informa l'interessato sulle finalità e modalità del trattamento medesimo. Essa rappresenta lo strumento atto a legittimare e a rendere trasparente la raccolta e l'utilizzo di dati personali. E i suoi contenuti sono elencati negli articoli 13 e 14 del Regolamento.
Come premesso, l'oggetto della censura giudiziale è altro, per cui in questa ulteriore analisi dobbiamo prendere in considerazione l'ipotesi in cui l'informativa sia completa di tutti i suoi elementi essenziali, così come prescritti dal Regolamento, e contenga altresì elementi ulteriori ed estranei alla data protection.
Ebbene, a tal fine soccorre il principio di trasparenza che permea l'intero sistema di protezione delineato dal GDPR e che troviamo declinato, con riferimento specifico all'atto dell'informativa, nell'art 12 del Regolamento, ove sono prescritte precise qualità che le informazioni e comunicazioni debbono possedere: che esse siano rese «in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro».
Tale obbligo implica che il titolare del trattamento presenti le informazioni/comunicazioni in materia di dati personali separatamente dalle informazioni di altra natura, e che attengono comunque al rapporto con l'interessato, al fine di rispettare l'onere di una informazione corrispondente ai canoni di qualità richiesti dal Regolamento unionale.In conclusione, e sulla scia della decisione in rassegna, possiamo constatare che la debolezza del principio di trasparenza risiede nella sua applicazione concreta, qualora il titolare del trattamento a cui è affidata la sua attuazione pratica adotti pratiche che ostacolino il controllo dell'interessato sulla propria sfera informazionale e, di conseguenza, quei canoni di libertà al cui presidio è posto il principio di trasparenza.
*a cura dell'avv. Gianluca Fasano, Dirigente Istituto di Ricerca ISTC-CNR
