Privacy, le banche devono rispondere alle richieste di accesso ai dati personali di Francesco Machina Grifeo

Lo ha stabilito la Corte di cassazione, ordinanza n. 9313 depositata oggi, affermando un principio di diritto

Banche e istituti finanziari obbligati a rispondere alle richieste relative al trattamento dei dati personali formulate dagli interessati. La Corte di cassazione, ordinanza n. 9313 depositata oggi, affermando un principio di diritto, ha infatti chiarito che "il destinatario della richiesta di accesso ai dati deve sempre riscontrare l'istanza dell'interessato, anche in termini negativi, non potendosi trincerare dietro ad un non liquet". È stato così accolto (con rinvio) il ricorso di un privato nei confronti di una banca.



Il Tribunale di Milano, invece, aveva respinto la richiesta (inoltrata a mezzo Pec) con cui si sosteneva la violazione del Regolamento UE 2016/679 (artt. 15 e seg. GDPR) e dell'art. 7 del Dlgs 196/2003. Secondo il giudice di primo grado, infatti, l'attore non aveva fornito la prova del fatto che la banca fosse il soggetto titolare del trattamento dei dati.

Per la Prima sezione civile tuttavia "contrariamente a quanto ritenuto dal Tribunale, è il destinatario dell'istanza di accesso ai dati a dover essere considerato onerato dell'obbligo di fornire risposta in ordine al possesso o meno dei predetti dati personali e non può invece ritenersi l'istante onerato della prova di tale circostanza fattuale".

L'articolo 12 del Reg. Ue, prosegue la decisione, è infatti chiaro nello statuire, al terzo comma, che "Il titolare del trattamento fornisce all'interessato le informazioni relative all'azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il titolare del trattamento informa l'interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta. Se l'interessato presenta la richiesta mediante mezzi elettronici, le informazioni sono fornite, ove possibile, con mezzi elettronici, salvo diversa indicazione dell'interessato", aggiungendo, inoltre, al quarto comma che "Se non ottempera alla richiesta dell'interessato, il titolare del trattamento informa l'interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell'inottemperanza e della possibilità di proporre reclamo a un'autorità di controllo e di proporre ricorso giurisdizionale". Ma è il quinto comma del sempre dell'articolo 12 a precisare espressamente che "Incombe al titolare del trattamento l'onere di dimostrare il carattere manifestamente infondato o eccessivo della richiesta".

La sentenza impugnata ha dunque illegittimamente onerato l'istante della dimostrazione in giudizio della titolarità e del possesso da parte della banca dei dati personali che lo riguardavano, con ciò, da un lato, onerando la parte di una probatio diabolica (non essendo chiaro come il ricorrente potesse fornire una prova siffatta) e, dall'altro, invertendo l'onere della prova che deve essere posto invece a carico del destinatario dell'istanza di accesso, il quale ha per lo meno l'obbligo di rispondere all'interessato, anche nei termini negativi sopra chiariti.

La Cassazione ha infine enunciato il seguente principio di diritto: "In materia di trattamento dei dati personali, il soggetto onerato dell'obbligo di fornire risposta in ordine al possesso (o meno) dei dati sensibili è il destinatario dell'istanza di accesso e non invece l'istante, dovendo il primo sempre riscontrare l'istanza dell'interessato, anche in termini negativi, dichiarando espressamente di essere, o meno, in possesso dei dati di cui si richiede l'ostensione".