Sintesi
Un’impresa che comunichi i dati personali di un soggetto a terzi ai fini dell’esecuzione di un contratto deve rispettare i principi di proporzionalità, pertinenza e non eccedenza, per cui sarà necessario condividere esclusivamente i dati personali strettamente necessari per l’adempimento dell’obbligazione contrattuale (es. una compagnia di assicurazione che comunichi al proprio assicurato di aver risarcito il danno da quest’ultimo prodotto a terzi non ha la necessità di condividere il codice IBAN dei danneggiati per raggiungere lo scopo).
Caso
Un condomino richiede l’intervento della propria compagnia di assicurazione per un danno da infiltrazioni d’acqua causato ai vicini.
Il perito incaricato dall’assicurazione effettua un sopralluogo nell’appartamento dei danneggiati e raccoglie alcuni dati personali degli stessi, tra cui l’IBAN, per la gestione della pratica.
In tale sede viene fatta sottoscrivere un’informativa privacy in cui era precisato che i dati raccolti sarebbero stati comunicati alla compagnia di assicurazione per consentire a quest’ultima di istruire la pratica.
Dopo aver liquidato il sinistro l’assicurazione, su richiesta del proprio assicurato - il danneggiante, quindi – invia una comunicazione scritta in cui lo avvisa di aver provveduto a risarcire il danno.
Tale comunicazione, tuttavia, contiene anche l’indicazione del codice IBAN dei danneggiati.
Successivamente, il danneggiante esibisce tale comunicazione durante un’assemblea di condominio e la allega al relativo verbale, diffondendo, quindi, ulteriormente i suddetti dati personali.
I condomini danneggiati, pertanto, in quella sede vengono a conoscenza del fatto che l’assicurazione aveva inviato i propri dati personali (in particolare il codice IBAN) senza aver richiesto il consenso agli interessati e, in generale, senza nessuna valida base giuridica, per cui decidono di citare in giudizio la compagnia di assicurazione per richiedere il risarcimento dei danni derivanti da trattamento illecito di dati.
L’assicurazione, dal canto suo, si difende in giudizio sostenendo che:
- la comunicazione dei dati personali dei danneggiati al condomino danneggiante è da considerarsi trattamento lecito, in quanto eseguito in adempimento del contratto di assicurazione;
- nessuna responsabilità può essere ascrivibile alla compagnia per l’ulteriore trattamento effettuato dal proprio assicurato, vale a dire l’aver prodotto l’atto di liquidazione in un’assemblea di condominio (per tale ragione, pertanto, l’assicurazione chiama in causa il proprio assicurato per essere manlevata da quest’ultimo nel caso di condanna al risarcimento dei danni).
Ordinanza
La Cassazione, con l’ordinanza n. 4475/2021, rigetta (in parte) la tesi difensiva dell’assicurazione.
In via preliminare, viene evidenziato come la condotta della compagnia sia da ritenersi illecita, in quanto il trattamento dei dati personali effettuato non rispettava i principi di “proporzionalità, pertinenza e non eccedenza” (applicando il Regolamento UE 2016/679 – cd. GDPR – saremmo in presenza di un’ipotesi di violazione del principio di “minimizzazione”).
Secondo la Suprema Corte, infatti, la compagnia di assicurazione avrebbe potuto perseguire lo scopo dichiarato - vale a dire avvisare il proprio assicurato di aver provveduto a risarcire il danno – senza comunicare allo stesso l’IBAN dei danneggiati, dato personale che avrebbe potuto essere quantomeno oscurato.
Sotto altro profilo, invece, i Giudici di legittimità hanno rilevato come la successiva divulgazione del suddetto dato personale ad opera dell’assicurato non “elide la descritta, originaria, condotta illegittima della compagnia assicuratrice”, anche se la condotta del condomino danneggiante potrebbe aver contribuito al verificarsi dei danni, per cui la chiamata in causa del terzo è da ritenersi ammissibile.