La Corte di Cassazione, con la recente Ordinanza del 4 aprile 2023 n. 9313 affronta il tema degli obblighi derivanti dalle istanze di accesso dei clienti ai propri dati bancari.
Il diritto di accedere ai propri dati bancari consiste nella possibilità di conoscere tutti i dati personali contenuti nei documenti in possesso dell’istituto di credito presso il quale si ha un conto corrente, un deposito titoli, ecc.
La suddetta facoltà è, tuttavia, da tenere ben distinta da altre casistiche tipiche dei rapporti con gli istituti bancari, come la semplice richiesta di un estratto conto o della lista movimenti, le quali sono peraltro regolate da fonti normative diverse.
E infatti, mentre l’accesso ai dati è disciplinato dal Regolamento UE n. 2016/679, le suddette ulteriori tipologie di accesso sono, invece, soggette alle norme del Testo Unico Bancario.
IL CASO E LA SOLUZIONE DELLA CORTE
La decisione della Corte di Cassazione prende le mosse dal ricorso presentato da un utente al Tribunale di Milano per lamentare la violazione dell’art. 15 del GDPR ad opera di un istituto bancario.
A novembre 2019, infatti, il ricorrente aveva presentato un’istanza di accesso ai dati via PEC alla banca, senza però ricevere alcun riscontro.
Il Tribunale aveva però respinto il ricorso, ritenendo che l’attore non avesse fornito la prova del fatto che la banca fosse il soggetto titolare del trattamento dei dati.
La Prima Sezione Civile della Suprema Corte ha però ritenuto di accogliere i motivi di gravame del ricorrente, specificando alcuni aspetti cardine del diritto di accesso.
In primo luogo, ha ribadito che “il destinatario della richiesta di accesso ai dati deve sempre riscontrare l’istanza dell’interessato, anche in termini negativi, non potendosi trincerare dietro ad un non liquet”.
In secondo luogo, la Cassazione ha ritenuto che il Tribunale avesse illegittimamente onerato l’utente di dimostrare in giudizio la titolarità del trattamento in capo alla banca quanto, invece, avrebbe dovuto invertire l’onere della prova, ponendolo a carico del destinatario dell’istanza di accesso.
Pertanto, la Corte di Cassazione ha enunciato un principio di diritto ai sensi del quale: “in materia di trattamento dei dati personali, il soggetto onerato dell’obbligo di fornire risposta in ordine al possesso (o meno) dei dati sensibili è il destinatario dell’istanza di accesso e non invece l’istante, dovendo il primo sempre riscontrare l’istanza dell’interessato, anche in termini negativi, dichiarando espressamente di essere, o meno, in possesso dei dati di cui si richiede l’ostensione”.
In conclusione, dunque, con l’Ordinanza n. 9313/2023 la Cassazione riprende alcuni principi del diritto di accesso ormai consolidati ai sensi dell’art. 15 del GDPR e dei provvedimenti del Garante Privacy, ribadendo che alle istanze formulate dagli interessati va dato sempre un riscontro e che, in nessun caso, possono essere semplicemente ignorate.