La Direttiva Comunitaria per il Trattamento dei Dati personali: la sfera degli interessi e l’accesso ai dati anche per le imprese

Il dibattuto tema dell’acquisizione dell’intera documentazione relativa al rapporto bancario, fin qui principalmente vagliato attraverso il (quasi) esclusivo strumento d’indagine offerto dall’articolo 119 T.U.B., trova, in una più approfondita lettura delle Direttive Comunitarie avvicendatesi sul campo del c.d. “Codice Privacy”, sorprendenti margini di manovrabilità.

L’attuale periodo “transitorio” che vede il recepimento del nuovo Regolamento UE 2016/679 del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati – che abroga la Direttiva 95/46/CE – pubblicato in GU UE del 4.5.2016, conferma che l’ambito di protezione della norma investe anche le imprese, e non solo le persone fisiche. Infatti, nelle considerazioni (13) del nuovo Regolamento il Parlamento Europeo si raccomanda affinché “le istituzioni e gli organi dell’Unione e gli Stati membri e le loro autorità di controllo sono invitati a considerare le esigenze specifiche delle micro, piccole e medie imprese nell’applicare il presente regolamento. La nozione di micro, piccola e media impresa dovrebbe ispirarsi all’articolo 2 dell’allegato della raccomandazione 2003/361/CE della Commissione”.

La stessa raccomandazione 2003/361/CE, precisa che “conformemente agli articoli 48, 81 e 82 del Trattato, come interpretati dalla Corte di Giustizia delle Comunità europee si deve considerare impresa qualsiasi entità, a prescindere dalla forma giuridica rivestita, che svolga un’attività economica, incluse in particolare le entità che svolgono un’attività artigianale o altre attività a titolo individuale o familiare, le società di persone o le associazioni che svolgono regolarmente un’attività economica.”

Il nuovo Regolamento 2016/679 ha riconfermato infatti il tenore dell’art. 2 dell’abrogata Direttiva 95/46/CE che prevedeva che “i dati personali sono rappresentati da qualsiasi informazione concernente una persona fisica identificata o identificabile, e che si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero di identificazione o ad uno o più elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale”.

Risulta evidente che la ratio del Legislatore Europeo nel richiamare “gli elementi specifici caratteristici della identità” verte alla sfera dei dati personali della persona fisica, anche di natura economica, quindi anche a quelli concernenti le imprese controllate / collegate / compartecipate / amministrate dalla “persona fisica”.

Va inoltre ricordato che la Legge n. 98 del 21 febbraio 1989 (Pubblicata nella G. U del 20 marzo 1989 n. 66 suppl. ord.) di “Ratifica ed esecuzione della Convenzione n. 108 sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale, adottata a Strasburgo il 28 gennaio 1981” prevede:

che “Ogni Stato può, al momento della firma o del deposito del suo strumento di ratifica, di accettazione, di approvazione o di adesione, o in qualsiasi altro momento successivo, comunicare tramite dichiarazione indirizzata al Segretario Generale del Consiglio d’Europa:

1. che non applicherà la presente Convenzione a talune categorie di casellari automatizzati di dati a carattere personale di cui verrà depositata una lista. Esso tuttavia non dovrà includere in detta lista le categorie di casellari automatizzati assoggettate secondo il suo diritto interno a disposizioni relative alla protezione di dei dati. Di conseguenza, esso dovrà emendare detta lista tramite una nuova dichiarazione qualora categorie supplementari di casellari automatizzati di dati di carattere personale siano assoggettate al regime di protezione di dati;
2. che esso applicherà la presente Convenzione anche ad informazioni relative a gruppi, associazioni, fondazioni, società, cooperazioni o ad ogni altro organismo che raggruppi direttamente o indirettamente persone fisiche e che goda o meno della personalità giuridica;

Ne emerge che le indicazioni fornite dal Garante Privacy con la Newsletter n. 390 del 16 luglio 2014 con la quale l’Autorità comunicava la “perdita delle tutele in tema di protezione dei dati da parte delle persone giuridiche”, contrasta con le Direttive sopra richiamate.

Nell’esercizio di accesso ai dati personali, va ricordando che l’art. 10, comma 3 del DLgs 196/2003 precisa che “Salvo che la richiesta sia riferita ad un particolare trattamento o a specifici dati personali o categorie di dati personali, il riscontro all’interessato comprende tutti i dati personali che riguardano l’interessato comunque trattati dal titolare” e che il comma 4 del medesimo articolo prevede che “Quando l’estrazione dei dati risulta particolarmente difficoltosa il riscontro alla richiesta dell’interessato può avvenire anche attraverso l’esibizione o la consegna in copia di atti e documenti contenenti i dati personali richiesti”.

Una volta ottenuta evidenza dell’esistenza di dati personali, anche forniti in modo “intelleggibile” (come ad esempio l’estrazione di tutti i movimenti dall’inizio del rapporto bancario, mediante trasposizione su supporto cartaceo o informatico ai sensi del comma 2 di cui all’art. 10 DLgs 196/2003), è opportuno far seguire la richiesta di produzione di tutti gli estratti conto fin dall’inizio del rapporto ai sensi degli artt. 1175 e 1375 c.c., quali presidi del principio di buona fede e correttezza nell’esecuzione del contratto (Cass. civ., sent. n. 12093 del27/09/2001).