Segnalazione CAI: applicabilità del Codice Privacy
In caso di illegittima o comunque erronea segnalazione alla Centrale di Allarme Interbancaria, l'interessato può attivare i rimedi previsti dal Codice della privacy, volti alla cancellazione del nominativo e al risarcimento del danno.
Sul punto la giurisprudenza ha chiarito, infatti, che l'attività di "comunicazione" alla Centrale rientra nel concetto di "trattamento dei dati personali", così come definito dagli articoli 4 e 5 del Decreto Legislativo n. 196/2003 (Codice della privacy).
Ciò in quanto l'iscrizione del nome nell'archivio CAI (ad esempio di un soggetto che ha emesso un assegno bancario senza provvista) lo rende conoscibile, per tale attività, a tutti i soggetti fruitori dei dati raccolti in tale banca, vale a dire ad un numero determinato o determinabile di soggetti.
La qualificazione come "trattamento dei dati personali" comporta, in rito, l'applicabilità dell'articolo 152 del Decreto Legislativo. n. 196/2003 che nel disciplinare la tutela giurisdizionale adotta un'espressione tanto generica da consentire di sussumere nel suo ambito applicativo tutte le controversie che riguardano, comunque, l'applicazione delle disposizioni del codice privacy, e di riflesso (in quanto richiamato) l'applicabilità della disciplina para-lavoristica dell'articolo 10 del Decreto Legislativo n. 150/2011.
Azioni esperibili
Stante dunque l'applicazione del Codice privacy, l'interessato potrà:
- proporre reclamo al Garante per ottenere la cancellazione dei dati, ai sensi dell'articolo 145 del Decreto Legislativo n. 196/2003 (Codice della privacy);
- in via alternativa potrà proporre ricorso al Tribunale competente, sia per la cancellazione sia per il risarcimento dei danni, ai sensi dell'articolo 152 dello stesso Codice.
- il Codice della privacy prevede anche la possibilità di azionare un rimedio cautelare tipico (articolo 10, comma 4) che consente di sospendere in via cautelare l'efficacia esecutiva del provvedimento impugnato secondo quanto previsto dall'articolo 5 del medesimo Decreto legislativo (Tribunale La Spezia, 29 gennaio 2014, Tribunale Verona, 14 gennaio 2013; Tribunale di Salerno, 23 maggio 2012; Tribunale di Bologna, 3 maggio 2007, n. 1039).
Stante la specifica previsione di un rimedio cautelare tipico in tema di violazione dei dati personali (ivi comprese le attività di segnalazione alla CAI), è ritenuto inammissibile il ricorso ex articolo 700 del Codice di procedura civile, per difetto del requisito di "residualità".
Legittimazione passiva della Banca di Italia
Altra questione è l’individuazione del soggetto legittimato passivo, contro cui rivolgere l’azione, ossia se tale soggetto debba essere esclusivamente la banca segnalante o anche la Banca di Italia in quanto titolare dell’archivio centrale CAI.
Secondo un orientamento restrittivo, la Banca di Italia non avrebbe la legittimazione passiva non potendo essere qualificata come "titolare del trattamento" dei dati personali, in quanto soggetto pubblico a cui, relativamente alla gestione del registro C.A.I., sarebbe riservata una funzione "meramente esecutiva".
Pertanto, secondo questa tesi, l'unico soggetto contro cui rivolgere l'azione è l'Istituto bancario che ha effettuato la segnalazione, in quanto unico soggetto in concreto abilitato a gestire la segnalazione e l'iscrizione.
La Cassazione maggioritaria tuttavia è di opinione contraria, ritenendo che non è possibile distinguere vari livelli di trattamento e quindi tra un trattamento "concreto" e uno "meramente esecutivo" (Cassazione, sentenza n. 6927/2016).
Ciò in quanto l’articolo 4, comma 1 lettera g del Codice privacy (definizione di "responsabile"), indica come responsabile il soggetto (persona fisica, persona giuridica, Pubblica Amministrazione) titolare del trattamento, ovvero da lui preposto.
Orbene, la Banca d'Italia è responsabile della tenuta del registro C.A.I. ai sensi dell'articolo 10 bis Legge n. 386/1990; la stessa può senz'altro esercitare una delega a favore di un soggetto terzo (che appunto può essere un altro Istituto bancario), ma l'esercizio di tale delega non comporta uno svuotamento di potere e di responsabilità in capo soggetto preponente.
Questo principio, secondo cui i poteri in capo al delegato (o preposto) devono necessariamente sussistere anche in capo al delegante (o preponente), è ormai pacifico e consolidato, richiamando il più ampio tema della delega di funzioni, su cui la giurisprudenza si è espressa più volte, con particolare riferimento alla materia della sicurezza sui luoghi di lavoro (Decreto Legislativo n. 81/2008).
La Cassazione ritiene in conclusione che le azioni dell'interessato volte ad ottenere la rettifica o cancellazione di segnalazioni illegittime alla C.A.I. ai sensi dell’articolo 7 Codice Privacy, hanno come legittimato passivo sia l'Istituto segnalante sia la Banca d'Italia, tra i quali sussiste un litisconsorzio necessario.