Privacy bancaria per i c/c aperti nell'ambito di procedure esecutive o concorsuali

(avv. Giovanni Pizzigoni)

Gli adempimenti che il Regolamento UE 679/2016 (di seguito ‘GDPR’) dispone sono, come noto, i seguenti:

i – l’identificazione del cliente/interessato ([1]): nel provvedimento n. 1457247 del 25.10.2007 contenente le Linee guida per i trattamenti dati relativi al rapporto banca-cliente il Garante della Privacy ha stabilito che l’identificazione del cliente/interessato di norma avviene attraverso l’esibizione di un documento di riconoscimento, di cui può essere effettuata e conservata dalla banca una copia, o anche attraverso identificativi indiretti, quali il codice fiscale ([2]). Nel caso di molteplici rapporti che si susseguono nel tempo può essere utilizzata la documentazione in precedenza acquisita, senza ripetere ogni volta l’adempimento ([3]). I dati identificativi vanno aggiornati, ma solo “se necessario” (art. 5, comma 1, lett. d), il che per quelli relativi all’identità di una persona fisica è un caso piuttosto raro.

ii - la raccolta del consenso del cliente/interessato al trattamento dei suoi dati personali ex art. 6 GDPR: la Banca vi è tenuta qualora non ricorra una delle ipotesi che consentono il trattamento in assenza del consenso. Trattandosi di trattamento che avviene nell’ambito della negoziazione, stipulazione ed esecuzione di un contratto, a rigore non è necessario un consenso specifico ed ulteriore rispetto a quello civilistico espresso per la conclusione del contratto ([4]);

iii – l’informativa al cliente/interessato ai sensi degli art.li 13 e 14 del GDPR nel caso di molteplici trattamenti dei dati nell’ambito dello stesso contratto o anche nell’ambito di più contratti conclusi con il medesimo soggetto, l’informativa può essere rilasciata una tantum al cliente all’atto della stipulazione del primo contratto, senza bisogno di rinnovarla ogni volta in relazione ad ogni singola operazione o ad eventuali nuovi rapporti che si instaurano con la medesima parte, a meno che questi non implichino ulteriori o differenti trattamenti dei dati ([5]). Gli articoli 13, comma n. 4, e 14, comma n. 5, del GDPR dispongono infatti che l’informativa non deve essere fornita al cliente “se e nella misura in cui l’interessato dispone già delle informazioni”. Il problema di un’eventuale ulteriore informativa si pone quindi solamente nel caso in cui mutino o si aggiungano ulteriori finalità di trattamento rispetto a quelle iniziali: ad es., nel caso delel Banche cooperative quando sono entrate a far parte di un Gruppo Bancario, ai trattamenti già previsti potrebbe essere necessario aggiungere quello del trasferimento dei dati alla Holding nell’ambito dei rapporti intercompanies, che si configura come comunicazione a terzi ([6]).

Vi sono poi, in ambito bancario, specifiche ipotesi di semplificazione e di esonero dall’obbligo di fornire l’informativa, di cui dirò in seguito.

Questi sono, in sintesi, gli adempimenti cui in linea generale la Banca è tenuta all’atto della instaurazione del rapporto.

Alla luce di tali premesse si possono esaminare e risolvere i problemi che riguardano in particolare i contratti di conto corrente aperti dai delegati alla vendita, dai custodi giudiziari o dai curatori nell’ambito delle procedure esecutive e fallimentari.

Sul punto c’è una certa confusione, originata principalmente dai soggetti incaricati materialmente di aprire i rapporti di conto corrente, che del resto riflette una confusione più generale in cui si dibattono gli interpreti e gli operatori tenuti all’applicazione della normativa sulla privacy a causa dell’estensione del campo di applicazione della legge oltre che della polisemia e della genericità di alcuni dei termini e dei concetti fondamentali.

E’ opportuno esaminare distintamente le due fattispecie individuando per ognuna anzitutto chi è il soggetto che stipula il contratto di conto corrente con la Banca ed è quindi la sua controparte contrattuale.

1 – Procedure esecutive

Il conto corrente viene aperto su delega del giudice dell’esecuzione dal delegato alla vendita (notaio o altro professionista) o dal custode giudiziario, i quali operano, secondo le interpretazioni più attendibili, quali sostituti o ausiliari del tribunale ([7]).

Nell’ambito dei processi esecutivi il denaro rinveniente dal pignoramento, dalla vendita dei beni pignorati o da contratti di locazione dell’immobile espropriato deve essere depositato su un conto corrente bancario o postale nelle forme dei depositi giudiziari (cfr. art. 520, 540, 574, 591 bis c.p.c. e 162 disp. att. c.p.c) ([8]).

Si tratta di una speciale categoria di depositi vincolati aperti su disposizione dell’autorità giudiziaria

I contratti di conto corrente sono quindi intestati alla procedura esecutiva, cioè al tribunale, con la specificazione della procedura cui si riferiscono, identificata con il nome del debitore e del numero di ruolo generale delle esecuzioni.

2 - Procedure concorsuali

L’art. 34 del R.D. n. 267 del 1942 (e analogamente l’art. 131 del D. Lgs. n. 14/2019) dispone che il conto corrente deve essere “intestato alla procedura fallimentare”. Anche in questo caso il conto corrente deve essere aperto a nome del tribunale e accompagnato dalla specificazione della procedura fallimentare, identificata con la ragione sociale del debitore e quella del ruolo della procedura.

Sotto il profilo civilistico il contratto di conto corrente è quindi stipulato su ordine dell’autorità giudiziaria presso la quale pende la procedura ed è intestato alla procedura fallimentare/esecutiva, cioè al Tribunale che stipula il contratto per mezzo del soggetto incaricato (curatore, delegato alla vendita o custode) su disposizione del giudice dell’esecuzione o del giudice delegato ([9]).

Per quanto riguarda invece la privacy, al fine di individuare il soggetto interessato al trattamento dei propri dati nell’ambito di tali rapporti contrattuali ([10]), nei cui confronti la Banca è tenuta agli adempimenti dianzi analizzati, è necessario individuare quali siano i dati personali oggetto di trattamento e a chi si riferiscano.

Alcuni interpreti hanno ritenuto che trattandosi di dati trattati nell’ambito di un procedimento giudiziario il soggetto interessato al loro trattamento sarebbe l’autorità giudiziaria, cioè il tribunale.

In realtà, ciò è da escludere perché l’autorità giudiziaria è viceversa il soggetto titolare del trattamento dei dati trattati nei procedimenti giudiziari ([11]), per cui non può essere contemporaneamente anche il soggetto interessato al trattamento dei medesimi dati nell’ambito del rapporto di conto corrente aperto a latere dei procedimenti fallimentari ed esecutivi. Solo per completezza di analisi, aggiungo che, se anche si aderisse a tale filone interpretativo, la Banca non sarebbe in ogni caso tenuta ad alcun adempimento ai fini della privacy nei confronti del Tribunale, dato che si tratta di un ente pubblico, non di una persona fisica.

Interessato è invece anzitutto il soggetto sottoposto a liquidaizone giudiziale o esecutato: il conto corrente è infatti intestato alla procedura esecutiva/concorsuale identificata con il nome/ragione sociale del soggetto sottoposto a procedura concorsuale o esecutato e le somme depositate sul conto corrente sono di proprietà del medesimo sino alla distribuzione disposta dal giudice, per cui la Banca raccoglie e tratta dati riferiti all’identità oltre che dati economico-finanziari riferibili al soggetto fallito/esecutato e attinenti all’amministrazione provvisoria da parte dell’autorità giudiziaria del suo patrimonio/immobile ai fini della sua liquidazione, per cui, limitatamente al trattamento di tali dati, il soggetto sottoposto a procedura concorsuale/esecutato si deve considerare interessato.

Oltre a tale soggetto, si deve considerare interessato al trattamento dei dati personali anche il professionista persona fisica che agisce per conto del tribunale, cioè il curatore/ delegato alla vendita/ custode giudiziario: infatti l’apertura del conto implica anche la raccolta e il trattamento di alcuni loro dati (nome, firma, recapiti telefonici e di posta elettronica, indirizzo dello studio…), benché essi procedano all’apertura del conto corrente - direttamente o tramite associazioni di categoria - in qualità di sostituti/ausiliari dell’autorità giudiziaria nell’ambito di procedimenti giurisdizionali e non in nome proprio, né siano gli intestatari del conto corrente, anche se titolati ad operare su di esso, né il conto corrente registri operazioni che li riguardano direttamente.

Ne consegue, per quanto riguarda gli adempimenti relativi alla privacy:

1 - che se il soggetto sottoposto a procedura concorsuale /esecutato è una società di capitali o di persone nessun adempimento deve essere eseguito nei suoi confronti ai fini della privacy all’atto dell’apertura del conto corrente, dato che, come noto, a seguito del D.L. n. 201 del 2011 le norme sulla privacy riguardano esclusivamente le persone fisiche ([12]);

2 - se il soggetto sottoposto a procedura concorsuale è un’impresa individuale o se il soggetto esecutato è imprenditore individuale/persona fisica la normativa sulla privacy trova invece applicazione ([13]).

Trattandosi tuttavia di un contratto concluso nell’ambito di un procedimento giurisdizionale dinanzi all’autorità giudiziaria e di dati raccolti dalla banca presso terzi (curatore, delegato alla vendita, custode giudiziario), gli adempimenti relativi sono semplificati, più esattamente:

- identificazione: nel provvedimento n. 1457247 del 25.10.2007 il Garante della Privacy ha specificato che, in ragione dei principi di pertinenza, proporzionalità e non eccedenza che governano la materia, l’identificazione non implica necessariamente l’acquisizione di copia del documento di riconoscimento, ma può fondarsi anche su “atti e documenti acquisiti in precedenza anche all’atto dell’instaurazione del rapporto”, tra i quali in primis gli atti pubblici. I dati identificativi del soggetto fallito/esecutato possono perciò essere ricavati semplicemente da una copia della sentenza di liquidazione giudiziale e dell’ordinanza del Gde che nomina il delegato/custode o comunque forniti da quest’ultimo;

- consenso: non è necessario il consenso dell’interessato ex art. 6, comma n. 1, GDPR sia perché il trattamento dei dati avviene nell’ambito della stipulazione/esecuzione di un contratto sia perché il trattamento avviene nell’ambito dell’esecuzione di un compito ‘connesso all’esercizio di pubblici poteri’;

- informativa: non essendo i dati stati raccolti presso l’interessato, si applica l’art. 14 GDPR. La norma al comma 5, lett. c) esclude la necessità di comunicare all’interessato l’informativa, inter alia, nel caso in cui “l’ottenimento o la comunicazione sono espressamente previsti dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento …”: nel caso di specie la banca acquisisce i dati identificativi del soggetto sottoposto a procedura concorsuale/esecutato e quelli successivi in forza delle norme di legge dianzi citate che impongono al curatore/delegato alla vendita/custode giudiziario di depositare le somme rinvenienti dalle operazioni di liquidazione dei beni subastati su conti correnti bancari ([14]) aperti nell’ambito delle procedure esecutive e concorsuali, per cui la raccolta e il trattamento dei dati è senz’altro previsto dalla legge.

Per quanto riguarda invece il trattamento dei dati del curatore/delegato alla vendita/custode giudiziario, osservo che:

- identificazione: vale quanto detto in precedenza e, in caso di rapporti reiterati, vale una tantum la prima identificazione, senza necessità di ripeterla ogni volta. I dati vanno periodicamente aggiornati nel caso mutino (ad es. cambio recapito, cambio numero telefonico …etc);

- consenso: è implicito in quello civilistico, atteso che i dati vengono trattati in fase precontrattuale nonché di stipula ed esecuzione di un contratto, per cui non occorre un ulteriore separato consenso;

- informativa: si applica in questo caso l’art. 13 GDPR, per cui l’informativa deve essere data all’atto della accensione del primo rapporto, ma non per quelli successivi, dato che per questi ultimi l’interessato già dispone delle informazioni (art. 13, comma 4, GDPR). L’informativa, come recita l’art. 12, comma 1, del GDPR può essere fornita “per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici” e può inoltre essere “ generale, cioè fornita attraverso cartelli o forme di comunicazione di massa, quali ad esempio giornali” ([15]), per cui la cosa più semplice sarebbe pubblicarla sul vostro sito Internet, avvisando di ciò l’interessato il quale, trattandosi di professionista, è certamente dotato degli strumenti per potervi accedere ([16]).

*****

[1] Cfr. Garante della Privacy provvedimenti n. 1189435 del 27 ottobre 2005 e n. 1457247 del 25 ottobre 2007. [2] WP ex art. 29 (oggi 'European Data Protection Board’), opinion n. 4 del 2007.

[3] Garante Privacy, provvedimento n. 1457247 del 2007 cit. e provvedimento n. 1189435 del 27.10.2005.

[4] Bolognini-Pelino-Bistolfi - Il Regolamento Privacy Europeo, Milano, 2016, pp. 288-289.

[5] Cfr. Garante della Privacy, provvedimenti n. 1457247 del 25 ottobre 2007 e n. 40425 del 28 maggio 1997 cit.

[6] Cgr Provvedimento Garante Privacy n. 192 del 2011. E n 40425 del 1997.

[7] Trib. Avellino 5 2.2016 cit. Esula dal presente parere il caso del conto corrente aperto ex art. 495 c.p.c. dal debitore all’atto della presentazione della domanda di conversione del pignoramento, dato che il conto è intestato al debitore esecutato.

[8] Il danaro rimane di proprietà del debitore esecutato sino all’approvazione del progetto di riparto, ma con vincolo di indisponibilità a favore dell’autorità giudiziaria: Trib. Avellino 5.2.2012, in ww.expartecreditoris.it.

[9] Ho notato che ICCREA mentre nelle procedure esecutive indica come titolare del conto il Tribunale, nei fallimenti indica come tale il soggetto fallito, benché la legge stessa dica che il conto debba essere intestato alle procedura fallimentare. Anche in questo secondo caso a mio giudizio il titolare del conto è il Tribunale.

[10] L’interessato, ricorda la dottrina, “è tale di fatto, non è richiesta alcuna formalizzazione del medesimo”, Finocchiaro, Privacy e protezione dei dati personali, Zanichelli, 2016, p. 80.

[11] Cfr. art. Art. 2-sexiesdecies D.Lgs. n. 196 del 2003.

[12] Cfr. Considerando n. 14 GDPR. “Il presente regolamento non disciplina il trattamento dei dati personali relativi a persone giuridiche, in particolare imprese dotate di personalità giuridica, compresi il nome e la forma della persona giuridica e i suoi dati di contatto”.

[13] Per quanto riguarda le imprese individuali, dopo alcune oscillazioni l’interpretazione prevalente ritiene che esse siano equiparabili alle persone fisiche: nel provvedimento del Garante n. 217/2013 si legge infatti che “l’apposizione sui contrassegni della ragione sociale dell’azienda individuale, essendo idonea a identificare direttamente l’interessato (art. 4, comma 1, lett. b), del Codice), configura un trattamento di dati personali riguardanti le persone fisiche.” Il provvedimento riporta quindi le imprese individuali nel loro alveo naturale e cioè tra le persone fisiche meritevoli di tutela.

[14] Bolognini-Pelino-Bistolfi - Il Regolamento Privacy Europeo, cit.,\ p. 181.Al più, in analogia con quanto stabilito dal Garante per società di Business information (Provvedimento del 14 maggio 2009, “Esonero dall’informativa per l’Associazione nazionale tra le imprese di informazioni commerciali e di gestione del credito (ANCIC)”, e Provvedimento del 22 maggio 2014, “Modifica parziale del provvedimento di esonero dall’informativa per l’Associazione nazionale tra le imprese di informazioni commerciali e di gestione del credito (ANCIC)”, data la quantità di conti correnti aperti per le procedure fallimentari ed esecutive, l’informativa potrebbe essere data in forma semplificata con la pubblicazione sul sito internet di BCCBO.

[15] Finocchiaro, Op. cit., p. 141. [16] Saetta, Informativa privacy (art. 13), in https://protezionedatipersonali.it/informativa, per il quale: “E' ammessa la possibilità di pubblicare l'informativa su un sito web, inserendo il collegamento (link) a tale pagina web nella pagina principale (home) del sito web, ma anche nelle comunicazioni e nella corrispondenza, compreso la corrispondenza cartacea. Nel caso di comunicazioni postali è, però, necessario prevedere anche delle forme alternative, come ad esempio l'invio di fax a seguito di richiesta da parte degli interessati, per coloro che non hanno la possibilità di leggerla online”.

© Riproduzione Riservata