|
Garante per la protezione dei dati personali PROVVEDIMENTO DEL 15 OTTOBRE 2009 IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Filippo Patroni Griffi, segretario generale; VISTO il ricorso al Garante pervenuto il 25 maggio 2009 e presentato da XY, rappresentato e difeso dall'avv. Federica Schirinzi, nei confronti di Crif S.p.A., con il quale il ricorrente ha chiesto alla predetta societ di cancellare dal proprio sistema di informazioni creditizie (s.i.c.) i dati che lo riguardano riferiti a un prestito finalizzato erogato da Ducato S.p.A. in data 7 maggio 2004 e ad una carta di credito con pagamento rateale emessa da Intesa San Paolo S.p.A. in data 9 novembre 2006, rapporti entrambi estinti con regolarizzazione dei ritardi nei pagamenti. Ci in quanto, a suo avviso, non sarebbero stati correttamente aggiornati i dati presenti nei database del citato s.i.c. (dato che, ad esempio, nel report di Crif S.p.A. datato 27/02/2009 entrambi i rapporti risulterebbero ancora in fase "accordato" anzich "estinto", mentre la posizione di Intesa San Paolo S.p.A. presenterebbe ancora la segnalazione di "ritardi non regolarizzati alla data di ultimo aggiornamento (31/10/2008); rilevato che il ricorrente ha contestato, altres, la liceit del trattamento effettuato da Crif S.p.A., in particolare per non aver ricevuto dagli enti partecipanti sopra citati l'informativa sul trattamento dei dati personali ai sensi dell'art. 13 del Codice in materia di protezione dei dati personali (d.lg. 3o giugno 2003, n. 196) e dell'art. 5 del codice di deontologia e buona condotta per i sistemi informativi gestiti da soggetti privati in tema di credito al consumo, affidabilit e puntualit nei pagamenti (Provv. del Garante n. 8 del 16 novembre 2004, in Gazzetta Ufficiale 23 dicembre 2004, n. 300; d.m. 14 gennaio 2005, in Gazzetta Ufficiale 29 gennaio 2005, n. 23); rilevato, inoltre, che il ricorrente ha sostenuto di non aver ricevuto nemmeno il preavviso circa l'imminente segnalazione dei dati personali al predetto sistema di informazioni creditizie, come previsto dall'art. 4, comma 7, del codice di deontologia e buona condotta per i sistemi informativi gestiti da soggetti privati in tema di credito al consumo, affidabilit e puntualit nei pagamenti (Provv. del Garante n. 8 del 16 novembre 2004, in Gazzetta Ufficiale 23 dicembre 2004, n. 300; d.m. 14 gennaio 2005, in Gazzetta Ufficiale 29 gennaio 2005, n. 23); rilevato che il ricorrente ha, infine, chiesto di porre le spese del procedimento a carico della controparte; VISTI gli ulteriori atti d'ufficio e, in particolare, la nota del 26 maggio 2009 con la quale questa Autorit, ai sensi dell'art. 149, comma 1, del Codice, ha invitato il predetto titolare del trattamento a fornire riscontro alle richieste dell'interessato, nonch la nota del 9 luglio 2009 con la quale stata comunicata alle parti la proroga del termine per la decisione sul ricorso; VISTA la nota inviata in data 16 giugno 2009 con la quale Crif S.p.A. ha preliminarmente sostenuto che la stessa tratta esclusivamente i dati personali degli interessati che abbiano manifesto il consenso alla comunicazione dei propri dati a Crif S.p.A. stessa "ed impone agli enti partecipanti al proprio SIC un preciso obbligo contrattuale in materia di informativa e consenso"; rilevato, inoltre, che, dopo aver precisato che l'obbligo di preavviso circa la registrazione delle informazioni creditizie di tipo negativo, previsto dallo stesso codice di deontologia e di buona condotta, sarebbe, a proprio avviso, posto in capo ai singoli enti partecipanti, ha dichiarato di aver ricevuto conferma da Ducato S.p.A. che quest'ultima avrebbe provveduto a fornire "a seguito del verificarsi dei ritardi nei pagamenti, il preavviso circa l'imminente registrazione dei dati" di cui all'art. 4, comma 7, del codice deontologico di settore; rilevato, poi, che Crif S.p.A. ha anche inviato un report aggiornato al 16 giugno 2009 da cui si evince che la posizione riferita alla carta di credito con pagamento rateale emessa da Intesa San Paolo S.p.A. in data 9 novembre 2006 allo stato "risulta censita (...) senza alcuna segnalazione di insolvenze (...), per effetto dell'intervenuto aggiornamento da parte dell'ente partecipante", e che entrambi i rapporti risultano ora estinti; VISTA la memoria di replica inviata in data 22 giugno 2009 con la quale il ricorrente ha ribadito le richieste avanzate nel ricorso; VISTA la nota inviata in data 31 luglio 2009, in risposta a specifica richiesta di questa Autorit, con la quale Ducato S.p.A. ha sostenuto che i dati personali riferiti al prestito finalizzato erogato in data 7 maggio 2004 sono stati trattati e comunicati ai s.i.c. di riferimento "nei termini di cui all'informativa resa al momento della sottoscrizione del contratto stesso, previo consenso rilasciato in forma specifica dal sig. XY, nonch alla successiva integrazione" inviata all'interessato ai sensi dell'art. 13, comma 3, del codice deontologico di settore (copia della documentazione stata inviata in allegato alla nota); rilevato, inoltre, che tale societ finanziaria ha inviato copia delle lettere di "preavviso" di imminente registrazione dei dati presso i s.i.c., ripetutamente inviate al ricorrente presso l'indirizzo di residenza (la prima di tali lettere di "preavviso" datata 18 maggio 2005); rilevato, infine, che la societ finanziaria ha confermato che il finanziamento in questione "risulta essere stato estinto (...) a seguito del pagamento del 12/01/2009"; RILEVATO che la disposizione introdotta dall'art. 4, comma 7, del predetto codice di deontologia e di buona condotta prevede l'obbligo per il partecipante di fornire un preavviso all'interessato circa l'imminente registrazione dei dati in uno o pi sistemi di informazioni creditizie, al verificarsi di ritardi nei pagamenti; rilevato che, ai sensi dell'art. 13 del medesimo codice di deontologia, le misure necessarie per la sua applicazione dovevano essere adottate dai soggetti tenuti a rispettarli al pi tardi entro il 30 aprile 2005 e che pertanto, a partire da tale data, il mancato rispetto del citato art. 4, comma 7, dello stesso codice di deontologia, con riferimento alle segnalazioni di ritardi nei pagamenti di rate di finanziamenti, comporta l'illiceit del trattamento medesimo ai sensi dell'art. 12, comma 3, del Codice in materia di protezione dei dati personali; RILEVATO che, in ordine alla richiesta di cancellazione dei dati riferiti al prestito finalizzato erogato da Ducato S.p.A. in data 7 maggio 2004, allo stato della documentazione in atti, risulta essere stato fornito al ricorrente il citato preavviso di cui all'art. 4, comma 7, del codice di deontologia, e che pertanto la comunicazione dei dati personali del ricorrente da Ducato S.p.A. al s.i.c. gestito da Crif S.p.A. in relazione ai ritardi nei pagamenti del finanziamento in questione intervenuti dopo il 30 aprile 2005 stata effettuata in modo lecito; ci, in quanto Ducato S.p.A. ha, nel corso del procedimento, fornito sufficienti elementi atti a dimostrare il rispetto delle disposizioni del citato codice deontologico, anche in ordine all'invio del c.d. preavviso di inserimento nei sistemi di informazioni creditizie, attestando (con dichiarazione della cui veridicit l'autore risponde anche ai sensi dell'art. 168 del Codice "Falsit nelle dichiarazioni e notificazioni al Garante") di aver fornito all'interessato tale comunicazione; rilevato, pertanto che la richiesta di cancellazione dei dati personali in questione dal s.i.c. gestito da Crif S.p.A. deve essere dichiarata infondata, non essendo trascorsi i limiti temporali di conservazione dei dati previsti dal menzionato codice di deontologia e di buona condotta per la conservazione lecita nei predetti sistemi dei dati relativi a ritardi nei finanziamenti superiori a due rate o mesi regolarizzati da meno di 24 mesi (art. 6 del medesimo codice di deontologia e di buona condotta); RITENUTO, inoltre, in relazione alla richiesta di cancellazione dei dati personali riferiti alla carta di credito con pagamento rateale emessa da Intesa San Paolo S.p.A. in data 9 novembre 2006, di dover dichiarare non luogo a provvedere sul ricorso, ai sensi dell'art. 149, comma 2, del Codice, risultando tale posizione attualmente censita nel s.i.c. di Crif S.p.A. "senza alcuna segnalazione di insolvenza" (per effetto dell'aggiornamento fornito nel corso del procedimento dalla stessa Intesa San Paolo S.p.A.); RILEVATO che sussistono giusti motivi per compensare le spese tra le parti, anche in ragione della particolarit della vicenda esaminata; VISTA la documentazione in atti; VISTI gli artt. 145 e s. del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196); VISTE le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000; RELATORE il prof. Francesco Pizzetti; TUTTO CI PREMESSO IL GARANTE: a) dichiara infondato il ricorso in ordine alla richiesta di cancellazione dei dati formulata in riferimento al prestito finalizzato erogato da Ducato S.p.A. in data 7 maggio 2004; b) dichiara non luogo a provvedere sul ricorso in ordine alla richiesta di cancellazione dei dati formulata in riferimento alla carta di credito con pagamento rateale emessa da Intesa San Paolo S.p.A. in data 9 novembre 2006; c) dichiara compensate le spese del procedimento. Roma, 15 ottobre 2009 Il presidente Il relatore Il segretario generale |