|
Garante per la protezione dei dati personali Provvedimento del 15 aprile 2004 IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Nella riunione odierna, in presenza del prof. Stefano Rodot, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale; Esaminato il ricorso presentato da XY nei confronti di Unicredit Banca S.p.A.; Visti gli articoli 7, 8 e 145 s. del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196); Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000; Relatore il prof. Giuseppe Santaniello; PREMESSO: L'interessato ha appreso di essere stato segnalato da Unicredit Banca S.p.A. alla "centrali rischi" privata di Crif S.p.A. per sofferenze nei pagamenti, nonch alla Centrale rischi della Banca d'Italia per "passaggio a perdita", in ordine ad una sofferenza relativa ad un finanziamento concesso nel 1997; si quindi rivolto a Unicredit Banca S.p.A. per chiedere spiegazioni in merito a tali segnalazioni, avendo provveduto, in data 30 agosto 2003, ad estinguere il debito pagando le somme residue e gli interessi ed oneri accessori a Trc s.r.l., in qualit di cessionaria del credito, come da quietanza liberatoria rilasciata da quest'ultima in data 3 ottobre 2003. Non avendo ricevuto risposta dal predetto istituto di credito, nonostante le assicurazioni circa "una rapida soluzione del problema", l'interessato ha formulato nei confronti dello stesso diverse istanze ai sensi dell'art. 13 della legge n. 675/1996, nonch degli artt. 7 e 8 del Codice entrato in vigore il 1 gennaio 2004, con le quali ha chiesto di accedere ai dati che lo riguardano detenuti dalla banca in relazione al citato prestito (con contestuale richiesta di ogni documento correlato e in particolare del contratto di finanziamento e di eventuali documenti acquisiti nel corso dell'istruttoria), compresa la comunicazione della cessione del credito a Trc s.r.l., i "pareri" e le "delibere" degli uffici interni alla banca "afferenti il passaggio a sofferenza e quello a perdita con le relative segnalazioni effettuate alla Banca d'Italia e Crif", il "tabulato delle rate" pagate "con il tasso di interesse applicato" (inclusi gli interessi moratori), i conteggi effettuati al fine di determinare l'importo totale del credito "passato a perdita" e, infine, le "schede elettroniche dei rischi" contenenti "lo scoring attribuito dalla banca". L'interessato ha altres chiesto alla banca di cancellare i dati conservati nelle predette centrali rischi. Nel ricorso proposto ai sensi dell'art. 145 del d.lg. n. 196/2003, l'interessato ha ribadito le proprie istanze. All'invito ad aderire formulato da questa Autorit in data 26 febbraio 2004 ai sensi dell'art. 149 del Codice, Unicredit Banca S.p.A ha risposto con nota anticipata via fax il 18 marzo 2004, confermando l'esistenza di dati personali del ricorrente di cui ha comunicato il contenuto mediante consegna di copia del contratto di finanziamento e relative pattuizioni, della proposta di finanziamento, del piano di ammortamento, dell'elenco delle rate non pagate poi regolarizzate, della movimentazione sofferenze/perdite, della comunicazione di cessione del credito a Trc s.r.l. datata 18 dicembre 2002. La resistente ha inoltre sostenuto: che "ogni altra informazione inerente i trattamenti effettuati" da Trc s.r.l.- societ cui il credito vantato era stato ceduto per il tramite di UniCredito Gestione Crediti S.p.A. incaricata del recupero- "dovr essere richiesta alla societ () sopra indicata"; di aver verificato che alla data del 18 marzo 2004 "la Centrale Rischi della Banca d'Italia non evidenzia pi alcuna () posizione debitoria a sofferenza ovvero tra i crediti passati a perdite"; di aver ottenuto da Crif S.p.A. l'inserimento nella banca dati dalla stessa gestita di una segnalazione "di avvenuta regolarizzazione della posizione a far tempo dal 30.08.03". CI PREMESSO IL GARANTE OSSERVA: Il ricorso verte sul trattamento dei dati effettuato da un istituto di credito in relazione ad un finanziamento. Per quanto concerne la richiesta di accesso ai dati, che non stata oggetto di idoneo riscontro, il ricorso deve essere in parte accolto. Nel corso del procedimento la resistente ha fornito copia di alcuni documenti relativi al finanziamento senza per precisare se esistono ulteriori dati personali relativi all'interessato (che pure erano stati espressamente richiesti) riferiti al rapporto contrattuale in questione, anche espressi in forma di codici o punteggi, e relativi al credito in sofferenza in seguito "passato a perdita". Unicredit Banca S.p.A., entro il termine del 20 giugno 2004, dovr pertanto integrare il parziale riscontro gi fornito, comunicando al ricorrente, in forma agevolmente comprensibile, tutti gli eventuali altri dati personali che lo riguardano oltre quelli gi comunicati, dando comunicazione anche a questa Autorit dell'avvenuto adempimento entro il medesimo termine. Per quanto riguarda invece i dati personali gi messi a disposizione del ricorrente nei predetti termini, deve essere dichiarato non luogo a provvedere ai sensi dell'art. 149, comma 2, del Codice. Va parimenti dichiarato non luogo a provvedere sul ricorso per quanto concerne la richiesta alla banca resistente di attivarsi per la cancellazione dei dati gi comunicati alla Centrali rischi della Banca d'Italia, avendo la resistente fornito al riguardo adeguato riscontro. Nel corso del procedimento la resistente ha infatti comunicato di aver verificato che la segnalazione riferita al ricorrente non pi presente presso la predetta Centrale rischi. Per quanto concerne invece la richiesta di attivarsi per la cancellazione dei dati dall'archivio di Crif S.p.A. il ricorso infine infondato. Dalla documentazione in atti risulta che l'interessato ha regolarizzato la propria posizione solo il 30 agosto 2003. La permanenza di tali dati (che sono stati aggiornati, nell'archivio di Crif S.p.A., a cura della banca resistente) non risulta allo stato eccedente rispetto alle finalit per le quali i dati sono stati raccolti o successivamente trattati. Ci anche in relazione a quanto stabilito dal Garante nel provvedimento generale in materia di c.d. "centrali rischi" private del 31 luglio 2002 (pubblicato in Boll. del Garante n. 30, pagg. 47-55 e le cui motivazioni si intendono richiamate in questa sede quale parte integrante della presente motivazione), in base al quale deve ritenersi congrua la conservazione dei dati relativi ad eventuali inadempimenti per un periodo di un anno dalla regolarizzazione, se avvenuta nel corso del finanziamento, oppure dall'estinzione, anche anticipata, del rapporto, avvenuta comunque senza perdite o residue pendenze. PER QUESTI MOTIVI IL GARANTE: a) accoglie il ricorso limitatamente alla richiesta di accesso ai dati personali ed ordina a Unicredit Banca S.p.A. di integrare i riscontri gi forniti al ricorrente nei termini di cui in motivazione; b) dichiara non luogo a provvedere sul ricorso in relazione ai dati personali gi comunicati nel corso del procedimento; c) dichiara non luogo a provvedere in ordine alla richiesta rivolta alla banca resistente di attivarsi per la cancellazione dei dati dell'interessato dalla Centrale rischi della Banca d'Italia; d) dichiara infondata la richiesta rivolta alla banca resistente di attivarsi per la cancellazione dei dati dall'archivio di Crif S.p.A. Roma, 15 aprile 2004 Il presidente Il relatore Il segretario generale |