|
Garante per la protezione dei dati personali Provvedimento del 19 aprile 2004 IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI NELLA riunione odierna, in presenza del prof. Stefano Rodot, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale; Esaminato il ricorso presentato da XY nei confronti di Crif S.p.A.; Visti gli articoli 7, 8 e 145 s. del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196); Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000; Relatore il prof. Stefano Rodot; PREMESSO: Il ricorrente afferma di non aver ricevuto adeguato riscontro ad un'istanza formulata ai sensi dell'art. 13 della legge n. 675/1996 (ora, artt. 7 e 8 del Codice, in vigore dal 1 gennaio 2004), con la quale aveva chiesto a Crif S.p.A. la cancellazione dagli archivi della predetta societ dei dati che lo riguardano, opponendosi alla loro ulteriore comunicazione agli enti aderenti alla predetta "centrali rischi" privata. Nel ricorso presentato a questa Autorit ai sensi dell'art. 145 del Codice il ricorrente ha ribadito le proprie richieste. All'invito ad aderire ai sensi dell'art. 149, del Codice formulato da questa Autorit in data 23 gennaio 2004, Crif S.p.A., con nota inviata via fax il 18 febbraio 2004, ha sostenuto: che, a suo avviso, il diritto di opporsi al trattamento previsto dall'art. 7 del Codice pu essere esercitato esclusivamente per motivi legittimi di cui l'interessato non ha dimostrato la sussistenza; la cancellazione dei dati pu, sempre a suo avviso, essere richiesta solo se i dati sono trattati in violazione di legge, circostanza che parimenti non ricorrerebbe nel caso di specie. Come si evince dal report Crif allegato alla nota stessa, ad avviso della resistente il trattamento dei dati sarebbe "pertinente e proporzionato" anche in relazione ai criteri temporali di conservazione dei dati contenuti nel provvedimento generale del Garante del 31 luglio 2002 in materia di c.d. "centrali rischi" private. Le posizioni censite in banca dati in relazione all'interessato fanno infatti riferimento a: ad un finanziamento concesso da Finconsumo Banca S.p.A. il 20 agosto 2002, ancora in corso e recante la dicitura "nessuna segnalazione" (posizione n. 1 del report Crif); ad un finanziamento concesso da Agos Itafinco S.p.A. il 29 gennaio 2002 estinto nel luglio 2003 con regolarizzazione dei ritardi nei pagamenti avvenuta solo nel giugno 2003 (posizione n. 2 del report Crif); ad un mutuo ipotecario erogato da Banca popolare di Bari a r.l. il 30 ottobre 2001 ed ancora in corso con "segnalazione di rate non pagate" di cui le ultime risalenti al dicembre 2003 (posizione n. 3 del report Crif); ad un prestito finalizzato erogato da Deutsche Bank S.p.A. il 6 giugno 2001 ed estinto nel giugno 2002 con dicitura "nessuna segnalazione" (posizione n. 4 del report Crif); ad un "affidamento revolving" accordato da Fiditalia S.p.A. il 22 maggio 2002, ancora in corso e recante la dicitura "nessuna segnalazione" (posizione n. 5 del report Crif); ad una carta con pagamento rateale emessa da Fiditalia S.p.A. il 23 novembre 2001, "ancora oggi in essere ed utilizzata" con segnalazione di "ritardo nei pagamenti" (posizione n. 6 del report Crif); ad una richiesta di mutuo ipotecario a Micos Banca S.p.A. del 6 febbraio 2004, "in relazione alla quale non sono ancora decorsi i sei mesi di conservazione" (posizione n. 7 del report Crif). Con nota anticipata via fax l'8 aprile 2004, in risposta ad una formale richiesta avanzata dal Garante successivamente alla proroga del termine per la decisione sul ricorso disposta ai sensi dell'art. 149, comma 7, del Codice, la resistente ha confermato che le informazioni registrate in banca dati in relazione al finanziamento concesso da Agos Itafinco S.p.A. estinto nel luglio 2003 con regolarizzazione dei ritardi nei pagamenti avvenuta nel giugno 2003 (posizione n. 2 del report Crif) sono state rese visibili "sulla scorta delle segnalazioni effettuate direttamente" dalla citata finanziaria che " titolare del relativo rapporto contrattuale" ed alla quale potranno essere rivolte eventuali richieste di chiarimenti da parte dell'interessato. Con riferimento, invece, alla carta con pagamento rateale emessa da Fiditalia S.p.A. il 23 novembre 2001 (posizione n. 6 del report Crif) la resistente ha comunicato di aver aggiornato (data 31 gennaio 2004) la relativa posizione che risulta ad oggi estinta con "ritardi nei pagamenti" regolarizzati solo nel dicembre 2003. CI PREMESSO IL GARANTE OSSERVA: Il ricorso concerne una richiesta di cancellazione di dati personali relativi al ricorrente dalla banca dati di una c.d. "centrale rischi" privata. Per quanto concerne la richiesta di cancellazione dei dati e l'opposizione al trattamento in ordine al finanziamento concesso da Deutsche Bank S.p.A. di cui alla posizione n. 4 del report Crif, il ricorso fondato e deve essere parzialmente accolto. Tali dati si riferiscono ad un rapporto di finanziamento gi estinto nel giugno 2002 nel corso del quale non si era verificato alcun ritardo o contestazione nei pagamenti. A prescindere della mancanza di specifiche annotazioni "negative" per il ricorrente, la divulgazione in rete a banche e a societ finanziarie dei dati riferiti ad una posizione estinta da tempo risulta eccedente rispetto alle finalit originarie per le quali i dati furono raccolti e trattati, in violazione di quanto stabilito dall'art. 11, comma 1, lett. d), del Codice. Crif S.p.A. dovr pertanto cancellare i dati che si riferiscono al finanziamento concesso da Deutsche Bank S.p.A. da effettuarsi entro il 31 maggio 2004 con la conferma di cui in dispositivo. Per quanto concerne invece la richiesta di cancellazione e l'opposizione al trattamento degli ulteriori dati riferiti al ricorrente, il ricorso infondato. L'art. 7 del Codice riconosce all'interessato il diritto di ottenere la cancellazione dei soli dati trattati in violazione di legge. Dalla documentazione in atti emerge che la permanenza di tali dati nell'archivio gestito da Crif S.p.A. e la loro ulteriore divulgazione in rete agli enti aderenti alla predetta "centrale rischi" non risulta allo stato eccedente rispetto alle finalit per le quali i dati sono stati raccolti o successivamente trattati. Ci anche in relazione a quanto stabilito dal Garante nel provvedimento generale in materia di c.d. "centrali rischi" private del 31 luglio 2002 (pubblicato in Boll. del Garante n. 30, pagg. 47-55), in base al quale si ritiene congrua la conservazione dei dati relativi ad eventuali inadempimenti per un periodo di un anno dalla regolarizzazione, se avvenuta nel corso del finanziamento, oppure dall'estinzione, anche anticipata, del rapporto, avvenuta comunque senza perdite o residue pendenze. Inoltre, con riferimento ai dati relativi alle richieste di finanziamento, sempre in base a quanto disposto dal citato provvedimento, gli stessi possono essere conservati per la durata massima di sei mesi dalla registrazione dei dati, in ragione dei normali tempi di istruttoria, e comunque non oltre un mese dal c.d. "rifiuto" della richiesta stessa. PER QUESTI MOTIVI IL GARANTE: a) accoglie il ricorso limitatamente ai dati di cui al finanziamento concesso da Deutsche Bank S.p.A. e ordina alla resistente di cancellarli dalla banca dati accessibile a terzi entro il 31 maggio 2004, dando conferma a questa Autorit all'interessato entro lo stesso termine dell'avvenuto adempimento; b) dichiara il ricorso infondato in ordine alla richiesta di cancellazione e alla opposizione al trattamento nei riguardi degli altri dati relativi al ricorrente. Roma, 19 aprile 2004 Il presidente Il relatore Il segretario generale |