|
Garante per la protezione dei dati personali Provvedimento del 29 aprile 2004 IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Nella riunione odierna, in presenza del prof. Stefano Rodot, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale; Esaminato il ricorso presentato da XY nei confronti di San Paolo Imi S.p.A.; Visti gli articoli 7, 8 e 145 e s. del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196); Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000; RELATORE il prof. Gaetano Rasi; PREMESSO: Il ricorrente, il quale aveva ottenuto da San Paolo Imi S.p.A. un prestito personale estinto senza residue pendenze, afferma di non aver ottenuto riscontro da parte di tale banca ad un'istanza avanzata ai sensi dell'art. 13 della legge n. 675/1996 (ora, artt. 7 e 8 del Codice, in vigore dal 1 gennaio 2004) con la quale aveva chiesto alla stessa di attivarsi per la cancellazione dei dati che lo riguardano dalla banca dati di Crif S.p.A. (cui si era gi rivolto con esito positivo per consultare i dati personali che lo riguardano conservati negli archivi della citata "centrale rischi" privata). L'interessato ha proposto pertanto ricorso a questa Autorit ai sensi dell'art. 145 del Codice ribadendo la propria istanza e chiedendo di porre a carico della controparte le spese sostenute per il procedimento. A seguito dell'invito ad aderire formulato da questa Autorit il 28 gennaio 2004 ai sensi dell'art. 149 del Codice, San Paolo Imi S.p.A., con nota anticipata via fax il 24 febbraio 2004, ha sostenuto che: i dati comunicati a Crif S.p.A. in relazione al finanziamento erogato al ricorrente il 26 aprile 1999 e regolarmente estinto il 7 febbraio 2001 sarebbero esatti; data la posizione di Crif S.p.A. -che agirebbe in qualit di "titolare" e non in qualit di "responsabile del trattamento" rispetto ai dati alla stessa comunicati dalla banca resistente, non sussistendo alcun "vincolo gerarchico" tra i due soggetti- la banca resistente non sarebbe a suo avviso "legittimata ad impartire a Crif disposizioni di sorta, n, tanto meno, ad imporre alla stessa la cancellazione di dati"; "il titolare cui competono le decisioni in ordine al trattamento" sarebbe quindi Crif S.p.A.. Con memoria datata 26 febbraio 2004 il ricorrente ha sostenuto che Crif S.p.A., contattata telefonicamente dallo stesso, avrebbe dichiarato che "per poter effettuare la cancellazione c' necessariamente bisogno della autorizzazione da parte di San Paolo Imi". Inoltre, il ricorrente ha sostenuto che proprio in ragione del "piano di sostanziale parit " fra San Paolo Imi S.p.A. e Crif S.p.A., la resistente "dovrebbe procedere alla cancellazione senza demandare a Crif l'onere della cancellazione". Con nota anticipata via fax il 7 aprile 2004, successivamente alla proroga del termine per la decisione sul ricorso disposta ai sensi dell'art. 149, comma 7, del Codice, la resistente ha sostenuto: di aver regolarmente comunicato a Crif S.p.A., "mediante flussi elettronici", l'avvenuta estinzione del finanziamento a suo tempo concesso al ricorrente, rapporto rispetto al quale non ha necessit di segnalare ulteriori variazioni; i dati personali del ricorrente trattati a suo tempo "per le finalit connesse alla concessione e gestione dei finanziamenti" vengono ora detenuti "per le finalit di mera conservazione richieste dalla legge (art. 2220 c.c.)". La resistente ha infine ulteriormente ribadito di non poter aderire alla richiesta formulata dal ricorrente, ritenendo che solo Crif S.p.A. sia "legittimata, in via autonoma, quale "titolare del trattamento, a disporre la cancellazione dei dati personali del ricorrente contenuti nella sua banca dati". CI PREMESSO IL GARANTE OSSERVA: Il ricorso concerne il trattamento dei dati personali effettuato da un istituto di credito con particolare riferimento alla richiesta di attivarsi per la cancellazione dei dati dell'interessato comunicati alla "centrali rischi" di Crif S.p.A.. Il ricorso fondato e deve essere accolto. I dati in questione sono infatti relativi ad un rapporto di finanziamento estinto il 7 febbraio 2001, nel corso del quale non si era verificato alcun ritardo o contestazione nei pagamenti. Come rilevato nel provvedimento generale di questa Autorit del 31 luglio 2002, noto alle parti (le cui motivazioni si intendono in questa sede richiamate quale parte integrante della presente motivazione), il trattamento dei predetti dati risulta eccedente rispetto alle finalit originarie per le quali i dati furono raccolti e trattati, in violazione di quanto stabilito dall'art. 11, comma 1, lett. d), del Codice. Il meccanismo di funzionamento delle c.d. "centrali rischi" private basato sul flusso di dati (e sulla loro periodica verifica) dagli enti partecipanti (banche, societ finanziarie, ecc.) alla societ (nel caso di specie Crif S.p.A.) che gestisce l'archivio della centrale stessa in qualit di autonomo titolare del trattamento (alla quale l'interessato avrebbe potuto peraltro presentare parimenti, legittimamente, un'istanza avente contenuto analogo). Nella gestione della c.d. centrale rischi, Crif S.p.A. si attiene alle indicazioni impartite dall'ente finanziatore che effettua la segnalazione originaria e che segue le successive vicende del rapporto contrattuale con l'interessato, e che aggiorna, altres, i dati (anche in caso di conferma senza variazioni), comunicando alla "centrale rischi" le periodiche variazioni da apportare. In considerazione degli specifici vincoli fra tali titolari del trattamento, contrariamente a quanto infondatamente sostenuto dalla resistente, legittima la richiesta rivolta all'istituto stesso resistente quale autonomo titolare del trattamento, volta a far attivare il soggetto stesso al fine di ottenere la cancellazione di tali dati. Risultando tale domanda fondata, in parziale accoglimento del ricorso va disposto, quale "misura necessaria a tutela dei diritti dell'interessato" (art. 150, comma 2, del Codice), che San Paolo Imi S.p.A. si attivi per la cancellazione dei dati che riguardano il ricorrente dagli archivi di Crif S.p.A., dando comunicazione a tale societ, entro il 15 giugno 2004 del contenuto della presente decisione, e provvedendo entro la stessa data a dare conferma dell'adempimento all'interessato e a questa Autorit. Per quanto concerne le spese del procedimento, in considerazione della complessit e specificit della vicenda esaminata, sussistono giusti motivi per compensare integralmente le spese fra le parti. PER QUESTI MOTIVI IL GARANTE: a) accoglie il ricorso e ordina alla resistente di attivarsi per la cancellazione dei dati del ricorrente dalla banca dati di Crif S.p.A. accessibile a terzi nei termini di cui in motivazione; b) dichiara compensate le spese fra le parti. Roma, 29 aprile 2004 Il presidente Il relatore Il segretario generale |