|
Garante per la protezione dei dati personali Provvedimento del 29 aprile 2004 IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Nella riunione odierna, in presenza del prof. Stefano Rodot, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale; Esaminato il ricorso presentato da XY nei confronti di Crif S.p.A.; Visti gli articoli 7, 8 e 145 s. del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196); VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000; Relatore il dott. Mauro Paissan; PREMESSO: Il ricorrente, i cui dati personali risultano censiti nella banca dati di Crif S.p.A., afferma di non aver ricevuto riscontro da parte di tale societ ad un'istanza formulata ai sensi degli artt. 7 e 8 del Codice, con la quale si era opposta per motivi legittimi al trattamento dei dati che la riguardano relativi ad alcuni rapporti di finanziamento, revocando il consenso. Con la medesima istanza l'interessato aveva altres chiesto la cancellazione dei dati, con attestazione dell'avvenuta comunicazione della stessa ai soggetti cui i dati erano stati comunicati o diffusi. Ulteriori richieste erano state formulate in via subordinata. Nel ricorso proposto a questa Autorit ai sensi dell'art. 145 del Codice la ricorrente ha ribadito le proprie istanze. A seguito dell'invito ad aderire formulato da questa Autorit in data 8 marzo 2004 ai sensi dell'art. 149 del Codice, la societ resistente, con nota inviata via fax il 5 aprile 2004, ha dichiarato: di aver sospeso la visibilit di tutte le posizioni relative al ricorrente attualmente censite nella propria banca dati, "come misura adottata a scopo cautelativo, al fine di apprestare idonea tutela alle ragioni dell'interessato"; che tale misura "esclude in radice la possibilit per gli enti finanziatori aderenti alla centrale rischi di Crif di prendere conoscenza della suddetta informazione"; di non ritenere a suo avviso legittima la revoca del consenso manifestata dal ricorrente e di interpretare l'istanza proposta alla stregua di una sostanziale opposizione per motivi legittimi; di ritenere che il ricorrente non abbia dimostrato la sussistenza di "alcuna circostanza concreta che possa assurgere a motivo legittimo di opposizione al trattamento ()"; che il trattamento in oggetto sarebbe effettuato "nel pieno rispetto dei principi di correttezza, esattezza, pertinenza e proporzionalit " previsti dall'art. 11 del Codice, in quanto le segnalazioni relative al ricorrente fanno riferimento ad un prestito finalizzato con Compass S.p.A. gi estinto senza alcuna segnalazione di insolvenze (posizione n. 1 del report) e ad una richiesta di mutuo ipotecario rivolta nel gennaio 2004 a Unicredit Banca per la casa S.p.A. (posizione n. 2 del report). La resistente ha pertanto chiesto al Garante, in ragione dell'intervenuta sospensione della visibilit dei dati, di dichiarare non luogo a provvedere sul ricorso. CI PREMESSO IL GARANTE OSSERVA: Il ricorso consegue all'opposizione per motivi legittimi alla permanenza presso una c.d. "centrale rischi" privata di alcuni dati personali relativi al ricorrente. Malgrado la pluralit delle espressioni utilizzate, le istanze proposte integrano un'unica, sostanziale domanda, caratterizzata da un'opposizione per motivi legittimi all'ulteriore trattamento dei dati presso la predetta "centrale rischi", mediante loro cancellazione per effetto dell'intervenuta revoca del consenso che nel caso di specie rappresenta, allo stato, l'unico presupposto idoneo del trattamento ai sensi degli art. 23 e 24 del Codice. Il trattamento effettuato dalla "centrale rischi" in qualit di autonomo titolare del trattamento -che, come tale, sulla base di alcuni accordi del sistema di rilevazione del rischio creditizio, ed in relazione al concreto andamento del rapporto di finanziamento monitorato dalla banca o dalla finanziaria che ha concesso il prestito, interviene sui dati personali che le sono trasmessi dagli enti segnalanti- in termini generali lecito, ma basato nella fattispecie solo sul consenso che, come detto, stato revocato. In ordine all'opposizione in esame, conformemente a quanto disposto dal Garante in precedenti decisioni, va ritenuta congrua, quale misura necessaria a tutela dei diritti dell'interessato e in luogo della integrale cancellazione, quella della sospensione temporanea della comunicazione a terzi dei dati personali relativi alla richiesta di mutuo ipotecario rivolta ad Unicredit Banca per la casa S.p.A. e della conseguente visibilit degli stessi nella predetta banca dati. Crif S.p.A., nel corso del procedimento, ha attestato di aver gi adottato tale misura nelle more dell'adozione del codice deontologico previsto in materia dall'art. 117 del Codice e da connesso, eventuale provvedimento del Garante previsto dagli art. 17 e 24, comma 1, lett. g), del medesimo Codice. Sul punto deve pertanto dichiararsi non luogo a provvedere sul ricorso ai sensi dell'art. 149, comma 2, dello stesso Codice. In ordine alla richiesta di cancellazione degli ulteriori dati relativi al ricorrente il ricorso deve invece essere accolto. Dal report allegato al ricorso inviato dalla resistente risulta infatti che l'ulteriore posizione relativa al ricorrente attualmente conservata nell'archivio di Crif S.p.A. si riferisce ad un prestito personale concesso da Compass S.p.A. che risulta estinto nell'ottobre 2002 senza segnalazione di ritardi o inadempimenti. In ragione della manifestata revoca del consenso non risulta pi lecita l'ulteriore conservazione dei dati del ricorrente riferiti a tale posizione che dovranno pertanto essere cancellati entro il 20 giugno 2004, dando conferma di tale adempimento, entro la stessa data, all'interessato ed a questa Autorit. PER QUESTI MOTIVI IL GARANTE: a) accoglie il ricorso nei termini di cui in motivazione, limitatamente ai dati relativi al prestito personale erogato da Compass S.p.A. e ordina alla resistente di cancellarli dalla banca dati accessibile a terzi entro il 20 giugno 2004, e di dare conferma a questa Autorit ed all'interessato, entro lo stesso termine, dell'avvenuto adempimento; b) dichiara non luogo a provvedere sul ricorso in ordine ai restanti profili. Roma, 29 aprile 2004 Il presidente Il relatore Il segretario generale |