Garante per la protezione
    dei dati personali

Provvedimento del 25 maggio 2004

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Stefano Rodot, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale;

Esaminato il ricorso presentato da XY

nei confronti di

Crif S.p.A.;

Visti gli articoli 7, 8 e 145 s. del d.lg. 30 giugno 2003, n. 196;

Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Giuseppe Santaniello;

PREMESSO:

Il ricorrente, i cui dati personali risultano censiti nella banca dati di Crif S.p.A., afferma di non aver ricevuto riscontro da parte di tale societ ad un'istanza formulata ai sensi degli artt. 7 e 8 del Codice, con la quale si era opposto per motivi legittimi al trattamento dei dati che lo riguardano relativi ad alcuni rapporti di finanziamento, revocando il consenso.

Con la medesima istanza l'interessato aveva altres chiesto la cancellazione dei dati, con attestazione dell'avvenuta comunicazione della stessa ai soggetti cui i dati erano stati comunicati o diffusi. Ulteriori richieste erano state formulate in via subordinata.

Nel ricorso proposto a questa Autorit ai sensi dell'art. 145 del Codice la ricorrente ha ribadito le proprie istanze.

A seguito dell'invito ad aderire formulato da questa Autorit in data 6 aprile 2004 ai sensi dell'art. 149 del Codice, la societ resistente, con nota inviata via fax il 28 aprile 2004, ha dichiarato:

      di aver sospeso la visibilit di tutte le posizioni relative al ricorrente attualmente censite nella propria banca dati, "come misura adottata a scopo cautelativo, al fine di apprestare idonea tutela alle ragioni dell'interessato";

      che tale misura "esclude in radice la possibilit per gli enti finanziatori aderenti alla centrale rischi di Crif di prendere conoscenza della suddetta informazione";

      di non ritenere a suo avviso legittima la revoca del consenso al trattamento dei dati manifestata e di interpretare l'istanza proposta dal ricorrente alla stregua di una sostanziale opposizione per motivi legittimi;

      di ritenere che il ricorrente non abbia dimostrato la sussistenza di "alcuna circostanza concreta che possa assurgere a motivo legittimo di opposizione al trattamento ()";

      che il trattamento in oggetto sarebbe effettuato "nel pieno rispetto dei principi di correttezza, esattezza, pertinenza e proporzionalit " previsti dall'art. 11 del Codice, in quanto le segnalazioni relative al ricorrente fanno riferimento:

                        ad un prestito personale erogato da Banca Clarima S.p.A. il 31 marzo 2000, tuttora in corso, con "segnalazione di rate non pagate" (posizione n. 1 del report);

                        ad un prestito finalizzato erogato da Agos Itafinco S.p.A. il 27 settembre 1999 ed estinto il 25 settembre 2001 senza alcuna segnalazione di insolvenze (posizione n. 2 del report);

                        ad un affidamento revolving concesso da Fiditalia S.p.A. il 23 febbraio 2001 che risulta estinto il 24 dicembre 2003 senza alcuna segnalazione di insolvenze (posizione n. 3 del report);

                        ad una richiesta di mutuo ipotecario rivolta a Banca di Roma S.p.A. il 23 aprile 2004 per la quale non sono decorsi i sei mesi di conservazione (posizione n. 4 del report);

                        infine, ad una richiesta di mutuo ipotecario rivolta a Micos Banca S.p.A. il 24 novembre 2003 per la quale non sono ancora decorsi sei mesi di conservazione (posizione n. 5 del report).

CI PREMESSO IL GARANTE OSSERVA

Il ricorso consegue all'opposizione per motivi legittimi alla permanenza presso una c.d. "centrale rischi" privata di alcuni dati personali relativi al ricorrente.

Malgrado la pluralit delle espressioni utilizzate, le istanze proposte integrano un'unica, sostanziale domanda, caratterizzata da un'opposizione per motivi legittimi all'ulteriore trattamento dei dati presso la predetta "centrale rischi", mediante loro cancellazione per effetto dell'intervenuta revoca del consenso che nel caso di specie rappresenta, allo stato, l'unico presupposto idoneo del trattamento ai sensi degli art. 23 e 24 del Codice.

Il trattamento effettuato dalla "centrale rischi" in qualit di autonomo titolare del trattamento -che, come tale, sulla base di alcuni accordi del sistema di rilevazione del rischio creditizio, ed in relazione al concreto andamento del rapporto di finanziamento monitorato dalla banca o dalla finanziaria che ha concesso il prestito, interviene sui dati personali che le sono trasmessi dagli enti segnalanti- in termini generali lecito, ma basato nella fattispecie solo sul consenso che, come detto, stato revocato.

In ordine all'opposizione in esame, conformemente a quanto disposto dal Garante in precedenti decisioni, va ritenuta congrua, quale misura necessaria a tutela dei diritti dell'interessato e in luogo dell'integrale cancellazione, quella della sospensione temporanea della comunicazione a terzi dei dati personali relativi ai prestiti personali erogati da Banca Clarima S.p.A. e Fiditalia S.p.A., nonch alle richieste di mutuo ipotecario rivolte a Micos Banca S.p.A. e Banca di Roma S.p.A. e della conseguente visibilit degli stessi nella predetta banca dati.

Crif S.p.A., nel corso del procedimento, ha attestato di aver gi adottato tale misura nelle more dell'adozione del codice deontologico previsto in materia dall'art. 117 del Codice e da connesso, eventuale provvedimento del Garante previsto dagli art. 17 e 24, comma 1, lett. g), del medesimo Codice.

Sul punto deve pertanto dichiararsi non luogo a provvedere sul ricorso ai sensi dell'art. 149, comma 2, dello stesso Codice.

In ordine alla richiesta di cancellazione degli ulteriori dati relativi al ricorrente il ricorso deve invece essere accolto.

Dal report allegato al ricorso inviato dalla resistente risulta infatti che l'ulteriore posizione relativa al ricorrente attualmente conservata nell'archivio di Crif S.p.A. si riferisce ad un prestito personale concesso da Agos Itafinco S.p.A. (posizione n. 2 del citato report), che risulta estinto nel settembre 2001 senza segnalazione di ritardi o inadempimenti. A prescindere dalla mancanza di specifiche annotazioni "negative" per il ricorrente, Crif S.p.A. non ha provato che l'ulteriore divulgazione in rete a banche e a societ finanziarie dei dati riferiti ad una posizione estinta da tempo, sia basata su un altro idoneo presupposto del trattamento ai sensi degli art. 23 e 24 del Codice diverso dal consenso. La medesima divulgazione risulta inoltre eccedente rispetto alle finalit originarie per le quali i dati furono raccolti e trattati, in violazione di quanto stabilito dall'art. 11, comma 1, lett. d), del medesimo Codice.

In parziale accoglimento del ricorso va quindi disposta, quale "misura necessaria a tutela dei diritti dell'interessato" (art. 150, comma 2, del Codice), la cancellazione dei dati che si riferiscono al finanziamento concesso da Agos Itafinco S.p.A., da effettuarsi entro il 15 luglio 2004, con la conferma di cui in dispositivo.

PER QUESTI MOTIVI IL GARANTE:

a) accoglie parzialmente il ricorso, limitatamente ai dati relativi al prestito personale erogato da Agos Itafinco S.p.A. e ordina alla resistente di cancellare i medesimi dati dalla propria banca dati accessibile a terzi entro la data del 15 luglio 2004, dando conferma a questa Autorit ed all'interessato entro lo stesso termine dell'avvenuto adempimento;

b) dichiara non luogo a provvedere sul ricorso in ordine ai restanti profili.

Roma, 25 maggio 2004

Il presidente
Rodotà

Il relatore
Santaniello

Il segretario generale
Buttarelli