|
Garante per la protezione dei dati personali Provvedimento del 10 giugno 2004 IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI NELLA riunione odierna, in presenza del prof. Stefano Rodot, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale; ESAMINATO il ricorso presentato da XY rappresentato e difeso dall'avv. Gisella Fazzi presso il cui studio ha eletto domicilio nei confronti di American Express Services Europe Limited; Visti gli articoli 7, 8 e 145 s. del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196); VISTE le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000; RELATORE il prof. Giuseppe Santaniello; PREMESSO L'interessato afferma di non aver ricevuto adeguato riscontro ad un'istanza formulata nei confronti di American Express Services Europe Limited ai sensi dell'art. 13 della legge n. 675/1996 (ora, artt. 7 e 8 del Codice) con la quale, lamentando la mancata emissione di una carta di credito, aveva chiesto la conferma dell'esistenza o meno di dati che lo riguardano e di ottenerne la comunicazione in forma intelligibile, nonch di conoscere l'origine dei dati oltre alla logica e alle finalit su cui si basa il loro trattamento. Ci, con specifico riferimento ai "criteri di selezione" adottati dalla societ ai fini della valutazione della richiesta della carta, alle informazioni riferite all'interessato che la stessa societ avrebbe ottenuto da alcuni enti di tutela del credito, nonch alla "valutazione definitiva emessa" dalla medesima nei riguardi dell'interessato stesso. Con nota inviata il 23 aprile 2003 la predetta societ aveva comunicato all'interessato l'elenco dei dati che lo riguardano conservati nei propri archivi. Ritenendo insoddisfacente il riscontro ottenuto, l'interessato ha proposto ricorso ai sensi dell'art. 145 del Codice con il quale ha ribadito le proprie richieste. A seguito dell'invito ad aderire formulato da questa Autorit il 21 aprile 2004, American Express Services Europe Limited, con nota inviata il 17 maggio 2004, ha dichiarato: che la logica e le finalit su cui si basa il trattamento dei dati effettuato dalla societ sono riportate nell'informativa sulla tutela dei dati personali, allegata al modulo di richiesta della carta (e che stata acclusa in copia al riscontro in questione), informativa che, ad avviso della resistente, il ricorrente "ha dato atto di aver ricevuto ed accettato con la sottoscrizione di detto modulo"; di aver fornito, nella precedente comunicazione del 15 novembre 2002, gli estremi identificativi dei titolari del trattamento dei dati (Experian Information Services S.p.A., Crif S.p.A. e Crif Servizi Informazioni S.p.A.) "le cui banche dati erano state interrogate dall'American Express in fase di rilascio della Carta" al ricorrente; di aver gi aderito alla richiesta di accesso formulata dal ricorrente fornendo allo stesso, mediante la prededente nota del 23 aprile 2004, l'elenco di tutti i dati che lo riguardano conservati nei propri archivi; che, in ogni caso, non essendo la resistente "soggetta ad alcun obbligo a contrarre" (), le valutazioni in ordine alla concessione o meno delle Carte rientrano nella sfera delle scelte imprenditoriali sulle quali la societ emittente ha assoluta discrezionalit"; che lo stesso interessato, nell'ambito di un giudizio pendente dinanzi all'autorit giudiziaria ordinaria per profili non di competenza del Garante, avrebbe attestato di aver richiesto e ricevuto le informazioni che lo riguardano da uno dei titolari del trattamento indicati come sopra dalla resistente. CI PREMESSO IL GARANTE OSSERVA Il ricorso concerne il trattamento dei dati personali effettuato da una societ per rilasciare una carta di credito. Per quanto concerne la richiesta di conoscere la logica e le finalit su cui si basa il trattamento dei dati, la societ resistente ha fornito sufficienti indicazioni in merito nel corso del procedimento, allegando copia dell'informativa rilasciata al ricorrente all'atto della richiesta della carta di credito. Parimenti, in ordine all'origine dei dati, la resistente ha confermato di averli raccolti presso l'interessato e dalle societ indicate in premessa. In ordine a tali profili, va quindi dichiarato non luogo a provvedere sul ricorso ai sensi dell'art. 149, comma 2, del Codice. Per quanto riguarda la richiesta di conoscere i dati personali, il ricorso va accolto in parte. Ci con particolare riferimento ai dati ottenuti dalle societ di cui sono stati comunicati nel corso del procedimento gli estremi identificativi (e di cui si fa cenno nella nota prodotta come allegato B al riscontro del 17 maggio 2004), nonch ai dati personali eventualmente contenuti all'interno di giudizi e valutazioni o sotto forma di punteggio sul grado di affidabilit o solvibilit, anche se espressi anche in forma negativa secondo quanto previsto dall'art. 8, comma 4, del Codice. La societ resistente (che si limitata a fornire il solo elenco delle informazioni indicate dallo stesso ricorrente nel modulo di richiesta della carta di credito), dovr comunicare all'interessato tutti gli ulteriori dati personali oltre quelli gi comunicati, espressi come si detto in forma anche "negativa", entro il termine del 15 settembre 2004, dando conferma anche a questa Autorit, entro il medesimo termine, dell'avvenuto adempimento. Per quanto concerne invece i dati personali gi messi a disposizione dell'interessato va dichiarato non luogo a provvedere sul ricorso ai sensi dell'art. 149, comma 2, del Codice. Per quanto concerne la richiesta volta a conoscere i parametri di accettazione utilizzati dalla societ riguardo al rilascio o meno delle carte di credito, il ricorso invece inammissibile. Tale richiesta, per il tenore con cui stata formulata, non si configura come esercizio dei diritti di cui all'art. 7 del Codice, il quale consente all'interessato di accedere al contenuto dei dati personali che lo riguardano (anche se espressi in forma "negativa"), e di conoscere la logica e le modalit del trattamento dei dati medesimi, ma non anche di richiedere altre notizie attinenti a criteri organizzativi e gestionali del titolare del trattamento. PER QUESTI MOTIVI IL GARANTE a) accoglie il ricorso limitatamente alla richiesta di accedere a tutti i dati personali del ricorrente diversi da quelli gi comunicati, e ordina alla societ resistente di corrispondere a tale richiesta entro il 15 settembre 2004, nei termini di cui in motivazione; b) dichiara inammissibile il ricorso in ordine alla richiesta di conoscere i parametri di accettazione utilizzati dalla resistente per il rilascio delle carte di credito; c) dichiara non luogo a provvedere sul ricorso in ordine alle restanti richieste. Roma, 10 giugno 2004 Il presidente Il relatore Il segretario generale |