|
Garante per la protezione dei dati personali Provvedimento del 7 luglio 2004 IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI NELLA riunione odierna, in presenza del prof. Stefano Rodot, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale; ESAMINATO il ricorso presentato da Roberto La Micela rappresentato e difeso dagli avv.ti Lorella Bianchi e Vincenzo Rizza presso il cui studio ha eletto domicilio nei confronti di Diners Club Italia S.p.A.; VISTA la documentazione in atti; Visti gli articoli 7, 8 e 145 e s. del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196); VISTE le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000; RELATORE il prof. Stefano Rodot; PREMESSO: L'interessato, nell'ottobre 2002, aveva esercitato il diritto di recesso dal contratto di utilizzazione della carta di credito Diners di cui era titolare restituendola alla societ emittente e saldando "ogni pendenza connessa al richiamato rapporto". Ci nonostante, l'interessato aveva continuato a ricevere gli estratti conto relativi alla carta (ormai inattiva) nei quali venivano riportati importi a debito in favore di Ace Exec. Health. -compagnia di assicurazione "con la quale non aveva mai intrattenuto alcun rapporto". Ed infatti, pur essendo stato contattato da incaricati di Diners Club Italia S.p.A. per l'offerta di una polizza sanitaria, non aveva mai accettato la proposta formulata. Dopo aver richiesto ripetutamente e senza esito spiegazioni in merito al servizio clienti, in data 2 gennaio 2004 l'interessato aveva formulato nei confronti di Diners Club Italia S.p.A. una richiesta con la quale, accanto ad alcune istanze non rientranti tra gli specifici diritti di cui all'art. 7 del Codice, aveva chiesto la comunicazione in forma intelligibile dei dati che lo riguardano, di conoscerne le modalit di trattamento ed i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o possono venirne a conoscenza. L'interessato aveva anche chiesto di cancellare i dati "anche presso i terzi cui fossero stati ceduti o comunicati". Successivamente, Ace Insurance S.A.-N.V. ("verosimilmente contattata dalla stessa Diners") aveva inviato all'interessato una comunicazione in data 28 gennaio 2004 con la quale aveva confermato di aver disposto il riaccredito dell'importo di euro 393,60 sulla carta di credito Diners. In seguito, l'interessato, in occasione del rifiuto di una richiesta di finanziamento, aveva appreso di risultare segnalato nella banca dati della "centrale rischi" CRIF, "a causa di un'asserita insolvenza nei confronti proprio della Diners". Nonostante i solleciti, Diners Club Italia S.p.A., prontamente contattata dall'interessato, non aveva adottato alcun provvedimento in merito, inviando tuttavia allo stesso un ennesimo estratto conto relativo, per, ad una carta di credito di cui mai era stato titolare. In tale estratto conto era stato peraltro nuovamente riportato l'importo a debito in favore della predetta societ di assicurazione unitamente ad una commissione per chiusura conto. In data 16 marzo 2004 l'interessato aveva ribadito le richieste gi formulate nei confronti della societ emittente, chiedendo altres di attivarsi per la cancellazione della segnalazione effettuata nei propri riguardi presso la citata centrale rischi privata. Nel ricorso presentato a questa Autorit ai sensi dell'art. 145 del Codice il ricorrente ha ribadito le istanze gi formulate ed ha chiesto che le spese del procedimento siano poste a carico della controparte. A seguito dell'invito ad aderire formulato da questa Autorit l'8 aprile 2004, Diners Club Italia S.p.A., con nota inviata via fax il 30 aprile 2004, ha precisato che: i dati detenuti dalla societ corrispondono a quelli indicati dal ricorrente nel modulo di richiesta della carta di credito Diners sottoscritto il 31 agosto 1998, allegato alla nota; il trattamento dei dati effettuato per le finalit riportate nell'informativa sul trattamento dei dati personali, pubblicata sul portale www.dinetclub.com e gi consegnata al cliente; il trattamento di alcuni dati che riguardano l'interessato sarebbe, ad avviso della resistente, imposto da specifici obblighi di legge (in particolare dalla normativa antiriciclaggio) che ne prevedono la conservazione e, in alcuni casi, la comunicazione anche successivamente all'estinzione del rapporto contrattuale; inoltre, la conservazione dei dati riferiti al ricorrente sarebbe giustificata, sempre ad avviso della resistente, dalla necessit "di svolgere alcune indagini per valutare il rischio tipico dell'operazione, anche alla luce dei rapporti pregressi con il cliente, o con altre posizioni ad esso collegate", ci nell'eventualit "che il cliente, a seguito della revoca o del rifiuto intenda comunque rinnovare la propria richiesta successivamente"; i disguidi occorsi nei rapporti con la compagnia Ace Insurance S.A. si sarebbero verificati in quanto quest'ultima avrebbe effettuato il rimborso dovuto mediante accredito sul conto carta Diners e non, invece, su un conto corrente intestato all'interessato; in ogni caso, con riguardo a tale vicenda, la resistente avrebbe svolto "solamente la funzione di strumento di pagamento dei premi successivamente addebitati per errore" dalla citata societ di assicurazioni, non potendo esserle imputata alcuna responsabilit in merito; la resistente "ha provveduto ad aggiornare la () posizione" del ricorrente "presso il proprio archivio" trasmettendo allo stesso "la liberatoria richiesta e chiedendo analogo aggiornamento alla centrale rischi"; in ragione di tali determinazioni la resistente ha quindi chiesto che il Garante dichiari non luogo a provvedere sul ricorso compensando le spese del procedimento. Con memoria inviata il 4 maggio 2004 il ricorrente ha dichiarato di ritenere inadeguato il riscontro della resistente. Con nota inviata il 15 giugno 2004, in risposta ad una richiesta avanzata da questa Autorit successivamente alla proroga del termine di decisione sul ricorso ai sensi dell'art. 149, comma 7, del Codice, la resistente ha sostenuto: che, "come riportato nell'informativa consegnata a tutti i clienti, si avvale, per le finalit connesse all'emissione di una carta di credito, dei servizi della centrale rischi privata Crif S.p.A. ai fini di tutela del credito e di prevenzione delle frodi"; di aver richiesto a Crif S.p.A., con nota in data 27 aprile 2004 acclusa in copia, la cancellazione del nominativo del ricorrente dalla banca dati gestita dalla citata centrale rischi privata e che allo stato "nessuna segnalazione relativa a carte di credito presente nell'archivio della centrale rischi". CI PREMESSO IL GARANTE OSSERVA: Il ricorso concerne il trattamento dei dati personali dell'interessato da parte di una societ che emette carte di credito in relazione ad un rapporto contrattuale intercorso con il ricorrente. In ordine alla richiesta di conoscere le modalit del trattamento ed i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza, va dichiarato non luogo a provvedere sul ricorso ai sensi dell'art. 149, comma 2, del Codice, avendo la resistente fornito, seppur solo a seguito della proposizione del ricorso, sufficienti indicazioni al riguardo attraverso il richiamo all'informativa (attualmente prevista dall'art. 13 del Codice) consegnata a suo tempo al cliente ed attualmente pubblicata sul relativo sito Internet. In ordine alla richiesta di accesso ai dati, il ricorso deve essere in parte accolto. Nel corso del procedimento la resistente, confermando l'esistenza di dati riferiti al ricorrente, si limitata a comunicare l'elenco dei dati personali contenuti nel modulo di richiesta della carta di credito a suo tempo sottoscritto dal ricorrente, di cui ha fornito copia in allegato alla nota inviata il 30 aprile 2004. La resistente ha omesso di comunicare gli ulteriori dati riferiti al rapporto contrattuale intercorso con l'interessato, n ha fornito alcuna spiegazione in ordine all'attribuzione allo stesso del numero di carta di credito, riportato nell'estratto conto del 27 febbraio 2004 depositato in atti, di cui il ricorrente ha affermato di non essere mai stato titolare. Diners Club Italia S.p.A., entro il termine del 30 settembre 2004, dovr pertanto integrare il parziale riscontro gi fornito comunicando al ricorrente tutti gli ulteriori dati che lo riguardano oltre quelli gi comunicati, e dando conferma entro il medesimo termine anche a questa Autorit dell'avvenuto adempimento. Per quanto concerne i dati personali gi messi a disposizione dell'interessato, va invece dichiarato non luogo a provvedere sul ricorso ai sensi dell'art. 149, comma 2, del Codice. E' parzialmente fondata anche la richiesta di cancellazione dei dati. L'art. 7 riconosce all'interessato il diritto di ottenere la cancellazione dei soli dati trattati in violazione di legge. Dalla documentazione in atti non risulta che la resistente abbia inizialmente trattato i dati dell'interessato in modo illecito, avendo lo stesso manifestato il proprio consenso informato in relazione al contratto in questione. Tuttavia, per quanto concerne il trattamento di dati che la resistente ritiene di dover ora conservare necessariamente, pur in presenza di un rapporto estinto, intendendo valutare l'opportunit ed il rischio di instaurare in futuro un eventuale nuovo rapporto contrattuale con l'interessato, lo stesso trattamento non risulta basato su un idoneo presupposto di liceit ai sensi degli artt. 23 e 24 del Codice e risulta inoltre eccedente in relazione alle finalit per le quali i dati furono raccolti, in violazione di quanto stabilito dall'art. 11, comma 1, lett. d), del Codice. Diners Club Italia S.p.A., sempre entro il 30 settembre 2004, dovr astenersi da ogni loro ulteriore trattamento che non sia effettivamente e specificamente previsto da puntuali obblighi di legge, cancellando i dati personali eventualmente conservati e trattati per tali ulteriori finalit, e dando conferma entro lo stesso termine anche a questa Autorit dell'avvenuto adempimento. Per quanto riguarda la richiesta di attivarsi per la cancellazione dei dati dagli archivi della "centrali rischi" privata cui i dati erano stati comunicati, va dichiarato non luogo a provvedere sul ricorso ai sensi dell'art. 149, comma 2, del Codice, avendo la resistente fornito idoneo riscontro al riguardo. Questa Autorit verificher nell'ambito di un autonomo procedimento ai sensi dell'art. 154 del Codice i presupposti di liceit del tipo di trattamento di dati in questione effettuato in termini generali da Diners Club Italia S.p.A., anche in relazione alle comunicazioni di dati a Ace Insurance S.A.-N.V.. L'ammontare delle spese sostenute nel presente procedimento determinato, ai sensi dell'art. 150, comma 3, del Codice, nella misura forfettaria di euro 250, di cui euro 25,82 per diritti di segreteria, tenuto conto degli adempimenti connessi alla redazione e presentazione del ricorso. Il medesimo ammontare posto a carico di Diners Club Italia S.p.A., nella misura di euro 200, previa compensazione della restante parte, ai sensi del predetto art. 150, comma 3, per giusti motivi legati al contenuto dei riscontri inviati dalla resistente, sia pure in modo incompleto. PER QUESTI MOTIVI, IL GARANTE DICHIARA: a) accoglie il ricorso in ordine alla richiesta di accesso ai dati personali limitatamente a quelli non ancora comunicati ed ordina a Diners Club Italia S.p.A. di integrare i riscontri gi forniti al ricorrente nei termini di cui in motivazione; b) accoglie parzialmente il ricorso in ordine alla richiesta di cancellazione dei dati personali e ordina a Diners Club Italia S.p.A. di cancellare tali dati dai propri archivi nei soli termini di cui in motivazione; c) dichiara non luogo a provvedere sul ricorso in ordine ai restanti profili; d) determina nella misura di 250 euro, di cui 25,82 per diritti di segreteria, l'ammontare delle spese e dei diritti del procedimento che pone nella misura di 200 euro, previa compensazione della restante parte per giusti motivi, a carico di Diners Club Italia S.p.A., la quale dovr liquidarlo direttamente a favore del ricorrente. Roma, 7 luglio 2004 Il presidente Il relatore Il segretario generale |