|
Garante per la protezione dei dati personali Provvedimento del 27 luglio 2004 IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI NELLA riunione odierna, in presenza del prof. Stefano Rodot, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale; Esaminato il ricorso presentato da Monica Redenti, rappresentata e difesa dall'avv. Gabriele Gianese e dal dott. Luca Di Martino presso il cui studio ha eletto domicilio nei confronti di Crif S.p.A.; Visti gli articoli 7, 8 e 145 s. del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196); Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000; Relatore il prof. Stefano Rodot; PREMESSO: L'interessata afferma di non aver ricevuto adeguato riscontro ad un'istanza formulata il 3 aprile 2004 ai sensi degli artt. 7 e 8 del Codice con la quale aveva chiesto a Crif S.p.A. la cancellazione dai relativi archivi di alcuni dati che la riguardano (posizioni da 1 a 3 del report Crif del 28 ottobre 2003), nonch l'attestazione che tale operazione era stata portata a conoscenza di coloro cui i dati erano stati comunicati o diffusi. L'interessata aveva inoltre chiesto di conoscere gli estremi identificativi del titolare e del responsabile del trattamento, nonch i soggetti cui i dati possono essere comunicati o che possono venirne a conoscenza. Con nota in data 9 aprile 2004 Crif S.p.A. aveva comunicato all'interessata che, rispetto ai dati riferiti alla posizione n. 1 del citato report, era stata sospesa la visibilit, mentre i dati riferiti alla posizione n. 2 del medesimo report non erano pi presenti nei propri archivi. Crif S.p.A. aveva anche asserito che nei propri archivi risultava, a suo avviso, un'unica posizione relativa ad una richiesta di prestito finalizzato rivolta a Sava S.p.A. il 28 ottobre 2003, ancora in stato di istruttoria. Nel ricorso presentato a questa Autorit ai sensi dell'art. 145 del Codice, la ricorrente ha ribadito le richieste volte ad ottenere la cancellazione dei dati, la menzionata attestazione e l'indicazione dei soggetti ai quali i dati possono essere comunicati; ha presentato altres nuove richieste volte a conoscere l'origine dei dati, le finalit e le modalit del trattamento. In particolare, la ricorrente ha sostenuto che la raccolta e la conservazione dei dati che la riguardano da parte di Crif S.p.A. non sarebbe lecita in quanto, non avendo la societ fornito la prescritta informativa sul trattamento dei dati personali, il consenso sarebbe invalido. La ricorrente ha anche chiesto di porre a carico della resistente le spese sostenute per il procedimento. All'invito ad aderire formulato ai sensi dell'art. 149 del Codice da questa Autorit in data 29 aprile 2004, Crif S.p.A., con fax inviato il 24 maggio 2004, ha ribadito che i dati riferiti alle posizioni nn. 2 e 3 del citato report, nonch alla richiesta di prestito finalizzato rivolta a Sava S.p.A. il 28 ottobre 2003, non sono allo stato pi censiti "nella banca dati di CRIF per intervenuta cancellazione". La resistente ha inoltre sostenuto che il trattamento dei dati allo stato presenti nel sistema di referenza creditizia era stato comunque effettuato "nel rispetto del principio di proporzionalit sancito dall'articolo 11, comma 1, lett. e), del d.lg. 196/03 ed anche in eventuale applicazione dei criteri guida temporali indicati dall'Autorit Garante nel Provvedimento Generale in materia di centrali rischi private del 31.07.02". I dati residui sono infatti riferiti unicamente ad un prestito finalizzato erogato da Agos Itafinco S.p.A. l'8 giugno 2000 ed estinto il 7 marzo 2002 con segnalazione di "ritardi nei pagamenti gi regolarizzati". La resistente ritiene inoltre di essere legittimata a trattarli in virt del consenso al trattamento raccolto per conto di Crif S.p.A. dall'ente finanziatore aderente alla centrale rischi, dopo il rilascio di idonea informativa. Crif S.p.A., nel riscontrare le ulteriori richieste dell'interessata, ha altres precisato che le categorie dei soggetti ai quali i dati personali possono essere comunicati "sono rappresentate, ad oggi, da banche, societ finanziarie, societ di telecomunicazioni aderenti al sistema di referenza creditizia di Crif"; infine, ha fornito alcune indicazioni in ordine all'origine dei dati (menzionando all'interno di ogni singola posizione l'ente che ha inserito i relativi dati), alle finalit ("prevenzione e controllo del rischio di insolvenza oltre che referenza creditizia"), nonch alle modalit del trattamento dei dati automatizzate e cartacee. Con memoria inviata il 31 maggio 2004 la ricorrente ha ribadito la richiesta di cancellazione con riferimento ai dati tuttora detenuti da Crif S.p.A.. Ci in quanto il finanziamento cui si riferiscono sarebbe stato estinto il 7 marzo 2002 "con la soddisfazione integrale dei diritti del creditore" e sarebbe "abbondantemente trascorso il termine annuale dall'avvenuta regolarizzazione del rapporto". Con nota in data 7 luglio 2004 Agos Itafinco S.p.A., in risposta ad una formale richiesta di questa Autorit ai sensi degli artt. 150, comma 2, e 157 del Codice, ha fornito copia del documento recante la dichiarazione di consenso al trattamento dei dati personali a suo tempo manifestato dalla ricorrente nei propri confronti; ci, anche in riferimento alla comunicazione dei dati ad enti di tutela del credito. CI PREMESSO IL GARANTE OSSERVA: Il ricorso concerne il trattamento dei dati effettuato da una c.d. "centrale rischi" privata. In ordine alle richieste volte a conoscere l'origine dei dati, le finalit e le modalit del trattamento (alle quali sono stati comunque forniti sufficienti riscontri) il ricorso inammissibile, essendo state tali istanze formulate per la prima volta solo in sede di ricorso, anzich nell'interpello ex art. 8 del Codice inoltrato al titolare del trattamento. In ordine alla richiesta di conoscere i soggetti o le categorie di soggetti cui i dati possono essere comunicati o che possono venirne a conoscenza, va dichiarato non luogo a provvedere sul ricorso ai sensi dell'art. 149, comma 2, del Codice avendo la resistente fornito adeguato riscontro. In ordine alla richiesta di cancellare i dati riferiti alle richieste di finanziamento rivolte a Fiditalia S.p.A., Banca Popolare di Novara S.p.A. e Sava S.p.A. rispettivamente il 1 luglio 2003, 22 ottobre 2003 e il 28 ottobre 2003, va parimenti dichiarato non luogo a provvedere sul ricorso ai sensi dell'art. 149, comma 2, del Codice, avendo il titolare del trattamento fornito al riguardo adeguato riscontro confermando di aver cancellato i dati riferiti alle predette richieste. In ordine alla richiesta di cancellazione dei dati ed alla relativa attestazione il ricorso deve essere invece accolto in relazione agli ulteriori dati tuttora detenuti da Crif S.p.A. Dal report allegato al ricorso inviato dalla resistente, nonch dallo stesso riscontro di Crif S.p.A., risulta che l'unica posizione relativa alla ricorrente attualmente conservata nell'archivio di Crif S.p.A. si riferisce ad un prestito finalizzato concesso da Agos Itafinco S.p.A. l'8 giugno 2000 ed estinto il 7 marzo 2002, senza pendenze o debiti residui. Pertanto, essendo trascorso oltre un anno dall'avvenuta regolarizzazione della posizione debitoria, l'ulteriore divulgazione in rete a banche e a societ finanziarie di dati risulta eccedente rispetto alle finalit originarie per le quali i dati furono raccolti e trattati, in violazione di quanto stabilito dall'art. 11, comma 1, lett. d), del medesimo Codice. Ci, anche in relazione a quanto disposto nel provvedimento generale in tema di c.d. "centrali rischi private" adottato da questa Autorit il 31 luglio 2002, noto alle parti, i cui principi al riguardo sono da intendersi richiamati come parte integrante della presente decisione. In parziale accoglimento del ricorso va quindi disposta, quale "misura necessaria a tutela dei diritti dell'interessato" (art. 150, comma 2, del Codice), la cancellazione dei dati che si riferiscono al finanziamento concesso da Agos Itafinco S.p.A., da effettuarsi entro il 31 ottobre 2004. Entro il medesimo termine, la resistente dovr confermare alla ricorrente l'avvenuta cancellazione dei dati in questione e fornirle la richiesta attestazione che la cancellazione stata portata a conoscenza dei soggetti cui i dati erano stati comunicati, dando conferma di tale duplice riscontro anche a questa Autorit. L'ammontare delle spese sostenute nel presente procedimento determinato, ai sensi dell'art. 150, comma 3, del Codice, nella misura forfettaria di euro 250, di cui euro 25,82 per diritti di segreteria, tenuto conto degli adempimenti connessi alla redazione e presentazione del ricorso. Il medesimo ammontare posto a carico di Crif S.p.A., nella misura di euro 200, previa compensazione della restante parte, ai sensi del predetto art. 150, comma 3, per giusti motivi legati al contenuto del riscontro inviato dalla resistente. PER QUESTI MOTIVI IL GARANTE: a) dichiara inammissibile il ricorso in ordine alla richiesta di conoscere l'origine dei dati, nonch le finalit e le modalit del trattamento; b) accoglie il ricorso limitatamente alla richiesta di cancellare i dati e di attestare tale cancellazione ed ordina alla resistente di cancellare dalla propria banca dati accessibile a terzi i dati personali tuttora conservati in relazione alla ricorrente e di fornire la medesima attestazione, entro il 31 ottobre 2004, nei termini di cui in motivazione; c) dichiara non luogo a provvedere sul ricorso in relazione ai restanti profili; d) determina nella misura di 250 euro, di cui 25,82 per diritti di segreteria, l'ammontare delle spese e dei diritti del procedimento che pone nella misura di 200 euro, previa compensazione della restante parte per giusti motivi, a carico di Crif S.p.A., la quale dovr liquidarlo direttamente a favore della ricorrente. Roma, 27 luglio 2004 Il presidente Il relatore Il segretario generale |