|
Garante per la protezione dei dati personali Provvedimento del 21 settembre 2004 IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Nella riunione odierna, in presenza del prof. Stefano Rodot, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale; Esaminato il ricorso presentato da XY rappresentato e difeso dall'avv. Marina Prosperi presso il cui studio ha eletto domicilio nei confronti di Crif S.p.A.; Visti gli articoli 7, 8 e 145 s. del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196); Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000; Relatore il prof. Stefano Rodot; PREMESSO: Il ricorrente, i cui dati personali risultano censiti nella banca dati di Crif S.p.A., afferma di non aver ricevuto adeguati riscontri da parte di tale societ a due istanze formulate rispettivamente il 17 maggio 2002 ed il 22 aprile 2004, con le quali aveva chiesto la cancellazione dei dati che lo riguardano relativi ad alcuni rapporti di finanziamento. In particolare, Crif S.p.A., nel riscontro fornito in data 5 maggio 2004, aveva comunicato all'interessato di aver provveduto alla sospensione della posizione relativa al prestito finalizzato erogato da Cassa di Risparmio di Bologna S.p.A., nonch alla cancellazione della posizione relativa al prestito personale concesso da Credito Italiano S.p.A.; aveva altres elencato le restanti posizioni che erano ancora visibili. Nel ricorso proposto a questa Autorit ai sensi dell'art. 145 del Codice il ricorrente ha ribadito la propria istanza, chiedendo di porre a carico del titolare del trattamento le spese del procedimento. A seguito dell'invito ad aderire formulato da questa Autorit in data 14 giugno 2004 ai sensi dell'art. 149 del Codice, la societ resistente, con nota inviata via fax il 12 luglio 2004, ha dichiarato: di aver cancellato dal proprio sistema di referenza creditizia "la segnalazione avente ad oggetto un prestito finalizzato con Cassa di Risparmio di Bologna ed estinto nel mese di maggio 2002", recante la dicitura "credito ceduto regolarizzato", e "la segnalazione avente ad oggetto una richiesta di prestito personale con il Monte dei Paschi di Siena S.p.A. in data 22.04.2004"; che, attualmente, i soli dati presenti nella banca dati della societ, "in relazione alle quali appare ancora giustificato e legittimo il trattamento (..)" ai sensi dell'art. 11 del Codice, fanno riferimento: ad un prestito personale erogato da Cassa di Risparmio di Firenze S.p.A. il 30 giugno 2004, ancora in corso (con scadenza naturale al 30 giugno 2009), senza alcuna segnalazione di insolvenza; ad una carta di credito con pagamento a saldo emessa da American Express Services Europe Limited il 12 ottobre 1997, attualmente cancellata (con ultimo addebito risalente al gennaio 2002), senza segnalazione di insolvenze; ad una richiesta di prestito personale rivolta a Consum.it il 9 luglio 2004. La resistente ha chiesto infine che le spese del procedimento siano compensate fra le parti. CI PREMESSO IL GARANTE OSSERVA: Il ricorso concerne il trattamento di dati personali effettuato da una c.d. "centrale rischi" privata. In ordine alla cancellazione dei dati relativi al prestito finalizzato erogato da Cassa di Risparmio di Bologna S.p.A., ed estinto nel maggio 2002, nonch alla richiesta di prestito personale rivolta a Banca Monte dei Paschi di Siena S.p.A. il 22 aprile 2004, va dichiarato non luogo a provvedere sul ricorso ai sensi dell'art. 149, comma 2, del Codice, avendo il titolare del trattamento fornito al riguardo un adeguato riscontro. Nel corso del procedimento, Crif S.p.A. ha infatti comunicato, con dichiarazione della cui veridicit l'autore risponde anche ai sensi dell'art. 168 del Codice ("Falsit nelle dichiarazioni e notificazioni al Garante") di aver cancellato i dati in questione dalla banca dati gestita della societ. Risulta poi legittima l'ulteriore conservazione nella banca dati di Crif S.p.A. delle informazioni relative ai rapporti sorti dopo la presentazione del ricorso in relazione al prestito personale erogato da Cassa di Risparmio di Firenze S.p.A. il 30 giugno 2004, nonch alla richiesta di prestito personale rivolta a Consum.it il 9 luglio 2004. Tali dati sono relativi ad un rapporto di finanziamento in corso, nonch ad una richiesta di finanziamento, ancora in fase istruttoria, per la quale non ancora decorso il termine semestrale di conservazione dei dati previsto dal provvedimento generale del Garante del 31 luglio 2002 in tema di c.d. "centrali rischi" private, noto alle parti, i cui principi al riguardo sono da intendersi richiamati come parte integrante della presente decisione. In ordine alla richiesta di cancellazione degli ulteriori dati relativi al ricorrente, il ricorso invece fondato e deve essere accolto. Dal report allegato al ricorso inviato dalla resistente, nonch dallo stesso riscontro di Crif S.p.A., risulta che tali dati si riferiscono ad una carta di credito emessa da American Express Services Europe Limited il 12 ottobre 1997, estinta (con ultimo addebito risalente al gennaio 2002) senza alcuna segnalazione di insolvenze. A prescindere dalla mancanza di specifiche annotazioni "negative" per il ricorrente, l'ulteriore divulgazione in rete a banche e a societ finanziarie dei dati riferiti ad una posizione estinta da tempo risulta eccedente rispetto alle finalit originarie per le quali i dati furono raccolti e trattati, in violazione di quanto stabilito dall'art. 11, comma 1, lett. d), del medesimo Codice. In parziale accoglimento del ricorso va quindi disposta, quale "misura necessaria a tutela dei diritti dell'interessato" (art. 150, comma 2, del Codice), la cancellazione dei dati che si riferiscono alla carta di credito emessa da American Express Services Europe Limited il 12 ottobre 1997, da effettuarsi entro il 30 novembre 2004, dando conferma al ricorrente ed a quest'Autorit, entro il medesimo termine, dell'avvenuto adempimento. L'ammontare delle spese sostenute nel presente procedimento determinato, ai sensi dell'art. 150, comma 3, del Codice, nella misura forfettaria di euro 250, di cui euro 25,82 per diritti di segreteria, tenuto conto degli adempimenti connessi alla redazione e presentazione del ricorso. Il medesimo ammontare posto a carico di Crif S.p.A., nella misura di euro 100, previa compensazione della restante parte, ai sensi del predetto art. 150, comma 3, per giusti motivi legati al contenuto del riscontro inviato, sia pure tardivamente, dalla resistente. PER QUESTI MOTIVI IL GARANTE: a) accoglie il ricorso per ci che concerne i dati personali riferiti alla carta di credito emessa da American Express Services Europe Limited il 12 ottobre 1997 e, "quale misura necessaria a tutela dei diritti dell'interessato" ai sensi dell'art. 150, comma 2 del Codice, ordina a Crif S.p.A. di cancellare dalla banca dati accessibile a terzi i dati in questione entro il 30 novembre 2004, con le conferme di cui in motivazione; b) dichiara non luogo a provvedere sul ricorso in ordine ai restanti profili; c) determina nella misura di 250 euro, di cui 25,82 per diritti di segreteria l'ammontare delle spese e dei diritti del procedimento che pone nella misura di 100 euro, previa compensazione della restante parte per giusti motivi, a carico di Crif S.p.A., la quale dovr liquidarlo direttamente a favore del ricorrente. Roma, 21 settembre 2004 Il presidente Il relatore Il segretario generale |