|
Garante per la protezione dei dati personali Provvedimento del 8 novembre 2004 IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI NELLA riunione odierna, in presenza del prof. Stefano Rodot, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale; Esaminato il ricorso presentato da Agostino Polito, rappresentato e difeso dall'avv. Gabriele Gianese e dal dott. Luca Di Martino presso il cui studio ha eletto domicilio nei confronti di Crif S.p.A.; Visti gli articoli 7, 8 e 145 s. del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196); Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000; Relatore il prof. Stefano Rodot; PREMESSO: Il ricorrente, i cui dati personali risultano censiti nella banca dati di Crif S.p.A., afferma di non aver ricevuto adeguato riscontro da parte di tale societ ad un'istanza formulata ai sensi degli artt. 7 e 8 del Codice, con la quale si era opposto per motivi legittimi al trattamento dei dati che lo riguardano contenuti nell'archivio della predetta societ, revocando il consenso e chiedendo la loro cancellazione. Nel ricorso proposto a questa Autorit ai sensi dell'art. 145 del Codice il ricorrente ha ribadito la richiesta volta ad ottenere la cancellazione dei dati riferiti ad un mutuo ipotecario erogato da Banca Popolare di Milano Soc. coop. a r.l. ed estinto l'11 agosto 2003, recante la segnalazione di "sofferenza gi regolarizzata", nonch alla carta di credito a saldo accordata da Banca di Roma S.p.A. il 30 marzo 2000. Il ricorrente ha presentato altres nuove richieste volte ad ottenere l'attestazione che l'operazione di cancellazione stata portata a conoscenza di coloro cui i dati erano stati comunicati o diffusi, a conoscere l'origine, le finalit e le modalit del trattamento, nonch i soggetti cui i dati possono essere comunicati o che possono venirne a conoscenza. Il ricorrente ha sostenuto che la raccolta e la conservazione dei dati che lo riguardano da parte di Crif S.p.A. non sarebbe lecita per invalidit del consenso (peraltro espressamente revocato), non avendo le societ che hanno concesso i finanziamenti fornito la prescritta informativa sul trattamento. Il ricorrente ha anche chiesto di porre a carico della controparte le spese sostenute per il procedimento. All'invito ad aderire formulato ai sensi dell'art. 149 del Codice da questa Autorit in data 24 giugno 2004, Crif S.p.A., con fax inviato il 22 luglio 2004, ha comunicato di aver cancellato la posizione relativa al mutuo ipotecario erogato da Banca Popolare di Milano Soc. coop. a r.l.. Per quanto concerne invece la posizione relativa alla carta di credito a saldo erogata il 30 marzo 2000 da Banca di Roma S.p.A., ed estinta nel marzo 2004 senza alcuna segnalazione di insolvenze, la resistente ha sostenuto che il trattamento dei dati viene effettuato "nel rispetto del principio di proporzionalit sancito dall'articolo 11, comma 1, lett. e), del d.lg. 196/03 ed anche in eventuale applicazione dei criteri guida temporali indicati dall'Autorit garante nel provvedimento generale in materia di centrali rischi private del 31.07.02". Ha pertanto chiesto il rigetto del ricorso e la compensazione integrale delle spese del procedimento. La resistente ha anche rilevato che la richiesta di cancellazione riferita a tale carta di credito sarebbe inammissibile in quanto non avanzata previamente nell'istanza proposta ai sensi dell'art. 7 del Codice. Crif S.p.a. : ritiene inoltre di essere legittimata a trattare i dati in virt del consenso al trattamento raccolto, per conto della stessa, dall'ente finanziatore aderente alla "centrale rischi", dopo il rilascio di idonea informativa; nel riscontrare le ulteriori richieste dell'interessata, ha precisato che le categorie dei soggetti ai quali i dati possono essere comunicati "sono rappresentate, ad oggi, da banche, societ finanziarie, societ di telecomunicazioni aderenti al sistema di referenza creditizia di Crif"; ha fornito alcune indicazioni in ordine all'origine dei dati (menzionando l'ente che ha inserito i relativi dati), alle finalit ("prevenzione e controllo del rischio di insolvenza oltre che referenza creditizia"), nonch alle modalit, automatizzate e cartacee, del trattamento dei dati. Successivamente alla proroga del termine per la decisione del ricorso ai sensi dell'art. 149, comma 7, del Codice, con nota inviata il 12 ottobre 2004, in risposta ad una formale richiesta di questa Autorit ai sensi degli artt. 150, comma 2, e 157 del Codice, Banca di Roma S.p.A. ha comunicato di non poter fornire copia del documento recante la dichiarazione di consenso al trattamento dei dati personali a suo tempo manifestato dal ricorrente nei propri confronti. Ci, in quanto "detto modulo non stato rinvenuto nel dossier dell'interessato" conservato presso la Filiale di Forio d'Ischia. CI PREMESSO IL GARANTE OSSERVA: Il ricorso concerne il trattamento dei dati effettuato da una c.d. "centrale rischi" privata. In ordine alle richieste inerenti alla menzionata attestazione o volte a conoscere l'origine dei dati, le finalit e le modalit del trattamento, oltre che i soggetti o le categorie di soggetti cui i dati possono essere comunicati o che possono venirne a conoscenza il ricorso inammissibile, essendo state tali istanze formulate per la prima volta solo in sede di ricorso, anzich nell'interpello ex art. 8 del Codice previamente inoltrato al titolare del trattamento. In ordine all'opposizione al trattamento e alla richiesta di cancellazione dei dati relativi alla posizione relativa al mutuo ipotecario erogato da Banca Popolare di Milano Soc. coop. a r.l., va ugualmente dichiarato non luogo a provvedere sul ricorso ai sensi dell'art. 149, comma 2, del Codice, in ragione della dichiarazione, della cui veridicit l'autore risponde anche ai sensi dell'art. 168 del Codice ("Falsit nelle dichiarazioni e notificazioni al Garante"), con la quale la resistente ha attestato di aver rimosso dai propri archivi i dati personali contestati. In ordine invece all'opposizione al trattamento e alla richiesta di cancellazione dei dati relativi alla carta di carta di credito a saldo erogata il 30 marzo 2000 da Banca di Roma S.p.A., il ricorso fondato e deve essere accolto. Al riguardo, non sono emersi elementi comprovanti la manifestazione di un consenso informato al trattamento dei dati (consenso peraltro revocato) anche in riferimento alla loro comunicazione alle banche dati delle c.d. "centrali rischi" private. I dati per i quali la banca non stata in grado di comprovare il consenso ipotizzato fanno peraltro riferimento ad un finanziamento il cui andamento stato regolare e che risulta concluso senza debiti residui o pendenze; pertanto, la permanenza di tali dati negli archivi della resistente non risulterebbe comunque ulteriormente giustificata. Crif S.p.A. dovr cancellare tale ultima posizione dalla propria banca dati entro un termine che appare congruo fissare al 15 febbraio 2005, dando conferma entro il medesimo termine al ricorrente ed a quest'Autorit dell'avvenuto adempimento. L'ammontare delle spese sostenute nel presente procedimento determinato ai sensi dell'art. 150, comma 3, del Codice, nella misura forfettaria di euro 250, di cui euro 25,82 per diritti di segreteria, tenuto conto degli adempimenti connessi alla redazione e presentazione del ricorso al Garante. Il medesimo ammontare posto in misura pari a 100 euro a carico del titolare del trattamento, previa compensazione della restante parte per giusti motivi legati al contenuto del riscontro fornito. PER QUESTI MOTIVI IL GARANTE: a) accoglie il ricorso limitatamente alla richiesta di cancellare i dati personali dell'interessato relativi alla carta di credito accordata da Banca di Roma S.p.A. e ordina a Crif S.p.A. di cancellare tali dati entro il 15 febbraio 2005, dando conferma dell'avvenuto adempimento al ricorrente ed a quest'Autorit entro il medesimo termine; b) dichiara inammissibile il ricorso in ordine alle richieste di attestazione e di conoscere l'origine dei dati, le finalit e le modalit del trattamento, nonch i soggetti o le categorie di soggetti cui i dati possono essere comunicati o che possono venirne a conoscenza; c) dichiara non luogo a provvedere sul ricorso in ordine ai restanti profili; d) determina nella misura forfettaria di euro 250, di cui 25,82 per diritti di segreteria, l'ammontare delle spese e dei diritti del presente procedimento che pone in misura pari a 100 euro, previa compensazione per giusti motivi della residua parte, a carico della resistente, la quale dovr liquidarlo direttamente a favore del ricorrente. Roma, 8 novembre 2004 Il presidente Il relatore Il segretario generale |