Garante per la protezione
    dei dati personali

Provvedimento del 28 gennaio 2005

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Stefano Rodot, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale;

Esaminato il ricorso presentato da Giampietro Bronzato, rappresentato e difeso dall'avv. Gabriele Gianese e dal dott. Luca Di Martino presso il cui studio ha eletto domicilio

nei confronti di

Crif S.p.A.;

Visti gli articoli 7, 8 e 145 s. del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Mauro Paissan;

PREMESSO:

L'interessato afferma di non aver ricevuto adeguato riscontro ad un'istanza formulata ai sensi degli artt. 7 e 8 del Codice con la quale aveva, tra l'altro, chiesto a Crif S.p.A. la cancellazione dai relativi archivi di alcuni dati che lo riguardano (indicati nel report Crif del 5 ottobre 2004), nonch l'attestazione che tale operazione era stata portata a conoscenza di coloro cui i dati erano stati comunicati o diffusi.

Nel ricorso presentato a questa Autorit ai sensi dell'art. 145 del Codice, il ricorrente ha ribadito le richieste volte ad ottenere la cancellazione dei dati, nonch la menzionata attestazione.

Il ricorrente sostiene che la raccolta e la conservazione dei dati che lo riguardano da parte di Crif S.p.A. non sarebbe lecita per invalidit del consenso, non avendo la societ fornito la prescritta informativa sul trattamento. Il ricorrente ha anche chiesto di porre a carico della resistente le spese sostenute per il procedimento.

All'invito ad aderire formulato ai sensi dell'art. 149 del Codice da questa Autorit in data 9 dicembre 2004, Crif S.p.A., con fax inviato il 22 dicembre 2004, ha comunicato di aver cancellato le posizioni nn. 3), 5) 6) del report del 5 ottobre 2004. Inoltre, ha inviato un report aggiornato nel quale sono riportate le posizioni allo stato censite in relazione al ricorrente, sostenendo che:

      le posizioni nn. 1), 2) e 3) del report del 22 dicembre 2004 fanno riferimento a rapporti in corso, senza alcuna segnalazione di insolvenza, "per i quali appare ancora giustificato e legittimo il trattamento () nel perseguimento della finalit di prevenzione e controllo del rischio di insolvenza e di tutela del credito";

      la posizione n. 4 del report del 22 dicembre 2004 fa riferimento ad una carta di credito con pagamento rateale accordata da Bipielle Ducato S.p.A., con segnalazione di "ritardi nei pagamenti gi regolarizzati", "la cui conservazione () si giustifica sulla base del perseguimento () della finalit di prevenzione e controllo del rischio in quanto a tutt'oggi ancora interamente e perfettamente sussistente";

      la posizione n. 5 del report pi recente fa riferimento ad un prestito personale erogato da Bipielle Ducato S.p.A. estinto il 14 aprile 2004, senza alcuna segnalazione di insolvenza, la cui conservazione lecita, trattandosi, ad avviso della resistente, di un finanziamento estinto da meno di 36 mesi "anche nel rispetto dei futuri tempi di conservazione delle informazioni di tipo positivo previsti dal codice di deontologia e buona condotta per i sistemi di informazioni creditizie, ormai prossimo all'entrata in vigore (1gennaio 2005)".

Crif S.p.A. ritiene di essere legittimata a trattare i dati in virt del consenso al trattamento raccolto per conto della stessa dall'ente finanziatore aderente alla "centrale rischi", dopo il rilascio di idonea informativa. Lo stesso codice di deontologia sopra citato all'art. 5 avrebbe previsto che "l'informativa agli interessati con riguardo al trattamento dei dati personali effettuato nell'ambito di un sistema di informazioni creditizie a carico degli enti partecipanti".

Crif S.p.A. ha pertanto chiesto che il Garante dichiari non luogo a provvedere sul ricorso compensando le spese del procedimento.

CI PREMESSO IL GARANTE OSSERVA:

Il ricorso concerne il trattamento dei dati personali dell'interessato effettuato da un sistema di informazioni creditizie in riferimento ad alcuni finanziamenti.

In ordine alla richiesta di cancellazione riferita ai dati concernenti le posizioni nn. 3), 5) 6) del report del 5 ottobre 2004, va dichiarato non luogo a provvedere sul ricorso ai sensi dell'art. 149, comma 2, del Codice nei confronti di Crif S.p.A.. Tale societ ha infatti dichiarato nel corso del procedimento di aver cancellato tali dati dai propri archivi.

Parimenti, va dichiarato non luogo a provvedere sul ricorso nei confronti di Crif S.p.A. in ordine alla richiesta attestazione che l'operazione di cancellazione sia portata a conoscenza dei soggetti cui i dati sono stati comunicati. Come emerso dai riscontri forniti da Crif S.p.A. anche in altri analoghi procedimenti, risulta che gli enti aderenti al predetto sistema sono in grado di visualizzare "in tempo reale" tutti i dati detenuti in relazione ai soggetti censiti e sono, in tal modo, messi sufficientemente a conoscenza dell'eventuale intervenuta rimozione di alcuna o di tutte le informazioni dalla banca dati stessa.

In ordine alla richiesta di cancellazione riferita ai dati concernenti le posizioni nn. 1), 2), e 3) del report del 22 dicembre 2004 il ricorso invece infondato. Dalla documentazione in atti non emerso che in proposito Crif S.p.A. abbia trattato e conservi tali dati in modo eccedente o non pertinente, trattandosi di finanziamenti in corso senza alcuna segnalazione di insolvenza rispetto ai quali sussistono le finalit correlate alla tutela del credito e al contenimento dei relativi rischi che ne giustificano tuttora la conservazione.

In ordine alla richiesta di cancellazione riferita ai dati concernenti la posizione n. 4 del report del 22 dicembre 2004, il ricorso parimenti infondato. Il trattamento contestato non appare eccedente rispetto alle finalit per le quali i dati sono stati raccolti e successivamente trattati. Ci, alla luce di quanto disposto dal codice di deontologia e di buona condotta per i sistemi di informazioni creditizie (che in vigore dal 1 gennaio 2005 dopo la sua pubblicazione avvenuta sulla Gazzetta Ufficiale 23 dicembre 2004, n. 300), il quale ha sviluppato e integrato, anche in relazione ai tempi di conservazione dei dati personali, i principi richiamati con il noto provvedimento generale del Garante del 31 luglio 2002 (al quale, inoltre, si collega il provvedimento del Garante sul bilanciamento di interessi del 16 novembre 2004, anch'esso pubblicato sulla menzionata Gazzetta Ufficiale). I dati in questione potranno, pertanto, essere conservati nel sistema di informazioni creditizie in relazione al non ancora avvenuto decorso del termine di dodici mesi dalla data della regolarizzazione del finanziamento e in riferimento al numero di rate (fino a due) che precedentemente risultavano non pagate.

Anche in ordine alla richiesta di cancellazione riferita ai dati concernenti la posizione n. 5 il ricorso infondato. Peraltro, contrariamente a quanto sostenuto dalla resistente, da riscontri forniti da altro titolare del trattamento in un procedimento avente ad oggetto il medesimo finanziamento risulta che il ricorrente ha provveduto ad estinguerlo in data 14 aprile 2004 con regolarizzazione di ogni residua pendenza. Pertanto, ai sensi del predetto codice di deontologia, i dati in questione potranno essere conservati per dodici mesi decorsi i quali dovranno essere cancellati dal sistema di informazioni creditizie gestito da Crif S.p.A..

Infine, anche in ordine alla posizione n. 6 del report del 22 dicembre 2004, che fa riferimento ad una richiesta di finanziamento rivolta a Deutsche Bank S.p.A. il 23 settembre 2004, ancora in stato di istruttoria, il ricorso infondato. Il trattamento contestato non appare eccedente rispetto alle finalit per le quali i dati sono stati raccolti e successivamente trattati. Ci, alla luce di quanto disposto dal codice di deontologia e di buona condotta per i sistemi di informazioni creditizie (che in vigore dal 1 gennaio 2005 dopo la sua pubblicazione avvenuta sulla Gazzetta Ufficiale 23 dicembre 2004, n. 300), il quale ha sviluppato e integrato, anche in relazione ai tempi di conservazione dei dati personali, i principi richiamati con il noto provvedimento generale del Garante del 31 luglio 2002 (al quale, inoltre, si collega il provvedimento del Garante sul bilanciamento di interessi del 16 novembre 2004, anch'esso pubblicato sulla menzionata Gazzetta Ufficiale). I dati in questione potranno, pertanto, essere conservati nel sistema di informazioni creditizie in relazione al non ancora avvenuto decorso del termine di centottanta giorni dalla data di presentazione della richiesta medesima.

Il ricorso conseguentemente infondato anche in ordine alla seconda richiesta –di attestazione- che direttamente connessa a quella di cancellazione, risultata, come detto, infondata.

Sussistono infine giusti motivi per compensare fra le parti le spese del procedimento.

PER QUESTI MOTIVI IL GARANTE:

a) dichiara infondato il ricorso in ordine alle richieste di cancellazione dei dati, e di connessa attestazione, con riferimento a tutte le posizioni indicate nel report del 22 dicembre 2004, nei termini di cui in motivazione;

b) dichiara non luogo a provvedere sul ricorso in ordine alle richieste di cancellazione dei dati, e di connessa attestazione, con riferimento ai finanziamenti di cui alle posizioni nn. 3), 5) 6) del report del 5 ottobre 2004;

c) dichiara compensate le spese fra le parti.

Roma, 28 gennaio 2005

Il presidente
Rodotà

Il relatore
Paissan

Il segretario generale
Buttarelli