Garante per la protezione
    dei dati personali


IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, con la partecipazione del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Ugo De Siervo e dell'ing. Claudio Manganelli, componenti e del dott. Giovanni Buttarelli, segretario generale;

Esaminato il ricorso presentato dalla ricorrente nei confronti del titolare del trattamento;

Vista la documentazione in atti;

Visti gli articoli 13 e 29 della legge 31 dicembre 1996, n. 675 e gli articoli 18, 19 e 20 del d.P.R. 31 marzo 1998, n. 501;

Viste le osservazioni in atti formulate dall'Ufficio ai sensi dell'art. 7, comma 2, lett. a), del d.P.R. n. 501/1998 , con nota a firma del Segretario generale;

Relatore il prof. Ugo De Siervo;

PREMESSO:

1. La società ricorrente lamenta che l'istituto di credito indicato in premessa avrebbe comunicato a terzi dati relativi alla propria situazione bancaria e, in particolare, segnalato alla centrale rischi gestita dalla Banca d'Italia informazioni concernenti una presunta posizione di sofferenza economica della stessa società (in riferimento ad un un'esposizione debitoria per la quale sarebbe poi intervenuto un accordo transattivo tra le parti), che non avrebbe mai prestato il proprio consenso informato a tali comunicazioni.

La società ricorrente ha inoltre fatto presente di aver formulato nei confronti dell'istituto di credito le richieste di provvedere alla cancellazione della segnalazione presso la centrale rischi della Banca d'Italia e di fornire "una risposta circa l'avvenuta sottoscrizione, da parte dell'amministratore, del modulo relativo al trattamento dei dati personali di cui alla Legge 31.12. 1996 n. 675", senza però ottenere alcun riscontro.

Per questi motivi, la società ricorrente si è quindi rivolta al Garante ai sensi dell'art. 29 della legge n. 675 al fine di ottenere la cessazione del comportamento illegittimo da parte dell'istituto di credito.

2. A seguito dell'invito ad aderire spontaneamente formulato dal Garante, l'istituto di credito ha trasmesso alcuni documenti già inviati alla società ricorrente, nei quali è stato precisato che:

a) la segnalazione di sofferenza della società ricorrente presso la centrale rischi della Banca d'Italia sarebbe stata eliminata nel settembre 1999 (con l'avvenuta estinzione da parte della stessa società della propria esposizione debitoria), ma il relativo elaborato sarebbe stato "messo a disposizione del sistema bancario" dopo la metà di novembre;

b) successivamente, non sarebbero state effettuate ulteriori segnalazioni da parte dell'istituto di credito;

c) la segnalazione dei dati alla centrale rischi di Bankitalia corrisponderebbe ad "un mero adempimento di tipo amministrativo in osservanza delle precise disposizioni di vigilanza regolanti la materia";

d) il trattamento e la comunicazione dei dati relativi all'attività economica svolta dalla società ricorrente non richiederebbero l'acquisizione di un preventivo consenso ai sensi della legge n. 675/1996 (nell'autunno del 1997, l'istituto di credito avrebbe comunque provveduto ad inviare a tutta la clientela il modello di informativa ai sensi dell'art. 10 della legge n. 675).

Con propria memoria e nell'audizione presso l'Ufficio del Garante, la società ricorrente ha prodotto diversi documenti e ha contestato le deduzioni di controparte sia in relazione alla violazione degli artt. 10 e 13 della legge n. 675, sia con riferimento alla comunicazione dei dati personali a terzi, 31.evidenziando i danni che avrebbe subito in conseguenza dell'illecita condotta dell'istituto di credito.

Tali rilievi, a loro volta, sono state poi contestati da quest'ultimo istituto, che, nell'allegare copia di un'interrogazione effettuata il 17/02/2000 presso la centrale rischi della Banca d'Italia (da cui risulta testualmente: "nessun dato presente per questo cliente ultimo periodo disponibile: 09/1999"), ha ribadito di aver fornito alla società ricorrente tutte le informazioni dalla stessa richieste e di aver cessato da tempo ogni qualsivoglia comunicazione dei dati che la riguardano, chiedendo quindi all'Autorità di dichiarare non luogo a provvedere sul ricorso.

CIO' PREMESSO IL GARANTE OSSERVA:

3. Deve anzitutto dichiarata inammissibile nell'ambito del presente procedimento ai sensi dell'art. 29 della legge n. 675/1996 la richiesta formulata dalla società ricorrente di ottenere una risposta circa la manifestazione del proprio consenso al trattamento dei dati in esame o la sottoscrizione del relativo modulo, in quanto tale richiesta non è espressamente prevista dall'art. 13 della legge n. 675/1996 né può essere fatta corrispondere, anche in via interpretativa, ad alcuno dei diritti previsti dal medesimo articolo.

Il procedimento previsto dall'art. 29 della legge n. 675/1996 ha infatti caratteri particolari in quanto con il ricorso che lo introduce non si può lamentare senza particolari formalità ogni violazione delle disposizioni in tema di protezione dei dati personali, come può avvenire invece in caso di segnalazioni e reclami che possono essere rivolti anch'essi al Garante. Il ricorso può essere presentato solo per la tutela di precisa richieste, formulate in riferimento agli specifici diritti tutelati dall'art. 13, comma 1, della legge n. 675, avanzate precedentemente al titolare o al responsabile del trattamento e da questi disattesa anche in parte.

Va, comunque, ricordato che, secondo il consolidato orientamento di questa Autorità, le informazioni relative alla solvibilità o allo stato di insolvenza di un'impresa (oppure ai crediti o ai debiti riferiti a quest'ultima) rientrano nella nozione di dati relativi allo svolgimento di attività economiche, la cui utilizzazione e divulgazione a terzi può avvenire anche senza il consenso dell'interessato (v. gli artt. 12, comma 1, lett. f), e 20, comma 1, lett. e) , della legge n. 675/1996).

Né, in base alla legge n. 675 (artt. 12, comma 1, lett. a) e 20, comma 1, lett. c)) si pone la necessità di acquisire un preventivo consenso dell'interessato per operazioni di trattamento dei dati effettuate dall'istituto di credito in adempimento di obblighi derivanti da norme di legge o di regolamento, come appunto quelle previste dal t.u. delle leggi in materia bancaria e finanziaria (v. gli artt. 53, comma 1, lett. b), 67, comma 1, lett. b) e 107, secondo comma, del 1 settembre 1993, n. 385), in base alle quali è stato istituito il servizio di centralizzazione dei rischi creditizi gestito dalla Banca d'Italia, cui tutte le banche sono tenute a segnalare i crediti di un certo importo o comunque in sofferenza (in conformità alle deliberazioni del CICR e alle disposizioni impartite da Bankitalia nell'ambito dei suoi poteri di vigilanza regolamentare). E ciò a prescindere da eventuali ulteriori vincoli derivanti, per l'istituto di credito e per i suoi dipendenti, dal rispetto di obblighi contrattuali o relativi al segreto bancario.

4. Per quanto riguarda la richiesta di ottenere la cancellazione dei dati segnalati dall'istituto di credito alla centrale rischi gestita dalla Banca d'Italia, il Garante ritiene che, sotto questo profilo, debba essere dichiarato non luogo a provvedere sul ricorso, in quanto dalla documentazione prodotta dall'istituto di credito risulta che la segnalazione della posizione di sofferenza economica riguardante la società ricorrente è stata già eliminata dopo il mese di settembre 1999, a seguito dell'estinzione da parte di quest'ultima del debito residuo.

L'odierna pronuncia lascia, comunque, impregiudicato il diritto per la società ricorrente di rivolgersi al giudice ordinario per far accertare eventuali reati, per chiedere il risarcimento dei danni o per far valere altre istanze in merito alle quali la legge n. 675/1996 non ha attribuito competenze al Garante.

TUTTO CIO' PREMESSO IL GARANTE DICHIARA:

a) ai sensi dell'art. 19 del d.P.R. n. 501/1998, inammissibile il ricorso in relazione alle istanze dirette ad ottenere una risposta circa l'eventuale manifestazione del consenso (o sottoscrizione di un relativo modulo) da parte della società ricorrente al trattamento dei dati che la riguardano;

b) ai sensi dell'art. 20, comma 1, del d.P.R. n. 501/1998, non luogo a provvedere per quanto concerne invece la richiesta di ottenere la cancellazione dei dati segnalati dall'istituto di credito alla centrale rischi gestita dalla Banca d'Italia.

Roma 25 febbraio 2000

IL PRESIDENTE

IL RELATORE

IL SEGRETARIO GENERALE