Garante per la protezione
    dei dati personali


In caso di richiesta di finanziamento, poi non concesso, possono essere trattati dati relativi allo svolgimento di attività economiche nel rispetto delle disposizioni in tema di rilevazione del rischio creditizio e di conservazione di scritture e documenti contabili, che stabiliscono anche modalità di utilizzo e predeterminano i tempi di conservazione.

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

In data odierna, con la partecipazione del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Ugo De Siervo e dell'Ing. Claudio Manganelli componenti, e del dott. Giovanni Buttarelli, segretario generale;

Esaminato il ricorso presentato dal sig. XY (in proprio e nella qualità di legale rappresentante della YZ S.a.s. di XY & C.) nei confronti della Banca Popolare di Brescia BIPOP - CARIRE;

Vista la documentazione in atti;

Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000 adottato con deliberazione n. 15 del 28 giugno 2000 e pubblicato sulla Gazzetta Ufficiale della Repubblica Italiana n. 162 del 13 luglio 2000;

Relatore il prof. Stefano Rodotà;

PREMESSO:

1. Il ricorrente lamenta di aver ricevuto un riscontro negativo ad alcune sue richieste avanzate nei confronti della banca resistente ai sensi dell'art. 13 della legge n. 675/1996, al fine di ottenere la cancellazione dei dati attinenti la propria situazione patrimoniale personale e societaria raccolti in relazione ad una richiesta di finanziamento (poi non concesso), nonché per conoscere i nominativi dei responsabili del relativo trattamento.

Il sig. XY ha evidenziato che, nel corso di una conversazione telefonica con un dipendente della banca in merito all'istruttoria della pratica di finanziamento, tale dipendente avrebbe riferito, ad alta voce, in presenza di altre persone all'interno della filiale, dati sulla situazione patrimoniale e sull'affidabilità del ricorrente, in contrasto con i principi della legge n. 675/1996.

Avendo la banca rifiutato di cancellare i dati e avendo comunicato alcuni nominativi di responsabili del trattamento diversi da quelli precedentemente indicati per telefono, l'interessato si è rivolto al Garante ai sensi dell'art. 29 della legge n. 675/1996 per far valere le proprie richieste.

A seguito dell'invito a fornire un riscontro, la banca ha confermato la precedente risposta fornita al ricorrente, nella quale aveva comunicato i nominativi dei responsabili del trattamento e aveva fatto presente di non poter cancellare i dati forniti con la richiesta di finanziamento (successivamente ritirata dalla società di cui il sig. XY è legale rappresentante) in quanto tali dati riguarderebbero lo svolgimento di attività economiche e sarebbero trattati ai soli fini dell'adempimento degli obblighi di legge a carico delle società "in materia di conservazione della documentazione ricevuta" (con particolare riguardo, come chiarito nella memoria, all'art. 2220 c.c. e "alle disposizioni di vigilanza che impongono, nell'istruttoria, l'acquisizione di dati patrimoniali sufficienti per la valutazione dell'affidamento"). La banca ha, altresì, contestato le affermazioni del ricorrente circa la presunta scorrettezza del comportamento del proprio dipendente, fornendo una diversa versione dell'episodio in questione e sottolineando, tra l'altro, la necessità per l'interessato di comprovare le circostanze da lui lamentate.

Il sig. XY ha ribadito da ultimo la richiesta di cancellare i dati relativi alla situazione patrimoniale della società, sostenendo che tali dati non sarebbero attinenti al finanziamento richiesto (e mai rifiutato dalla banca). Ha confermato poi le proprie doglianze circa l'episodio contestato e l'asserita violazione da parte del dipendente della banca delle norme poste a tutela della riservatezza.

CIO' PREMESSO, IL GARANTE OSSERVA:

2. Va dichiarato non luogo a provvedere sul ricorso per quanto riguarda le richieste dell'interessato volte ad ottenere l'indicazione dei responsabili del trattamento dei dati svolto dalla banca, avendo quest'ultima fornito un riscontro al ricorrente prima della presentazione del ricorso al Garante, con specificazione dei nominativi dei responsabili designati ai sensi dell'art. 8 della legge n. 675/1996.

3. Il ricorso va dichiarato poi infondato per quanto riguarda la richiesta di cancellare i dati personali forniti in occasione della richiesta di finanziamento.

La banca ha fatto presente che tali dati riguardano lo svolgimento di attività economiche in quanto si riferiscono alla società di cui il sig. XY è legale rappresentante, e possono essere trattati anche senza il consenso ai sensi degli artt. 12, comma 1, lett. f) e 20, comma 1, lett. e) della legge n. 675).

Non sono emersi poi elementi per ritenere che i dati siano trattati in violazione di legge. La banca ha rappresentato che i dati sono detenuti in attuazione di disposizioni impartite dalle autorità di vigilanza in tema di rilevazione del rischio creditizio e di obblighi di legge in materia di scritture e documenti contabili che ne delimitano le modalità di utilizzo imponendone anche la conservazione solo per periodi di tempo determinati. Restano peraltro fermi nei confronti del trattamento in esame i diritti dell'interessato di ottenere la precisa comunicazione dei dati in possesso della banca e, in caso di eventuale loro inesattezza od incompletezza, di chiederne la rettificazione, l'integrazione o l'aggiornamento (v. l'art. 13, comma 1, lett. C), della legge n. 675/1996).

4. Risultano invece inammissibili in questa sede, in quanto non possono essere prese in considerazione nell'ambito del procedimento attivato ai sensi dell'art. 29 della legge n. 675/1996, le richieste dirette non a far valere i diritti previsti dall'art. 13 della stessa legge, ma a sollecitare l'esercizio dei poteri di accertamento e di controllo del Garante in relazione alla presunta illiceità del comportamento tenuto dal personale della banca resistente rispetto ai principi posti a tutela del diritto alla riservatezza. Tali richieste potranno essere esaminate da questa Autorità in un distinto procedimento ai sensi degli artt. 31 e 32 della legge n. 675, sulla base, però, di una puntuale e documentata rappresentazione di specifici comportamenti e fatti, rappresentazione che non è ravvisabile negli atti acquisiti.

PER QUESTI MOTIVI, IL GARANTE DICHIARA:

a) non luogo a provvedere sul ricorso per quanto riguarda le richieste formulate dal ricorrente di ottenere i nominativi dei responsabili del trattamento dei dati;

b) infondato il ricorso per quanto concerne la richiesta di cancellazione dei dati personali, nei termini di cui in motivazione;

c) inammissibile il ricorso per le restanti richieste del ricorrente.

Roma, 6 febbraio 2001

IL PRESIDENTE
Rodotà
IL RELATORE
Rodotà
IL SEGRETARIO GENERALE
Buttarelli