DIvieto a Cerved Business Information S.p.A. - Informazioni commerciali: si possono trattare solo dati pertinenti

Informazioni commerciali: si possono trattare solo dati pertinenti

Provvedimento del 30 ottobre 2008

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

In data odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;

Visto il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Francesco Pizzetti;

PREMESSO

1. Trattamento di dati personali nell'ambito della c.d. informazione commerciale da parte di Cerved Business Information S.p.A. 1.1. In relazione ai reclami, segnalazioni e ricorsi a più riprese pervenuti al Garante, aventi per oggetto taluni profili del trattamento di dati personali nel settore della c.d. informazione commerciale effettuati da Cerved Business Information S.p.A. (di seguito, Cerved), sono state condotte alcune verifiche preliminari sulla base di una prima richiesta di informazioni. Attesa la varietà e complessità delle questioni emerse dal riscontro fornito (cfr. nota Cerved del 17 aprile 2007), per una cognizione più approfondita dei trattamenti posti in essere –con particolare riferimento all'osservanza dei princìpi di protezione dei dati personali di cui all'art. 11 del Codice– sono stati effettuati successivamente alcuni accertamenti in loco nei giorni 7, 8, 15 maggio e 3 giugno 2008.

Fermi restando gli adeguamenti che potrebbero risultare necessari in applicazione dei codici deontologici previsti dagli artt. 61, 118 e 119 del Codice (con particolare riferimento all'individuazione delle modalità di aggiornamento e ai limiti temporali di conservazione dei dati), con il presente provvedimento, tenuto conto delle osservazioni formulate dalla società e della documentazione acquisita, si prescrive, ai sensi dell'art. 154, comma 1, lett. c), del medesimo Codice, l'adozione di alcune misure necessarie al fine di rendere il trattamento conforme ai princìpi di cui al citato art. 11 del Codice e, in particolare, a quelli di correttezza, pertinenza e non eccedenza dei dati rispetto alle finalità perseguite.

Questa Autorità si riserva ulteriori accertamenti presso altri titolari del trattamento che comunicano dati personali a Cerved per consentirle di rendere i propri servizi a contenuto informativo, nonché eventuali provvedimenti che risultino necessari anche in relazione a casi singoli.

Non hanno formato invece oggetto di accertamento, e sono quindi esclusi dall'oggetto del presente provvedimento, eventuali ulteriori trattamenti effettuati dalla società per finalità diverse da quelle connesse alla fornitura di informazioni commerciali.

2. Caratteristiche del trattamento, finalità del medesimo e tipologia dei dati 2.1. Dagli elementi acquisiti risulta che Cerved gestisce banche dati costituite presso di sé estraendo informazioni da altri archivi (formati da soggetti pubblici e privati) al fine di fornire alla propria clientela (composta per lo più da professionisti e operatori economici, quali banche, finanziarie, imprese e agenzie di informazioni) servizi aventi contenuto informativo nell'ambito della c.d. business information; talvolta Cerved opera, invece, quale mero distributore di servizi altrui (in base a un rapporto di commissione).

I dati trattati dalla società per realizzare i servizi commercializzati provengono, direttamente o indirettamente, da registri pubblici (ad esempio, sono trattate informazioni camerali, informazioni di conservatoria e catastali, dati ricavati dal registro dei protesti o, ancora, dati contenuti in albi professionali) o da altre fonti generalmente accessibili (quali, ad esempio, "url delle imprese", liste delle imprese certificate Iso e notizie di stampa a carattere economico); "dalla Consob viene anche acquisito l'archivio delle partecipazioni rilevanti in società quotate" (cfr. verbale 15 maggio 2008, p. 1).

Alcuni dati relativi a pregiudizievoli di conservatoria acquisiti da soggetti privati sono invece, allo stato, conservati in un "database separato di Cerved, non vengono comunicati né collegati alle informazioni fornite ai clienti Cerved e vengono utilizzati per effettuare dei controlli sulla qualità dei dati, in particolare per quanto riguarda la verifica delle anagrafiche e dei codici fiscali" (cfr. verbale 8 maggio 2008, p. 2).

La società ha, inoltre, acquisito dati personali contenuti nelle liste elettorali e nella Base dati unica (Dbu) di cui alle deliberazioni 36/02/Cons e 180/02/Cons dell'Autorità per le garanzie nelle comunicazioni e li utilizza "per effettuare dei controlli con altri dati presenti nella banca dati Cerved (in particolare nei casi in cui non è presente il codice fiscale) per identificare, con minore margine di errore, un determinato soggetto" (cfr. verbale 8 maggio 2008; v. pure nota Cerved 17 aprile 2007, p. 2) e, più in generale, per "migliorare/affinare i dati presenti nelle […] banche dati" (cfr. verbale 7 maggio 2008).

I servizi realizzati a partire dai dati personali così raccolti sono commercializzati mediante dossier informativi individualizzati –riferiti sia a persone fisiche, sia a persone giuridiche– e si differenziano in base a tipologia e grado di approfondimento delle informazioni negli stessi contenute: al fine di distinguerli, la società ricorre a diverse denominazioni dei propri prodotti informativi (allo stato, "dossier impresa"; "dossier persona"; "report"; "quick report" e "quick report plus"; "prospetto": cfr. comunicazione 17 aprile 2007).

2.2. La società ha indicato le finalità del trattamento perseguite nella cornice dell'ampia attività posta in essere quale "fornitore" di informazioni commercialmente rilevanti. Precisazione, questa, necessaria non solo per accertare la liceità del trattamento effettuato, ma anche per individuare (come meglio si vedrà nei punti 3, 4 e 5) quali siano i dati pertinenti per perseguire lo scopo prefissato.

Stando alle dichiarazioni rese inizialmente, le operazioni di trattamento poste in essere (in qualità di autonomo titolare) mirano "a fornire un'ampia informazione commerciale sulla solvibilità e sulla affidabilità" dei soggetti censiti (cfr. comunicazione 17 aprile 2007, cit., p. 5). A tale finalità la società ha fatto espressamente richiamo anche successivamente (cfr. verbale del 15 maggio 2008, p. 2), asserendo che, nell'intento di assicurare ai mercati il massimo livello di trasparenza e di certezza nelle transazioni economiche, commerciali o finanziarie, essa fornisce "un'ampia informazione –attingendo i dati esclusivamente da fonti pubbliche liberamente accessibili– relativa alle attività commerciali, imprenditoriali o professionali –anche pregresse– con riferimento agli aspetti organizzativi, amministrativi, produttivi, patrimoniali, contabili e finanziari –ivi inclusi i dati relativi al comportamento debitorio, alla solvibilità economica ed al corretto adempimento delle obbligazioni– di persone fisiche e giuridiche, enti, imprese, ditte individuali, artigiani, liberi professionisti, amministratori e soci di società commerciali ovvero soggetti che esercitino attività similari. [Inoltre, la società fornisce] un'ampia informazione relativa alla situazione patrimoniale ed al corretto adempimento delle obbligazioni con riguardo esclusivo a persone fisiche mediante la comunicazione di dati estratti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque" (cfr. nota allegata alla comunicazione elettronica del 27 maggio 2008).

Tuttavia, nel corso degli accertamenti, i rappresentanti della società hanno puntualizzato che "complessivamente i dossier (siano essi riferiti alle imprese che alle persone fisiche) assolvono funzioni comuni, consistenti in primo luogo nel rendere disponibili informazioni generalmente accessibili e, quindi, per taluni classi di soggetti censiti (elaborati secondo […] criteri predisposti dalla società), nel fornire valutazioni sulla "bontà" o "affidabilità" dal punto di vista commerciale dei soggetti medesimi, con riferimento alla storicità e valenza dei dati. Le informazioni così trattate da Cerved non intendono fornire indicazioni circa la solvibilità dei soggetti censiti" (cfr. verbale 3 giugno 2008, p. 2). Puntualizzazione, questa, che trova riscontro in una pluralità di indici:

nella descrizione dei servizi dossier fornita nella pagina web della società a essi dedicati (in atti), secondo cui la loro finalità è quella "di offrire in un unico documento l'insieme delle informazioni ufficiali sull'impresa unite ad elementi di verifica della sua affidabilità" e reiterata in relazione allo specifico servizio "dossier persona" definito quale "strumento dedicato alla raccolta di informazioni e alla verifica di affidabilità su persone fisiche";

nell'istanza del 30 marzo 2006 inviata al Garante (relativa alle condizioni di utilizzabilità del Dbu, prodotta anche in occasione degli accertamenti effettuati in loco unitamente al documento di cui all. n. 13 al verbale del 7 maggio 2008), nella quale viene precisato che "la finalità tipica della attività posta in essere da Cerved B.I. spa è quella diretta ad assemblare tutti i dati provenienti da pubblici registri, elenchi atti o documenti conoscibili da chiunque, al fine di ottenere ed offrire un quadro unitario e il più completo ed aggiornato possibile del soggetto interessato";

nelle comunicazioni esterne della società, ove si precisa che "nei Dossier Cerved i dati vengono aggregati in modo automatico per agevolare la rappresentazione di un quadro unitario delle attività commerciali e dell'affidabilità finanziaria dei singoli operatori economici" (cfr., ad esempio, nota inviata da Cerved a un utente il 20 dicembre 2005, in atti);

nella tipologia di dati trattati che, per sé soli, non sono idonei a fornire una complessiva rappresentazione utile a valutare la solvibilità dei soggetti censiti, con particolare riferimento al prodotto denominato "dossier persona".

Alla luce delle considerazioni svolte può quindi ritenersi che le finalità perseguite dalla società, con particolare riferimento ai servizi informativi resi nei dossier ("persona" e "impresa"), al di là del ricorso alla generica locuzione "informazione commerciale", consistono anzitutto nella commercializzazione di servizi a contenuto informativo, mediante l'aggregazione di dati generalmente disponibili (rispetto ai quali, per l'individuazione degli ambiti entro i quali tale attività può essere svolta legittimamente, v. il punto 3); a ciò, deve aggiungersi la commercializzazione di servizi a contenuto valutativo, realizzata attraverso l'elaborazione in forma di indici ricavati dai dati storici disponibili, espressi sotto forma di giudizi sintetici, relativi all'affidabilità dal punto di vista commerciale di alcune tipologie di soggetti censiti (v. in merito il punto 4).

2.3. Il novero dei soggetti censiti dalla società è, come anticipato, assai ampio, facendo riferimento a chiunque risulti comunque menzionato in alcuni registri pubblici o in altre fonti generalmente accessibili.

Si tratta quindi di società, imprenditori individuali o persone fisiche, rispetto alle quali vengono fornite informazioni relative a c.d. "cariche/qualifiche gestionali" attive (ovvero "qualunque carica o ruolo di responsabilità riportate nei registri detenuti dalle camere di commercio": cfr. verbale 8 maggio 2008), partecipazioni societarie, protesti, pregiudizievoli di conservatoria, nonché elaborati i citati indici dai quali si può desumere la loro "affidabilità commerciale" alla luce degli eventi pubblici rilevanti censiti. Vengono tuttavia in considerazione anche "persone fisiche che non svolgono attività economiche, come ad esempio nel caso di soggetti protestati o con a carico eventi pregiudizievoli di conservatoria" (verbale 8 maggio 2008, p. 3) o, in genere, "soggetti privati" tra cui "figurano anche persone fisiche con cariche cessate e che non rivestono qualifiche gestionali attive" (verbale 15 maggio 2008, p. 2).

Da un punto di vista numerico, "attualmente esistono circa 5 milioni di imprese censite e circa 8 milioni di persone fisiche censite" (cfr. verbale 3 giugno 2008, p. 2).

3. Princìpi di protezione dei dati personali e informazioni riferite al soggetto censito contenute nei prodotti informativi di Cerved 3.1. Nel perseguimento delle proprie finalità, allo stato degli atti, la società risulta effettuare –con l'eccezione del trattamento di dati personali ricavati dalle liste elettorali (v. punto 7) e di quelli relativi alle dichiarazioni dei redditi resi pubblici dall'Agenzia delle entrate (v. punto 8)– un trattamento di dati personali che, in termini generali e fermi restando, come detto, gli adeguamenti che potrebbero risultare necessari in applicazione dei codici deontologici previsti dagli artt. 61, 118 e 119 del Codice, è da ritenersi lecito nella misura in cui lo stesso riguarda informazioni ricavate da pubblici registri che possono essere utilizzate senza il consenso degli interessati ai sensi dell'art. 24, comma 1, lett. c), del Codice. Nel trattare tale tipologia di dati Cerved deve tuttavia rispettare i princìpi di cui all'art. 11 del Codice, trattando i dati in modo lecito e secondo correttezza, per finalità non incompatibili rispetto a quelle della raccolta; i dati devono essere altresì esatti, completi, pertinenti e non eccedenti.

Non può dubitarsi, infatti, che anche nel contesto della c.d. business information trovino integrale applicazione i princìpi di protezione dei dati personali, posti a tutela della riservatezza, dell'identità personale e della dignità degli individui.

3.2. Dalla documentazione in atti e dagli accertamenti effettuati, è emerso che, nel fornire i propri servizi a carattere informativo relativi a un determinato soggetto giuridico, la società associa informazioni che possono essere ricondotte ad altri soggetti, persone fisiche e non.

Tale associazione risulta lecita, alla luce dei citati princìpi in materia di protezione dei dati e tenuto conto della definizione di "dato personale" di cui all'art. 4, comma 1, lett. b), del Codice, nella misura in cui le informazioni riportate costituiscano dati personali "relativi" ai soggetti cui il prodotto informativo si riferisce. I dati contenuti nei dossier che riguardano un determinato soggetto giuridico devono cioè riferirsi direttamente a questi o essere relativi a vicende che (nel caso di specie), dal punto di vista dell'affidabilità commerciale, possono riverberare su di esso effetti in base al quadro giuridico vigente (cfr., al riguardo, anche Art. 29-Gruppo per la tutela dei dati personali, Parere 4/2007 sul concetto di dati personali, Wp 136 del 20 giugno 2007).

Ad esempio, nel perseguimento della propria finalità informativa realizzata rispetto alle persone fisiche (tramite il c.d. "dossier persona"), è lecito che Cerved renda conto delle partecipazioni societarie, delle attività svolte o delle qualifiche ricoperte dai soggetti censiti (e risultanti da fonti generalmente accessibili) riportando gli estremi delle società presso le quali gli stessi hanno operato; ciò, in quanto si tratta di dati personali riferibili agli interessati medesimi, pertinenti e non eccedenti rispetto alla finalità informativa legittimamente perseguita.

Analogamente, possono essere trattate lecitamente con riferimento ai servizi informativi resi in relazione alle realtà imprenditoriali (ad esempio, tramite il "dossier impresa") le informazioni relative alla (composizione della) compagine sociale, alle cariche sociali o ad altre figure rilevanti risultanti dagli archivi pubblici, come anche gli eventi che attengono alla sfera giuridica della società (siano essi pregiudizievoli o no) dal momento che tali informazioni attengono alla sfera del soggetto (la società appunto) cui il servizio informativo si riferisce.

4. Princìpi di protezione dei dati personali e informazioni riferite anche a soggetti diversi dal soggetto censito contenute nei dossier Cerved 4.1. Tuttavia, la rappresentazione dei dati personali contenuti nei dossier non si limita alla mera riproposizione delle informazioni ricavate da fonti pubbliche direttamente riferibili ai soggetti censiti. Infatti, la società associa alle informazioni personali relative ai soggetti censiti anche eventi che si riferiscono a terzi presso cui tali soggetti hanno operato o rivestito cariche (ad esempio, nel "dossier persona", vengono associate informazioni relative a procedure concorsuali delle c.d. "imprese connesse"): Cerved associa quindi a tali soggetti informazioni che non li riguardano direttamente.

Tali informazioni aggiuntive, inoltre, laddove fanno riferimento a eventi a contenuto negativo (tipicamente, procedure concorsuali), sono evidenziate graficamente con caratteri di colore rosso (diversamente dalle altre informazioni), riportate analiticamente nel corpo del dossier e la loro esistenza è evidenziata già nell'intestazione dei dossier con le dizioni sintetiche "procedure su imprese connesse" (per il "dossier persona") e "procedure pregresse su imprese connesse ad esponenti" (per il "dossier impresa").

4.2. L'accostamento di queste ulteriori informazioni riferibili a soggetti diversi da quello censito nel dossier informativo deve formare oggetto di attento scrutinio in relazione ai princìpi di protezione dei dati personali, con particolare riguardo a quello di correttezza, finalità e pertinenza (art. 11 del Codice).

Invero, nel proporre alla propria clientela servizi strutturati sul descritto accostamento, Cerved va oltre la mera divulgazione di informazioni già conoscibili da chiunque secondo il regime di pubblicità legale assolta dai registri pubblici che ne alimentano gli archivi (secondo le descritte modalità), realizzando un'operazione che, dato l'inserimento in un unico contesto delle informazioni e considerati gli elementi grafici utilizzati, lascia indirettamente filtrare rispetto al soggetto censito elementi valutativi (anche pregiudizievoli) che sono invece riferibili a terzi. Circostanza, questa, che risulta ancora più evidente nei prodotti informativi contenenti anche valutazioni sintetiche che, per essere formulate, utilizzano in parte dati riferiti a soggetti diversi da quello direttamente oggetto della valutazione (v. in merito il punto 5).

4.3. In termini generali non risulta corretto, né pertinente associare a un individuo (sia esso persona fisica, persona giuridica o entità associativa non personificata, ma rilevante per l'ordinamento), al fine di stimarne l'affidabilità commerciale, informazioni riferibili a un diverso soggetto.

Tenuto conto di ciò, ad esempio, l'informazione relativa a un evento che ha interessato una società –informazione comunque sempre reperibile, anche attraverso il "dossier impresa" riferito ad essa– non può essere associata direttamente e immediatamente a soggetti che abbiano operato o rivestito cariche in essa, trattandosi, per l'appunto, di entità diverse. Ciò, salvo che sussistano comprovati elementi che consentano di addebitare l'evento al comportamento di tali soggetti (cui il dossier si riferisce), ovvero che l'ordinamento preveda, in relazione ad un determinato evento, il sorgere di responsabilità o di effetti direttamente in capo ai soggetti medesimi. Si pensi, ad esempio, al fallimento di una società in nome collettivo che dispiega immediati effetti sui soci ai sensi dell'art. 2291 cod. civ., sì da giustificare nel "dossier persona" la contestuale menzione di tale informazione relativa alla società; analoga valutazione può essere espressa nei confronti degli accomandatari di società in accomandita semplice, in base agli artt. 2313 e 2318 cod. civ.. Risulta invece fuorviante accostare, in unico contesto, i dati relativi al soggetto censito unitamente alla dichiarazione di fallimento della società di capitali presso la quale lo stesso ha operato o rivestito cariche o, comunque, della quale ha la titolarità di quote o azioni.

4.4. Ciò, non solo per la ragione (appena enunciata) che le informazioni associate al soggetto censito non sono a questi "relative" (e dunque non possono essere ritenuti dati "personali" a questi riferibili), ma per l'ulteriore considerazione che tale trattamento, per le specifiche modalità (sopra descritte) con le quali è effettuato, può alterare negativamente la proiezione sociale e professionale del soggetto censito, attribuendogli un evento (in ipotesi pregiudizievole, qual è una dichiarazione di fallimento) che non lo riguarda direttamente, con conseguente nocumento alla sua reputazione, soprattutto nei rapporti commerciali (cfr. Provv. 26 aprile 2007; Provv. 19 luglio 2007>; v. già, sulla rilevanza della lesione della c.d. reputazione economica o commerciale, ad esempio in materia di protesto illegittimo, Cass., 3 aprile 2001, n. 4881).

La censurata operazione di trattamento risulta parimenti suscettibile di ledere il diritto all'identità personale dei soggetti censiti (art. 2 del Codice), vale a dire la pretesa di ciascuno "a non vedersi disconosciuta la paternità delle proprie azioni, […] e, soprattutto, a non sentirsi attribuire la paternità di azioni non proprie, a non vedersi, cioè, travisare la propria identità personale" (così il noto caso deciso da Pret. Roma, 6 maggio 1974, in Foro it., 1974, I, 1806).

Infatti, la menzionata associazione effettuata da Cerved è suscettibile di mettere in cattiva luce il soggetto cui l'informazione, in ragione dell'operato accostamento, viene a riferirsi: in questi casi l'interessato potrebbe vedere incrinato il proprio diritto "meritevole di tutela giuridica, di essere rappresentato nella vita di relazione, con la sua vera identità, così come questa nella realtà sociale, generale e particolare, è conosciuta o poteva essere conosciuta con l'applicazione dei criteri della normale diligenza e della buona fede soggettiva", con il rischio che, attribuendogli "elementi o fatti a lui estranei", si leda (alterandolo o travisandolo) il "profilo sociale del soggetto" (cfr. Cass. 22 giugno 1985, n. 3769; v. pure Corte cost. 3 febbraio 1994, n. 13).

Tali argomentazioni possono essere estese anche nell'ambito qui considerato, dal momento che il segnalato accostamento è suscettibile di far travisare caratteri e qualità professionali e imprenditoriali dell'interessato, pregiudicandone l'affidabilità commerciale, in ragione di fatti per i quali non risulta provata l'ascrivibilità allo stesso.

Al fine di conformare il trattamento ai princìpi di protezione dei dati personali, pertanto, deve quindi prescriversi a Cerved, ai sensi dell'art. 154, comma 1, lett. c) del Codice, di predisporre ogni misura necessaria e idonea a tutela dei diritti degli interessati (nel caso di specie, i soggetti censiti), volta a evitare l'associazione in un unico contesto a un soggetto di informazioni ad esso non direttamente riconducibili, in quanto relative ad accadimenti riferiti ad altri soggetti. Ciò, salvo che sussistano comprovati elementi che consentano di addebitare l'evento al comportamento di tali soggetti (cui il dossier si riferisce) ovvero che l'ordinamento preveda, in relazione a un determinato evento, il sorgere di responsabilità o di effetti direttamente in capo ai soggetti medesimi.

5. Princìpi di protezione dei dati personali e valutazioni contenute nei dossier Cerved 5.1. In determinati casi, i servizi della società non si limitano a fornire o ad aggregare elementi informativi già disponibili pubblicamente, ma, come detto, contengono valutazioni sintetiche –espresse nei dossier in tre classi: "bassa/nulla", "moderata", "elevata"– riferite a talune persone fisiche –individuate e denominate da Cerved "cariche rilevanti" (e identificate nei documenti riportanti "la lista delle cariche significative per la segnalazione" acquisiti come da verbale del 15 maggio 2008)– e alle imprese, suscettibili di incidere in modo consistente sull'apprezzamento sociale ed economico delle stesse.

Tali valutazioni sintetiche (introdotte nel 2005 "a seguito delle limitazioni al riutilizzo dei dati di conservatoria introdotte con la legge finanziaria del 2004") sono attualmente espresse da Cerved con l'indice "Rilevanza storica dei fenomeni di insolvibilità" (Rsfi) per le imprese e con l'"Indice storico eventi pubblici rilevanti" (Isepr) per le persone fisiche (ad eccezione di quelle "che non svolgono attività economiche" e di quelle "con cariche cessate e che non rivestono cariche gestionali attive", per le quali l'indice non viene calcolato: cfr. verbali 8 maggio 2008, p. 3 e 15 maggio 2008, p. 2).

L'indice Rsfi, denominazione per lungo tratto comune degli indici relativi tanto alle imprese che alle persone fisiche, è a parere di Cerved un "indice sintetico −che realizza al proprio interno il trattamento dei dati estratti unicamente da pubblici registri− che esprime la rilevanza degli eventi pregiudizievoli riscontrati sull'impresa o sulla persona oggetto di verifica" (cfr. allegato alla nota Cerved 17 aprile 2007, doc. 1).

Per la sua elaborazione, come anche dell'indice ora chiamato "Isepr" –che, a parere della società, rappresenta "un dato di sintesi degli elementi presenti nel dossier e non un giudizio valutativo" (verbale 15 maggio 2008, p. 3)– vengono prese in considerazione "informazioni facenti capo a tre macroaree, e precisamente: protesti, pregiudizievoli di conservatoria, procedura pregressa e fallimenti su imprese collegate", alle quali vengono poi applicati "fattori correttivi specifici quali, per i pregiudizievoli, l'importo modesto e la natura dell'evento, […] per la procedura pregressa e i fallimenti, la natura della carica rivestita e la quota di partecipazione detenuta", per i protesti, "la consistenza dell'importo dovuto, la data –più o meno risalente– dell'evento, ecc." (cfr. verbale 3 giugno 2008).

La società ha inoltre precisato che per il calcolo "Rsfi (che caratterizza il c.d. dossier impresa) […] rilevano non solo i protesti, i pregiudizievoli e i fallimenti riferiti alle imprese censite, ma anche dati personali riferiti agli esponenti/soci della medesima (quali, soci, amministratori e le altre cariche rilevanti già indicate da Cerved)" (verbale 3 giugno 2008, p. 2). Tuttavia, "solo le cariche gestionali che comportano responsabilità sono rilevanti ai fini dell'elaborazione degli indici": la società, infatti, "distingue tra qualifiche/cariche gestionali che implicano –ad es. amministratore e consigliere– o non implicano –ad es. curatore fallimentare– responsabilità rispetto agli eventi negativi della società (es. fallimento) e cariche di vigilanza –ad es. sindaco" (cfr. verbale del 15 maggio 2008, p. 2 e documentazione allegata).

5.2. Alla luce delle circostanze sopra descritte, deve ritenersi che tali indici, contrariamente a quanto ritenuto dalla società, non si manifestino quale mera sintesi di dati personali riferiti ai soggetti censiti estratti dai pubblici registri, ma costituiscano autonome valutazioni elaborate in proprio dalla stessa, con l'utilizzo di procedimenti informatici, attribuendo un peso ponderato secondo propri criteri di stima non disponibili pubblicamente, alle diverse informazioni associate all'individuo cui il giudizio si riferisce (protesti e pregiudizievoli di conservatoria) o riferite alle c.d. "imprese connesse" (cfr. Provv. 26 aprile 2007).

Come tali, essi costituiscono dati personali autonomi, originali e del tutto distinti dalle informazioni "di partenza" ricavate da fonti pubbliche, il cui trattamento –a differenza di quello relativo a dati pubblicamente disponibili– necessita del consenso degli interessati (art. 23 del Codice) o di uno degli altri presupposti equipollenti al consenso previsti dall'art. 24 del Codice.

Tale trattamento può essere quindi effettuato –impregiudicata l'eventuale responsabilità della società nel caso in cui siano lesi ingiustamente i diritti dei soggetti censiti (art. 15 del Codice)– solo in presenza del consenso degli interessati o in sua assenza, laddove si trattino dati relativi allo svolgimento di attività economiche (artt. 23 e 24, comma 1, lett. d) del Codice).

Ciò preclude quindi che, allo stato, gli indici sintetici possano essere elaborati all'interno del "dossier persona" in relazione a quei soggetti che, pur annoverati dalla società tra le c.d. "cariche rilevanti", non esercitino professionalmente un'attività economica e che non abbiano acconsentito a tale trattamento.

5.3. Inoltre, dalla documentazione in atti, emerge chiaramente che gli elementi che influiscono sulla commisurazione degli indici (sia sul Rfsi, sia sull'Isepr) non sono riconducibili esclusivamente al soggetto censito, ma anche a soggetti diversi.

Al riguardo, in relazione alla formazione del "dossier persona", gli elementi presi in considerazione dalla società (e variamente ponderati) per addivenire alla valutazione di sintesi non fanno esclusivo riferimento a fatti riferibili direttamente al soggetto censito (come accade per i protesti e i pregiudizievoli di conservatoria, per quanto, rispetto alle persone fisiche, tali circostanze valutate negativamente potrebbero riferirsi a vicende strettamente personali e nulla avere a che fare con lo svolgimento dell'attività economica da parte dell'interessato), ma tengono conto di eventi (anche negativi) che riguardano le c.d. "imprese connesse". Sotto questo profilo, pertanto, le operazioni di trattamento effettuate per addivenire al menzionato indice sintetico sono in contrasto (per le ragioni già sopra rappresentate ai punti 4.3. e 4.4., da intendersi qui integralmente richiamate) con il principio di correttezza, pertinenza e non eccedenza e si pongono in violazione del diritto all'identità personale, essendo espresso un giudizio su un determinato soggetto sulla base di vicende che interessano un soggetto distinto (artt. 2 e 11 del Codice). Ciò, in assenza peraltro di alcuna prova circa l'effettivo contributo dato dal soggetto censito alla mala gestio (fino al fallimento) dell'"impresa connessa", con una sorta di "responsabilità di posizione" in alcun modo riconosciuta dall'ordinamento (v., con riguardo, ad esempio, alla responsabilità degli amministratori gli artt. 2392 ss. cod. civ.).

Analogamente, in relazione alla formazione del "dossier impresa", gli elementi presi in considerazione da Cerved (e variamente ponderati) per addivenire alla valutazione di sintesi non fanno esclusivo riferimento a fatti riferibili direttamente all'impresa censita, essendo presa in considerazione una pluralità di eventi (anche negativi) che riguardano altri soggetti (quali, esponenti in carica o recessi e soci, rispetto ai quali si tiene conto anche di protesti o eventi pregiudizievoli in alcun modo ricollegabili alle attività esercitate per la società censita e finanche relativi a eventi di natura personale) e procedure pregresse o fallimenti relativi a imprese a questi "collegate" –espressione con cui "non si fa riferimento alla definizione contenuta nel codice civile, bensì [… ci] si riferisce a ogni impresa, diversa di quella censita, all'interno della quale operi -quale criterio di collegamento- una qualsivoglia carica rilevante" (cfr. verbale 3 giugno 2008, p. 2)– presso le quali gli esponenti menzionati hanno operato o operano.

In tali ipotesi ricorre un trattamento di dati personali non corretto, eccedente e non pertinente (art. 11, comma 1, lett. d), del Codice) suscettibile di mettere in cattiva luce la società censita: ad essa, infatti vengono associati eventi riferibili a terzi che a vario titolo operano o rivestono cariche presso la stessa (o alla medesima estranei, in quanto non più operanti presso di sé) e da tale associazione (che pure potrebbe riguardare vicende personali di detti esponenti e nulla avere a che fare con lo svolgimento dell'attività economica della stessa) vengono arbitrariamente desunte valutazioni sull'affidabilità commerciale della società censita (cfr. anche Provv. 24 novembre 2004).

Alla luce di tali considerazioni e al fine di conformare il trattamento ai princìpi di protezione dei dati personali, pertanto, deve vietarsi a Cerved, ai sensi dell'art. 154, comma 1, lett. d), del Codice l'ulteriore utilizzo, per l'elaborazione degli indici sintetici descritti, di informazioni non pertinenti e comunque non direttamente riconducibili agli interessati cui gli indici stessi si riferiscono, in quanto relative ad accadimenti riferiti a soggetti diversi e tali da ledere il diritto all'identità personale dei soggetti censiti.

5.4. In relazione, infine, alla terminologia utilizzata con la locuzione "bassa/nulla" (salvo quanto finora rappresentato), i rappresentanti della società hanno precisato che la stessa è stata introdotta, insieme all'indice Rsfi, nel 2005 "in considerazione della particolare onerosità che, al tempo, implicavano anche le visure negative (ovvero nei casi in cui non erano presenti pregiudizievoli)", con riferimento a "tutti quei casi in cui essendo i pregiudizievoli di modesta entità o assenti, si riteneva non economicamente conveniente fornire i dati di conservatoria, sopportando gli oneri del c.d. "riutilizzo"" (cfr. verbale 15 maggio 2008, p. 2).

A questo proposito deve rilevarsi –tenendo altresì conto del modificato quadro normativo in materia di riutilizzo commerciale dei dati pubblici (cfr. art. 1, commi 385 e 386, l. n. 296/2006, Legge finanziaria 2007 e i conseguenti decreti direttoriali dell'Agenzia del territorio del 4 maggio 2007, 18 dicembre 2007 e 6 giugno 2008)– che l'espressione utilizzata da Cerved risulta incongrua dal momento che sono utilizzati nel medesimo contesto due aggettivi che non sono sinonimi e che non consentono, se usati congiuntamente, di avere chiara e univoca contezza del quadro degli eventi pubblici ritenuti rilevanti relativi al ricorrente che la società intende con tale indice fornire (non risultando chiaro da tale espressione se l'indice sia "basso" o se esso sia "nullo"); ciò, tenuto conto del fatto che, in base alle informazioni a disposizione della società utilizzate per elaborare il proprio indice, il valore "nullo", distinguendosi necessariamente (e inequivocabilmente) da quello "basso", deve essere comunicato alla clientela coerentemente agli elementi presi a fondamento per commisurarlo.

Alla luce di tali considerazioni deve prescriversi a Cerved, ai sensi dell'art. 154, comma 1, lett. c) del Codice, di predisporre ogni misura necessaria e idonea a tutela dei diritti degli interessati per distinguere i casi nei quali, in base agli elementi a disposizione, non risultano elementi pregiudizievoli riferiti ai soggetti censiti (ipotesi in cui l'indice è "nullo") rispetto a quelli nei quali gli indici relativi all'affidabilità commerciale ne segnalano una misura stimata "bassa".

6. Dati riferiti alle interrogazioni effettuate in relazione al soggetto censito negli ultimi sei mesi 6.1. Gli accertamenti effettuati hanno altresì consentito di appurare che la società inserisce nei propri dossier, limitatamente agli ultimi sei mesi rispetto alla loro consultazione da parte della clientela, il numero delle interrogazioni effettuate e la tipologia dei soggetti che hanno richiesto le informazioni (computando a parte, tra questi, banche e finanziarie).

Dalle dichiarazioni rese è emerso che "tale informazione è riportata in quanto può risultare commercialmente appetibile"; "rispetto alla medesima, non viene acquisito il consenso degli interessati alla loro comunicazione, in considerazione del fatto che si tratta di informazioni relative all'attività economiche di cui all'art. 24 del Codice" (verbale 3 giugno 2008, p. 3; profilo ribadito nella comunicazione Cerved del 10 giugno 2008).

6.2. Anche in merito a tale profilo non risulta comprovata, ai sensi dell'art. 11 del Codice, la pertinenza dell'informazione resa rispetto alle finalità perseguite dalla società; peraltro, la comunicazione di tale tipologia di informazioni è suscettibile di rendere note indirettamente strategie commerciali del soggetto censito o il ricorso dello stesso ai canali creditizi (in questo senso potrebbero, ad esempio, deporre richieste numerose di consultazione del dossier in un ristretto arco temporale da parte di imprese bancarie).

Inoltre, il dato personale riferito alla frequenza delle interrogazioni effettuate, che è nell'esclusiva disponibilità di Cerved e rispetto alla cui comunicazione la società non risulta avere acquisito il consenso da parte degli interessati (art. 23 del Codice), non è di pubblico dominio, né riguarda in alcun modo l'attività economica del soggetto censito (art. 24, comma 1, lett. c) e d) del Codice), essendo piuttosto il frutto delle interrogazioni operate da altri indipendentemente dalla volontà del soggetto censito (né consistente nell'attività economica eventualmente dallo stesso posta in essere).

Alla luce di tali considerazioni deve vietarsi a Cerved, ai sensi dell'art. 154, comma 1, lett. d), del Codice l'ulteriore comunicazione alla clientela dei dati relativi al numero delle richieste di dossier informativi relativi ai soggetti censiti.

7. Dati ricavati dalle liste elettorali 7.1. Dagli accertamenti effettuati risulta pure che Cerved tratta dati personali ricavati dalle liste elettorali (v. punto 2.1.); in merito, la società ha dichiarato di osservare la previsione normativa di cui all'art. 177, comma 5, del Codice, in particolare per il perseguimento di un interesse collettivo e diffuso, ravvisandone gli estremi nella finalità di trasparenza nei rapporti economici e nelle transazioni commerciali.

Secondo Cerved, tale finalità potrebbe essere perseguita soltanto mediante l'utilizzo di una molteplicità di fonti pubbliche, sopperendo così "alle attuali lacune presenti nel Registro informatico dei protesti" al fine di assicurare "l'esatta attribuzione di un protesto mediante la creazione di un "nomario" in grado di misurare la frequenza di ciascun cognome in singoli ambiti territoriali" (al riguardo la società menziona, a titolo esemplificativo, i casi di contaminazione dei codici fiscali, nonché di codici fiscali con il 16° carattere di controllo formalmente errato, di associazione di anagrafiche a codici fiscali appartenenti ad altri soggetti: cfr. nota Cerved del 17 aprile 2007, p. 3). Più precisamente, i dati tratti dalle liste elettorali "vengono utilizzati per effettuare dei controlli con gli altri dati presenti nella banca dati Cerved (in particolare nei casi in cui non è presente il codice fiscale) per identificare, con minore margine di errore, un determinato soggetto" (cfr. verbale 8 maggio 2008, p. 3).

7.2. A tale proposito va rilevato che i dati estratti dalle liste elettorali sono utilizzati da Cerved per finalità diverse da quelle previste dal legislatore per tali elenchi all'art. 51, comma 5, del decreto del Presidente della Repubblica 20 marzo 1967, n. 223 (come modificato dall'art. 177, comma 5, del Codice), secondo cui "le liste elettorali possono essere rilasciate in copia per finalità di applicazione della disciplina in materia di elettorato attivo e passivo, di studio, di ricerca statistica, scientifica o storica, o carattere socio-assistenziale o per il perseguimento di un interesse collettivo o diffuso".

Quest'ultima disciplina preclude l'utilizzazione delle menzionate informazioni per finalità diverse da quelle ivi espressamente e tassativamente indicate, come accade relativamente al trattamento effettuato da Cerved, legate a ritenuti controlli di congruità sui dati trattati per rendere propri servizi.

Il trattamento di dati personali effettuato per tale finalità "aziendale" utilizzando i dati provenienti dai predetti tali elenchi si pone pertanto in violazione del principio di liceità del trattamento (art. 11 del Codice) e deve quindi vietarsi a Cerved, ai sensi dell'art. 154, comma 1, lett. d) del Codice il trattamento dei dati provenienti dalle liste elettorali per detta finalità.

8. Trattamento di dati personali ricavati dalle dichiarazioni dei redditi resi pubblici dall'Agenzia delle entrate 8.1. Nel corso degli accertamenti è stato dichiarato dai rappresentanti della società che, "in occasione della pubblicazione dei dati relativi ai redditi effettuata recentemente sul sito dell'Agenzia delle entrate, si era proceduto ad avviare l'acquisizione di detti dati. L'attività non è stata completata per tutto il territorio nazionale a seguito della sospensione del servizio". È stato altresì rappresentato che, "in conseguenza del provvedimento del Garante che ha accertato l'illiceità del trattamento di quei dati, gli stessi, pur ancora presenti nei sistemi della società, non sono stati integrati nei database forniti ai clienti" (verbale 15 maggio 2008, p. 1).

8.2. Questa Autorità si è già espressa in merito a detta problematica constatando l'illiceità del trattamento effettuato dall'Agenzia delle entrate, accertando la conseguente inutilizzabilità dei dati trattati (art. 11, comma 2, del Codice) e prescrivendo altresì che "coloro che hanno ottenuto i dati dei contribuenti provenienti, anche indirettamente, dal menzionato sito Internet, non possono metterli ulteriormente in circolazione stante la violazione di legge accertata" dall'Autorità. Il Garante ha altresì evidenziato che "l'ulteriore loro messa in circolazione –in particolare mediante reti telematiche o altri supporti informatici– configura un fatto illecito che, ricorrendo determinate circostanze, può avere anche natura di reato (artt. 11, commi 1, lett. a) e 2, 13, 23, 24, 161 e 167 del Codice)" (Provv. 6 maggio 2008).

Alla luce di tali considerazioni –non inficiate dalla disciplina introdotta con l'art. 42 del d.l. 25 giugno 2008, n. 112 (Disposizioni urgenti per lo sviluppo economico, la semplificazione, la competitività, la stabilizzazione della finanza pubblica e la perequazione tributaria), come modificata dalla legge di conversione 6 agosto 2008, n. 133– deve vietarsi a Cerved, ai sensi dell'art. 154, comma 1, lett. d), del Codice l'ulteriore trattamento dei dati personali relativi ai redditi dichiarati dai contribuenti per l'anno 2005, registrati in occasione della loro pubblicazione da parte dell'Agenzia delle entrate e prescrive alla società di cancellare gli stessi senza ritardo, dandone notizia a questa Autorità entro e non oltre il 2 febbraio 2009.

9. Prescrizioni e termine per adempiere Valutati gli adempimenti da svolgere e tenuto conto dei diritti delle persone interessate appare congruo e necessario che la società ottemperi alle medesime prescrizioni entro e non oltre la data del 2 febbraio 2009, dandone contestuale e documentato riscontro a questa Autorità.

TUTTO CIÒ PREMESSO, IL GARANTE:

1) prescrive a Cerved Business Information S.p.A., ai sensi dell'art. 154, comma 1, lett. c), del Codice, di predisporre ogni misura necessaria e idonea a tutela dei diritti degli interessati volta a:

a) evitare l'associazione a un soggetto di informazioni ad esso non direttamente riconducibili, in quanto relative ad accadimenti riferiti ad altri soggetti, salvo che sussistano comprovati elementi che consentano di addebitare l'evento al comportamento di tali soggetti (cui il dossier si riferisce), ovvero che l'ordinamento preveda, in relazione ad un determinato evento, il sorgere di responsabilità o di effetti direttamente in capo ai soggetti medesimi (punto 4.4.);

b) distinguere i casi nei quali, in base agli elementi a disposizione, non risultano elementi pregiudizievoli riferiti ai soggetti censiti (ipotesi in cui l'indice è "nullo") rispetto a quelli nei quali gli indici relativi all'affidabilità commerciale ne segnalano una misura stimata "bassa" (punto 5.4.);

2) vieta a Cerved Business Information S.p.A., ai sensi dell'art. 154, comma 1, lett. d) del Codice:

a) l'utilizzo, per l'elaborazione degli indici sintetici descritti, di informazioni non pertinenti e comunque non direttamente riconducibili agli interessati cui gli indici stessi si riferiscono in quanto relative ad accadimenti riferiti ad altri soggetti e tali da ledere il diritto all'identità personale dei soggetti censiti (punti 5.3. e 4.4.);

b) la comunicazione alla clientela dei dati relativi al numero delle richieste di dossier informativi relativi ai soggetti censiti (punto 6.2.);

c) il trattamento dei dati provenienti dalle liste elettorali per effettuare controlli di congruità al fine di rendere propri servizi (punto 7.2.);

d) il trattamento dei dati personali relativi ai redditi dichiarati dai contribuenti per l'anno 2005, registrati in occasione della loro pubblicazione da parte dell'Agenzia delle entrate e prescrive alla società di cancellare gli stessi senza ritardo (punto 8.2.);

3) prescrive che Cerved Business Information S.p.A. dia dettagliato e documentato riscontro a questa Autorità, entro e non oltre il 2 febbraio 2009, delle misure adottate per conformare i trattamenti effettuati alle prescrizioni del presente provvedimento, fornendo ogni informazione utile al riguardo.

Roma, 30 ottobre 2008

Il presidente
Pizzetti

Il relatore
Pizzetti

Il segretario generale
Buttarelli