Garante per la protezione
    dei dati personali


Provvedimento del 10 dicembre 2003

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Stefano Rodotł, presidente, del prof. Giuseppe Santaniello vice presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale;

Esaminato il ricorso presentato da XY

nei confronti di

Crif S.p.A.;

Visti gli articoli 13 e 29 della legge 31 dicembre 1996, n. 675 e gli articoli 18, 19 e 20 del d.P.R. 31 marzo 1998, n. 501;

Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Giuseppe Santaniello;

PREMESSO:

Il ricorrente, i cui dati personali risultano censiti nella banca dati di Crif S.p.A. in relazione a diversi finanziamenti (alcuni dei quali conclusi con andamento regolare, altri per i quali si sono verificati inadempimenti), afferma di non aver ricevuto riscontro da Crif S.p.A. ad un'istanza di opposizione per motivi legittimi, con ulteriore revoca del consenso, formulata ai sensi dell'art. 13 della legge n. 675/1996.

Con la medesima istanza l'interessato aveva chiesto la cancellazione dei dati con attestazione dell'avvenuta comunicazione della stessa ai soggetti cui i dati erano stati comunicati o diffusi. Ulteriori richieste erano state formulate in via subordinata.

Nel ricorso presentato a questa Autoritł ai sensi dell'art. 29 della legge n. 675/1996 il ricorrente, nel ribadire le richieste gił formulate, ha chiesto al Garante di ordinare alla resistente la cancellazione dei dati che lo riguardano, non avendo piŁ intenzione "di consentire la trasmissione dei propri dati personali ad altri soggetti".

A seguito dell'invito ad aderire formulato da questa Autoritł in data 21 ottobre 2003, ai sensi dell'art. 20 del d.P.R. n. 501/1998, Crif S.p.A., con nota inviata via fax il 7 novembre 2003, ha sostenuto:

      di aver sospeso la visibilitł delle posizioni relative al ricorrente attualmente censite nella propria banca dati, "come misura adottata a scopo cautelativo, al fine di apprestare idonea tutela alle ragioni dell'interessato";

      che tale misura "esclude in radice la possibilitł per gli enti finanziatori aderenti alla centrale rischi di Crif di prendere conoscenza delle informazioni medesime";

      di non ritenere legittima la volontł di revoca del consenso manifestata dal ricorrente (non trovando essa "alcun fondamento nell'attuale assetto normativo della materia") che deve essere interpretata quale sostanziale opposizione al trattamento per motivi legittimi;

      di non ritenere tuttavia che il ricorrente abbia dimostrato la sussistenza di "alcuna circostanza concreta che possa assurgere a motivo legittimo di opposizione al trattamento (╔)";

      di aver gił verificato con gli enti finanziatori che i dati censiti sono "esatti, aggiornati e consentiti" dall'interessato e quindi trattati in modo conforme alla legge;

      di ritenere "ancora giustificato e legittimo il trattamento operato da Crif nel perseguimento della finalitł di prevenzione e controllo del rischio di insolvenza" in riferimento alle segnalazioni relative a finanziamenti ancora in corso;

      di avere sospeso anche la visualizzazione di due posizioni relative ad "insolvenze regolarizzate da piŁ di un anno (╔) come prima misura a seguito dell'emanazione del Provvedimento generale del Garante del 31.07.2002".

CI˝ PREMESSO IL GARANTE OSSERVA:

Il ricorso consegue all'opposizione per motivi legittimi alla permanenza presso una c.d. "centrale rischi" privata di alcuni dati personali del ricorrente con conseguente connessa cancellazione dalla predetta banca dati.

Malgrado la pluralitł delle espressioni utilizzate, le istanze proposte integrano un'unica, sostanziale domanda, caratterizzata da una opposizione per motivi legittimi all'ulteriore trattamento dei dati presso la predetta "centrale rischi", mediante loro cancellazione per effetto dell'intervenuta revoca del consenso che nel caso di specie rappresenta, allo stato, l'unico presupposto idoneo del trattamento ai sensi dell'art. 20 della legge n. 675/1996.

Il trattamento effettuato dalla "centrale rischi" in qualitł di autonomo titolare del trattamento -che, come tale, sulla base di alcuni accordi del sistema di rilevazione del rischio creditizio, ed in relazione al concreto andamento del rapporto di finanziamento monitorato dalla banca o dalla finanziaria che ha concesso il prestito, interviene sui dati personali che le sono trasmessi dagli enti segnalanti- Ć in termini generali lecito, ma basato nella fattispecie solo sul consenso che, come detto, Ć stato revocato.

Il ricorso deve essere accolto in parte. Tra le diverse posizioni relative al ricorrente censite nella banca dati di Crif S.p.A., due di esse (corrispondenti ai nn. 3 e 6 del report allegato in atti dalla resistente e aggiornato al 7 novembre 2003) sono relative a finanziamenti i cui andamenti sono stati regolari e che risultano conclusi da oltre un anno senza debiti residui o pendenze. La permanenza di tali dati negli archivi della resistente, peraltro non indicativi di condotte "negative" dell'interessato, non risulta giustificata in base all'art. 9, comma 1, lett. e), della legge n. 675/1996, stante anche la predetta opposizione e tenuto conto del tempo trascorso dall'estinzione dei due finanziamenti in questione senza che vi sia stato all'epoca e vi sia tuttora alcun ritardo, residuo o pendenza da saldare. Crif S.p.A. dovrł pertanto cancellare tali posizioni, entro un termine che appare congruo fissare al 29 febbraio 2004.

Per quanto concerne le rimanenti posizioni censite in banca dati, in ordine all'opposizione in esame e conformemente a quanto disposto dal Garante in precedenti decisioni, va invece ritenuta congrua, quale misura necessaria a tutela dei diritti dell'interessato e in luogo della integrale cancellazione, quella della sospensione temporanea della comunicazione a terzi dei dati personali relativi ai rapporti di finanziamento e della conseguente visibilitł nella predetta banca dati.

Crif S.p.A., nel corso del procedimento, ha attestato di aver gił adottato tale misura nelle more dell'adozione del codice deontologico previsto in materia dall'art. 20, comma 2, lett. e), del d.lg. n. 467/2001 e dei connessi, eventuali, provvedimenti del Garante attuativi del d.lg. n. 467/2001 e del citato codice deontologico (artt. 12, comma 1, lett. h-bis, 20, comma 1, lett. h-bis e 24-bis legge n. 675/1996; art. 20, comma 2, lett. e), d.lg. n. 467/2001; artt. 17 e 117 d.lg. 30 giugno 2003, n. 196).

Deve pertanto dichiararsi per tale profilo non luogo a provvedere ai sensi dell'art. 20, comma 2, del d.P.R. n. 501/1998.

PER QUESTI MOTIVI IL GARANTE:

a) accoglie parzialmente il ricorso in ordine alla richiesta di cancellare i dati personali relativi ai due finanziamenti conclusisi da piŁ di un anno (e riportati nelle posizioni nn. 3 e 6 del report allegato in atti dalla resistente e aggiornato al 7 novembre 2003) e ordina a Crif S.p.A. di cancellare tali dati entro il 29 febbraio 2004, dando comunicazione di tale adempimento anche a questa Autoritł entro la medesima data;

b) dichiara non luogo a provvedere ai sensi dell'art. 20, comma 2, del d.P.R. n. 501/1998 in ordine alle rimanenti posizioni censite nella banca dati di Crif S.p.A.

Roma, 10 dicembre 2003

Il presidente
Rodotà

Il relatore
Santaniello

Il segretario generale
Buttarelli