Garante per la protezione
    dei dati personali

Provvedimento del 12 febbraio 2004

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

In data odierna, in presenza del prof. Stefano Rodot, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Gaetano Rasi e del dottor Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale;

Esaminato il ricorso presentato da Alberto Terrinoni, in proprio e nella qualit di vice presidente del Consiglio di amministrazione di Confidi & servizi s.c.r.l., e Confidi & servizi s.c.r.l., in persona del legale rappresentante, Andrea Terrinoni, rappresentati e difesi dall'avv. Ivano Cimatti presso il cui studio hanno eletto domicilio

nei confronti di

Banca di Roma S.p.A.;

Visti gli articoli 7, 8 e 145 e s. del d.lg. 30 giugno 2003, n. 196;

Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Stefano Rodot;

PREMESSO:

I ricorrenti affermano di non aver ricevuto idoneo riscontro ad una istanza formulata nei confronti di Banca di Roma S.p.A. con la quale avevano chiesto di accedere, ai sensi dell'art. 13 della legge n. 675/1996 (ora, artt. 7 e 8 del d.lg. n. 196/2003, in vigore dal 1 gennaio 2004), al contenuto di "una formale lettera di protesta e di lamentela nei confronti" della societ ricorrente, contenente dati personali, inviata all'istituto bancario il 22 aprile 2002 da un imprenditore che aveva collaborato con la societ. Il rapporto contrattuale con tale imprenditore si era peraltro interrotto "in ragione di difformi e antitetiche strategie imprenditoriali" ed ha portato all'insorgere di una controversia civile in corso, nella quale il documento in questione sarebbe stato gi utilizzato dal suo autore.

La banca titolare del trattamento, che aveva risposto ad una precedente istanza ai sensi dell'art. 13 della citata legge n. 675/1996 riassumendo solo in termini generali il contenuto della missiva e ritenendo inapplicabile la normativa sulla protezione dei dati personali, si riportata a quanto comunicato ai ricorrenti in tale occasione.

Con il ricorso proposto al Garante ai sensi dell'art. 29 della legge n. 675/1996 (ora, art. 145 del d.lg. n. 196/2003) gli interessati hanno ribadito le proprie richieste.

All'invito ad aderire spontaneamente a tali richieste formulato da questa Autorit il 30 dicembre 2003 ai sensi dell'art. 20 del d.P.R. n. 501/1998 (ora, art. 149 del d.lg. n. 196/2003), la resistente ha risposto con nota anticipata via fax il 12 gennaio 2004, allegando copia dei riscontri precedentemente inviati ai ricorrenti e, tra essi, di una nota inoltrata a questa Autorit nel procedimento relativo ad un precedente ricorso proposto dalla societ ricorrente in ordine alla medesima questione (e dichiarato inammissibile in data 25 novembre 2002), con la quale la resistente aveva depositato presso il Garante copia della missiva in questione al fine di consentire a questa Autorit "di valutare il ritiro presso di s da parte del ricorrente della predetta lettera".

Nell'audizione del 23 gennaio 2004 i ricorrenti hanno sostenuto che i dati personali ad essi relativi contenuti nella lettera in questione rivestirebbero "particolare valore in quanto () utili e necessari per l'esercizio del diritto di difesa".

CI PREMESSO IL GARANTE OSSERVA:

Il ricorso verte su una richiesta che va qualificata e presa in esame come istanza di accesso ai singoli dati personali contenuti in una missiva ricevuta e detenuta da un istituto di credito.

Il ricorso fondato.

La missiva in questione detenuta dalla banca resistente, che riveste il ruolo di titolare del trattamento soggetto all'ambito applicativo della legge n. 675/1996, reca alcuni dati personali relativi a entrambi i ricorrenti.

Trattasi in particolare di informazioni relative a rapporti intercorsi tra i ricorrenti e l'autore della missiva in ordine alla costituzione di una filiale Confidi per la Lombardia di cui il medesimo autore era stato designato amministratore delegato.

I dati sono relativi al versamento di somme, alle relative finalit, alla loro restituzione e a rapporti di credito. Si tratta di informazioni quasi esclusivamente di tipo obiettivo (fatta eccezione di una sola valutazione in tema di affidabilit), che assumono la natura di dati personali secondo la corrispondente definizione adottata dalla direttiva comunitaria 95/46/CE e dall'art. 4, comma 1, lettera b), del d.lg. n. 196/2003 (per il quale per "dato personale" deve intendersi "qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale"). Ci a prescindere dal relativo supporto cartaceo o informatizzato e dall'archivio nel quale le stesse sono oggetto di eventuale altra registrazione.

pertanto legittima una richiesta di accesso (per Alberto Terrinoni, nella sola qualit di persona fisica e non anche di esponente della societ ricorrente, gi presente nel procedimento per mezzo del legale rappresentante). Tale richiesta, nel caso di specie, stata formulata con espresso riferimento all'art. 13 della legge n. 675/1996 (ora, artt. 7 e 8 del d.lg. n. 196/2003) e rileva utilmente come richiesta di accesso ai dati personali dei ricorrenti, e non di terzi, contenuti nella missiva, anzich come richiesta di accedere al documento nella sua interezza.

L'art. 10 del d.lg. n. 196/2003, relativo alle modalit di riscontro da parte del titolare del trattamento ad un'istanza di accesso ai sensi dell'art. 7 del medesimo decreto, non prevede il necessario rilascio di copie di atti e documenti in quanto obbliga, pi precisamente, il titolare o il responsabile del trattamento ad estrarre dai propri archivi e documenti tutte le informazioni che riguardano il richiedente e a riferirle a quest'ultimo con modalit idonee a rendere i dati agevolmente comprensibili e, se richiesto, trasponendole su supporto cartaceo o informatico.

L'accesso, quindi, non obbliga ad esibire ogni documento dal quale possono essere estrapolati i dati personali. Solo quando insorgano particolari difficolt obiettive ad estrarre i dati e a trasporli su tali supporti, anche in ragione della quantit, qualit e dislocazione dei dati richiesti all'interno di documenti, e non sia parimenti possibile la loro trasmissione per via telematica, il titolare pu riscontrare la richiesta dell'interessato permettendo allo stesso di visionare gli atti e documenti contenenti i dati che lo riguardano e di estrarre copia degli stessi. Non possibile poi scomporre eventuali dati riferiti a terzi o privarli di alcuni elementi quando tali operazioni rendano incomprensibili i dati relativi agli interessati (art. 10, commi 4 e 5, d.lg. cit.).

A prescindere quindi dai diritti che le parti potrebbero eventualmente esercitare in riferimento all'utilizzo della missiva nel precedente procedimento dinanzi al Garante e in sede giudiziaria, Banca di Roma S.p.A. dovr consentire ai ricorrenti l'accesso a tutte le informazioni personali che li riguardano contenute nella missiva medesima, entro il termine congruo del 20 aprile 2004 e dandone conferma a questa Autorit entro lo stesso termine. Nell'osservare le modalit sopraindicate, la resistente mantiene quindi il diritto di sottrarre dall'accesso le indicazioni contenute nel penultimo periodo della missiva in questione, che riguardano profili relativi a condotte da tenersi da parte della resistente (art. 8, comma 4, d.lg. cit.).

PER QUESTI MOTIVI IL GARANTE:

in parziale accoglimento del ricorso ordina a Banca di Roma S.p.A. di corrispondere alla richiesta di accesso di Alberto Terrinoni quale persona fisica, nonch della societ resistente, nei modi e nei termini di cui in motivazione anche per quanto riguarda la conferma di tale adempimento a questa Autorit.

Roma, 12 febbraio 2004

Il presidente
Rodotà

Il relatore
Rodotà

Il segretario generale
Buttarelli