Garante per la protezione
    dei dati personali

Provvedimento del 8 novembre 2004

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Stefano Rodot, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale;

Esaminato il ricorso presentato da Massimiliano Scibetta, rappresentato e difeso dall'avv. Gabriele Gianese e dal dott. Luca Di Martino presso il cui studio ha eletto domicilio

nei confronti di

Crif S.p.A.;

Visti gli articoli 7, 8 e 145 s. del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Gaetano Rasi;

PREMESSO:

L'interessato afferma di non aver ricevuto adeguato riscontro ad un'istanza formulata il 25 maggio 2004 ai sensi degli artt. 7 e 8 del Codice con la quale aveva chiesto a Crif S.p.A. la cancellazione dai relativi archivi di alcuni dati che riguardano un prestito personale e due richieste di mutuo immobiliare (indicati, rispettivamente, alle posizioni n. 2 e 3 del report Crif del 1 luglio 2003 e n. 2 del report Crif del 5 aprile 2004), l'indicazione dei soggetti che possono venire a conoscenza dei dati, nonch l'attestazione che la cancellazione era stata portata a conoscenza di coloro cui i dati erano stati comunicati o diffusi. L'interessato aveva precedentemente chiesto (con un'istanza formulata il 30 marzo 2004) di conoscere gli estremi identificativi del titolare e del responsabile del trattamento, l'origine dei dati stessi, le finalit e le modalit del trattamento, i soggetti cui i dati possono essere comunicati o che possono venirne a conoscenza, nonch la conferma dell'esistenza dei dati che lo riguardano e la loro comunicazione in forma intelligibile.

Nel ricorso presentato a questa Autorit ai sensi dell'art. 145 del Codice il ricorrente ha ribadito tutte le richieste precedentemente presentate sostenendo che la raccolta e la conservazione dei dati che lo riguardano da parte di Crif S.p.A. non sarebbe lecita per invalidit del consenso, non avendo la societ fornito la prescritta informativa sul trattamento dei dati personali. Il ricorrente ha anche chiesto di porre a carico della controparte le spese sostenute per il procedimento.

All'invito ad aderire formulato ai sensi dell'art. 149 del Codice da questa Autorit in data 24 giugno 2004, Crif S.p.A., con fax inviato il 2o luglio 2004, ha comunicato di aver cancellato le posizioni nn. 2 e 3 del report Crif del 1 luglio 2003 . Per quanto concerne invece la posizione n. 2 del report Crif del 5 aprile 2004, tuttora censita da Crif S.p.A., che fa riferimento ad una richiesta di mutuo ipotecario rivolta a Banca Monte dei Paschi di Siena S.p.A. il 6 febbraio 2004, la resistente ha sostenuto che, non essendo all'epoca decorsi i sei mesi di conservazione, il trattamento dei dati viene effettuato "nel rispetto del principio di proporzionalit sancito dall'articolo 11, comma 1, lett. e), del d.lg. 196/03 ed anche in eventuale applicazione dei criteri guida temporali indicati dall'Autorit garante nel provvedimento generale in materia di centrali rischi private del 31.07.02". Ha pertanto chiesto il rigetto del ricorso e la compensazione integrale delle spese del procedimento.

Crif S.p.a.:

      ritiene inoltre di essere legittimata a trattare i dati in virt del consenso al trattamento raccolto per conto della stessa dall'ente finanziatore aderente alla centrale rischi, dopo il rilascio di idonea informativa;

      nel riscontrare le ulteriori richieste dell'interessato, ha precisato che le categorie dei soggetti ai quali i dati possono essere comunicati "sono rappresentate, ad oggi, da banche, societ finanziarie, societ di telecomunicazioni aderenti al sistema di referenza creditizia di Crif";

      ha fornito alcune indicazioni in ordine al titolare del trattamento, all'origine dei dati (menzionando l'ente che ha inserito i relativi dati), alle finalit ("prevenzione e controllo del rischio di insolvenza oltre che referenza creditizia"), nonch alle modalit, automatizzate e cartacee, del trattamento dei dati.

Con memoria inviata il 21 luglio 2004 il ricorrente ha contestato le asserzioni di controparte, con particolare riguardo alla conservazione dei dati relativi alla richiesta di mutuo rivolta a Banca Monte dei Paschi di Siena S.p.A.

Successivamente alla proroga del termine per la decisione sul ricorso ai sensi dell'art. 149, comma 7, del Codice, con nota inviata il 22 ottobre 2004 Crif S.p.A. ha confermato la cancellazione dei dati relativi alla richiesta di finanziamento rivolta a Banca Monte dei Paschi di Siena S.p.A. il 6 febbraio 2004.

CI PREMESSO IL GARANTE OSSERVA:

Il ricorso concerne il trattamento dei dati effettuato da una c.d. "centrale rischi" privata.

In ordine alle richieste volte ad ottenere conferma dell'esistenza dei dati, ad ottenerne comunicazione in forma intelligibile, a conoscere gli estremi identificativi del titolare e del responsabile del trattamento, l'origine dei dati, le finalit e le modalit del trattamento, nonch i soggetti o le categorie di soggetti cui i dati possono essere comunicati o che possono venirne a conoscenza, il ricorso non risulta fondato avendo il ricorrente ottenuto sufficiente risposta prima del ricorso, con i due riscontri datati 5 aprile 2004 e 28 maggio 2004.

In ordine alla richiesta di cancellazione dei dati, va dichiarato non luogo a provvedere sul ricorso ai sensi dell'art. 149, comma 2, del Codice, avendo la resistente attestato, con dichiarazione della cui veridicit l'autore risponde anche ai sensi dell'art. 168 del Codice ("Falsit nelle dichiarazioni e notificazioni al Garante"), di aver rimosso dai propri archivi i dati personali contestati.

Parimenti, va dichiarato non luogo a provvedere sul ricorso in ordine alla richiesta attestazione che l'operazione di cancellazione portata a conoscenza dei soggetti cui i dati sono stati comunicati. Come emerso dai riscontri forniti da Crif S.p.A. anche in altri analoghi procedimenti, risulta che gli enti aderenti alla predetta "centrali rischi" privata sono in grado di visualizzare "in tempo reale" tutti i dati detenuti in relazione ai soggetti censiti e sono messi a conoscenza, con tale soluzione equipollente, dell'eventuale intervenuta rimozione di alcuna o di tutte le informazioni dalla banca dati stessa.

L'ammontare delle spese sostenute nel presente procedimento determinato ai sensi dell'art. 150, comma 3, del Codice, nella misura forfettaria di euro 250, di cui euro 25,82 per diritti di segreteria, tenuto conto degli adempimenti connessi alla redazione e presentazione del ricorso al Garante. Il medesimo ammontare posto in misura pari a 100 euro a carico del titolare del trattamento, previa compensazione della restante parte per giusti motivi legati al contenuto del riscontro fornito.

PER QUESTI MOTIVI IL GARANTE:

a) dichiara infondato il ricorso in ordine alle richieste volte a conoscere il titolare, il responsabile, le finalit e le modalit del trattamento, l'origine e il contenuto dei dati, i soggetti o le categorie di soggetti cui i dati possono essere comunicati o che possono venirne a conoscenza, nonch la conferma della loro esistenza;

b) dichiara non luogo a provvedere sul ricorso in ordine ai restanti profili;

c) determina nella misura forfettaria di euro 250, di cui 25,82 per diritti di segreteria, l'ammontare delle spese e dei diritti del presente procedimento che pone in misura pari a 100 euro, previa compensazione per giusti motivi della residua parte, a carico della resistente, la quale dovr liquidarlo direttamente a favore del ricorrente.

Roma, 8 novembre 2004

Il presidente
Rodotà

Il relatore
Rasi

Il segretario generale
Buttarelli