g-docweb-display Portlet

Provvedimento del 16 settembre 2004 [1068987]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 1068987]

Provvedimento del 16 settembre 2004

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale;

Esaminato il ricorso presentato da Moreno Mietta, rappresentato e difeso dall´avv. Gabriele Gianese e dal dott. Luca Di Martino presso il cui studio ha eletto domicilio

nei confronti di

Crif S.p.A.;

Visti gli articoli 7, 8 e 145 s. del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

Viste le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Giuseppe Santaniello;

PREMESSO:

L´interessato afferma di non aver ricevuto adeguato riscontro ad un´istanza formulata ai sensi degli artt. 7 e 8 del Codice con la quale aveva chiesto a Crif S.p.A. la cancellazione dai relativi archivi dei dati che lo riguardano, nonché l´attestazione che tale operazione era stata portata a conoscenza di coloro cui i dati erano stati comunicati o diffusi; aveva inoltre chiesto di conoscere gli estremi identificativi del titolare e del responsabile del trattamento, nonché i soggetti cui i dati possono essere comunicati o che possono venirne a conoscenza.

Con nota del 1° aprile 2004 Crif S.p.A. aveva precisato all´interessato che le segnalazioni nn. 2-5-6-7-8-9-10-11 indicate nel report Crif del 25 febbraio 2004 (fornito con un precedente riscontro) non erano più presenti nella propria banca dati. Le segnalazioni censite con riguardo all´interessato erano quindi riferite:

  1. ad un prestito personale erogato da San Paolo Imi S.p.A. il 7 agosto 2000 ed estinto l´8 maggio 2001 senza alcuna segnalazione di insolvenza;
  2. ad un prestito personale erogato da Banca Intesa S.p.A. il 17 giugno 1999 ed estinto il 17 giugno 2001 senza alcuna segnalazione di insolvenza;
  3. ad una richiesta di mutuo ipotecario rivolta a San Paolo Imi S.p.A. il 15 dicembre 2003;
  4. ad una richiesta di "impegni su bollette" rivolta ad H3G S.p.A. il 19 febbraio 2004;
  5. ad un mutuo ipotecario erogato da San Paolo Imi S.p.A. il 7 maggio 2001 ed estinto il 9 dicembre 2003 senza alcuna segnalazione di insolvenza.

Nel ricorso presentato a questa Autorità ai sensi dell´art. 145 del Codice, il ricorrente ha ribadito le richieste volte ad ottenere la cancellazione dei dati e la predetta attestazione, nonché a conoscere gli estremi identificativi del titolare e del responsabile del trattamento e dei soggetti che possono venire a conoscenza dei dati.

Il ricorrente ha anche formulato una nuova richiesta volta a conoscere l´origine dei dati, le modalità e le finalità del trattamento, ed ha anche chiesto di porre a carico della resistente le spese sostenute per il procedimento.

All´invito ad aderire formulato ai sensi dell´art. 149 del Codice da questa Autorità in data 12 maggio 2004, Crif S.p.A., con fax inviato il 31 maggio 2004, ha ribadito che la segnalazione relativa ad un prestito erogato da Deutsche Bank S.p.A. il 5 luglio 2000 (indicata nel citato report del 25 febbraio 2004 e di cui era stata successivamente comunicata la cancellazione) non era più presente nei propri archivi ed ha altresì comunicato di avere nel frattempo cancellato la segnalazione relativa alla richiesta di mutuo ipotecario rivolta a San Paolo Imi S.p.A. il 15 dicembre 2003 (posizione C) predetta).

La resistente, nel riscontrare le ulteriori richieste dell´interessato, ha affermato che le categorie dei soggetti ai quali i dati personali possono essere comunicati "sono rappresentate, ad oggi, da banche, società finanziarie, società di telecomunicazioni aderenti al sistema di referenza creditizia di Crif". La medesima resistente ha infine fornito indicazioni in ordine all´origine dei dati ("con la menzione all´interno delle singole posizioni dell´ente che ha contribuito le stesse"), alle finalità di prevenzione e controllo del rischio di insolvenza oltre che di "referenza creditizia", nonché alle modalità automatizzate e cartacee del trattamento dei dati. La resistente ha inoltre chiesto che il Garante dichiari non luogo a provvedere sul ricorso compensando le spese del procedimento.

Con nota inviata il 14 luglio 2004, in risposta ad una formale richiesta avanzata ai sensi degli artt. 150, comma 2 e 157 del Codice, successivamente alla proroga del termine di decisione sul ricorso ai sensi dell´art. 149, comma 7, del Codice, Crif S.p.A. ha rilasciato ulteriori dichiarazioni in ordine alla segnalazione riferita alla richiesta di "impegni su bollette" rivolta ad H3G S.p.A. il 19 febbraio 2004. Al riguardo la resistente ha sostenuto che:

  • i dati le sono stati comunicati da una società di telecomunicazioni, H3G S.p.A., che ha concluso con Crif S.p.A. "apposito contratto per l´adesione al sistema di referenza creditizia della scrivente";
  • la richiesta in questione, tuttora in fase di valutazione da parte di H3G S.p.A., ha ad oggetto l´abbonamento ad un servizio di telefonia mobile "la cui formula di pagamento è a consuntivo e quindi differita rispetto all´erogazione del servizio". Ciò giustificherebbe - secondo la resistente - l´esigenza da parte del fornitore H3G S.p.A. di verificare mediante l´interrogazione della citata banca dati l´affidabilità e la puntualità nei pagamenti del richiedente, così come sarebbe a suo avviso proporzionato "l´interesse -anche ai fini di evitare il rischio di sovraindebitamento- di tutti gli enti partecipanti al sistema di referenza creditizia di Crif a conoscere gli impegni di pagamento (siano essi dilazionati o differiti) assunti da un determinato interessato".

CIÒ PREMESSO IL GARANTE OSSERVA:

Il ricorso concerne il trattamento dei dati effettuato da una c.d. "centrale rischi" privata.

In ordine alle nuove richieste volte a conoscere l´origine dei dati, il titolare, le finalità e le modalità del trattamento, il ricorso è inammissibile. Tali istanze (alle quali Crif S.p.A. ha comunque fornito sufficienti riscontri) sono state formulate per la prima volta in sede di ricorso e non sono state avanzate previamente nell´interpello proposto ai sensi degli artt. 7 e 8 del Codice.

In ordine alla richiesta di conoscere i soggetti o le categorie di soggetti cui i dati possono essere comunicati o che possono venirne a conoscenza, va dichiarato non luogo a provvedere sul ricorso ai sensi dell´art. 149, comma 2, del Codice avendo la resistente fornito adeguato riscontro.

Il ricorso deve invece essere accolto in ordine alla richiesta di conoscere gli estremi identificativi del responsabile del trattamento eventualmente designato ai sensi dell´art. 29 del Codice, profilo in ordine al quale non è stato fornito alcun riscontro. La resistente dovrà pertanto corrispondere a tale richiesta, comunicando all´interessato ed a questa Autorità, entro il 10 novembre 2004, gli estremi identificativi del/i responsabile/i eventualmente designato/i.

In ordine alla richiesta di cancellare i dati riferiti al prestito personale erogato da San Paolo Imi S.p.A. il 7 agosto 2000 ed estinto l´8 maggio 2001, nonché al prestito personale erogato da Banca Intesa S.p.A. il 17 giugno 1999 ed estinto il 17 giugno 2001, ed alla relativa attestazione relativa ai soggetti cui i dati erano stati comunicati (posizioni A) e B) di cui in premessa), il ricorso deve essere parimenti accolto. Dalla documentazione in atti risulta che tali posizioni si riferiscono a finanziamenti estinti da tempo e senza alcuna segnalazione di insolvenze. A prescindere dalla mancanza di specifiche annotazioni "negative" per il ricorrente, l´ulteriore divulgazione in rete a banche e a società finanziarie dei dati riferiti a posizioni estinte da tempo risulta eccedente rispetto alle finalità originarie per le quali i dati furono raccolti e trattati, in violazione di quanto stabilito dall´art. 11, comma 1, lett. d), del medesimo Codice.

In parziale accoglimento del ricorso va quindi disposta, quale "misura necessaria a tutela dei diritti dell´interessato" (art. 150, comma 2, del Codice), la cancellazione dei dati che si riferiscono ai medesimi finanziamenti concessi da San Paolo Imi S.p.A. e Banca Intesa S.p.A., da effettuarsi entro il 10 novembre 2004. Entro il medesimo termine la resistente dovrà confermare al ricorrente la cancellazione e fornirgli la richiesta attestazione che la cancellazione è stata portata a conoscenza dei soggetti cui i dati erano stati comunicati, dando conferma di tale duplice riscontro anche a questa Autorità.

Parimenti, in parziale accoglimento del ricorso va disposta, "quale misura necessaria a tutela dei diritti dell´interessato" ai sensi dell´art. 150, comma 2, del Codice, la cancellazione dei dati concernenti la richiesta di abbonamento telefonico alla società H3G S.p.A. (posizione D)).

Il trattamento di determinati tipi di dati nel contesto degli archivi delle c.d. "centrali rischi private" ha un significativo impatto sui diritti degli interessati e può considerarsi lecito nella misura in cui sia proporzionato e finalizzato a scopi di tutela del credito, di contenimento dei relativi rischi e dell´eccessivo indebitamento da parte degli interessati, con particolare riferimento al credito al consumo.

La specifica caratteristica di tali trattamenti non permette quindi di considerare lecite, nel medesimo contesto, operazioni di raccolta e di diffusione ad un numero indeterminato di soggetti aderenti alla "centrale rischi", di dati che non riguardano il rischio creditizio e che attengono, in particolare, a contratti di somministrazione continuata di beni o servizi o a ben differenti situazioni di pagamenti semplicemente differiti o con scadenze periodiche.

La compresenza nella "centrale rischi" dei dati relativi all´utenza di telefonia mobile attivata da H3G S.p.A. comporta un trattamento di informazioni che non è legittimo, compatibile e pertinente in rapporto alle finalità della centrale medesima e risulta altresì eccedente rispetto alle stesse (art. 11, comma 1, lett. b) e d), del Codice).

In ordine invece alla richiesta di cancellare i dati riferiti al mutuo ipotecario erogato da San Paolo Imi S.p.A. ed estinto il 9 dicembre 2003 (posizione E) di cui in premessa), il ricorso è invece infondato. Dalla documentazione in atti non risultano elementi che facciano ritenere illecito il trattamento di tali dati in relazione all´istanza del ricorrente, trattandosi di un rapporto estinto solo nel dicembre 2003 senza segnalazione di insolvenze. Pertanto, la divulgazione in rete a banche e a società finanziarie di tali dati non risulta allo stato eccedente rispetto alle finalità originarie per le quali i dati furono raccolti e trattati (art. 11, comma 1, lett. d), del Codice).

L´ammontare delle spese sostenute nel presente procedimento è determinato, ai sensi dell´art. 150, comma 3, del Codice, nella misura forfettaria di euro 250, di cui euro 25,82 per diritti di segreteria, tenuto conto degli adempimenti connessi alla redazione e presentazione del ricorso. Il medesimo ammontare è posto a carico di Crif S.p.A., nella misura di euro 200, previa compensazione della restante parte, ai sensi del predetto art. 150, comma 3, per giusti motivi legati al contenuto del riscontro inviato dalla resistente, sia pure in modo incompleto.

PER QUESTI MOTIVI IL GARANTE

a) dichiara inammissibile il ricorso in ordine alla richiesta di conoscere l´origine dei dati, nonché le finalità e le modalità del trattamento;

b) dichiara infondato il ricorso in ordine alla richiesta di cancellare i dati relativi al mutuo ipotecario erogato da San Paolo Imi S.p.A. il 26 marzo 2001;

c) accoglie il ricorso in relazione alla richiesta di cancellare i dati -ed alla relativa attestazione- in relazione ai prestiti personali erogati da San Paolo Imi S.p.A. il 7 agosto 2000 e da Banca Intesa S.p.A. il 17 giugno 1999, nonché alla richiesta di abbonamento a H3G S.p.A., ordinando alla resistente di cancellare tali dati dalla banca dati accessibile ai terzi e di fornire in relazione ad essi la richiesta attestazione, nei termini di cui in motivazione;

d) accoglie altresì il ricorso in ordine alla richiesta di conoscere gli estremi identificativi del responsabile del trattamento eventualmente designato, nei termini di cui in motivazione;

e) dichiara non luogo a provvedere sul ricorso in ordine ai restanti profili;

f) determina nella misura di 250 euro, di cui 25,82 per diritti di segreteria, l´ammontare delle spese e dei diritti del procedimento che pone nella misura di 200 euro, previa compensazione della restante parte per giusti motivi, a carico di Crif S.p.A., la quale dovrà liquidarlo direttamente a favore del ricorrente.

Roma, 16 settembre 2004

IL PRESIDENTE
Rodotà

IL RELATORE
Santaniello

IL SEGRETARIO GENERALE
Buttarelli

Scheda

Doc-Web
1068987
Data
16/09/04

Tipologie

Decisione su ricorso