g-docweb-display Portlet

Diritto di accesso - 'Centrali rischi' private: i dati che non possono essere conservati vanno definitivamente cancellati - 30 dicembre 2002 [1067252]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc web n. 1067252]

Diritto di accesso - "Centrali rischi" private: i dati che non possono essere conservati vanno definitivamente cancellati - 30 dicembre 2002

 

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello vice presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale;

Esaminato il ricorso presentato da XY

nei confronti di

Crif S.p.A.;

Visti gli articoli 13 e 29 della legge 31 dicembre 1996, n. 675 e gli articoli 18, 19 e 20 del d.P.R. 31 marzo 1998, n. 501;

Viste le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Stefano Rodotà;

PREMESSO:

Il ricorrente afferma di non aver ricevuto riscontro da parte di Crif S.p.A. ad un´istanza formulata ai sensi dell´art. 13 della legge n. 675/1996 in data 8 novembre 2002, con la quale aveva chiesto la cancellazione del proprio nominativo dalla banca dati della suddetta "centrale rischi" nella quale risultava ancora la segnalazione di "sofferenza" e "credito ceduto", relativamente ad un finanziamento per il quale l´interessato attesta di aver sanato ogni debito il 19 ottobre 1999 presso la società di recupero crediti cui il credito era stato ceduto da Banca di Roma S.p.a..

Nel ricorso presentato a questa Autorità ai sensi dell´art. 29 della legge n. 675/1996 il ricorrente ha ribadito la propria istanza di cancellazione.

A seguito dell´invito ad aderire formulato da questa Autorità in data 13 dicembre 2002 Crif S.p.A., nel comunicare di aver inviato in data 9 dicembre 2002 una nota di riscontro al ricorrente per dare atto dell´avvenuto aggiornamento del dato relativo al finanziamento, ha dichiarato:

  • che il ricorso in oggetto è stato proposto "in epoca immediatamente successiva all´adozione da parte della (...) società delle cosiddette "prime misure" di adeguamento ai criteri guida indicati nel recente Provvedimento dell´Autorità Garante del 31.07.2002, comunicato a Crif in data 18.11.2002";
  • di aver provveduto, alla luce di tali prime misure, a sospendere la visibilità della "posizione relativa al prestito personale erogato da Banca di Roma in data 05.03.1996 ed estintosi dopo sofferenza e cessione di credito a società di recupero del credito in data 19.10.1999";
  • di aver conservato, nella propria banca dati, i dati personali del ricorrente relativi a due "richieste" di finanziamento formulate nel corso del 2002 -per le quali non è ancora decorso il termine massimo di conservazione previsto di sei mesi- e quelli relativi ad un finanziamento regolarmente in corso;
  • che "la sospensione viene adottata quale misura interinale", essendo Crif S.p.A. disposta a "cancellare la segnalazione definitivamente" o "riattivarne la visibilità fino al decorso dei termini di conservazione risultati applicabili" nel rispetto delle "disposizioni dell´emanando codice deontologico e di buona condotta".

CIÒ PREMESSO IL GARANTE OSSERVA:

Il ricorso concerne il trattamento di dati svolto da una c.d. "centrale rischi" privata, con particolare riferimento alla permanenza presso la banca dati di quest´ultima di dati personali del ricorrente relativi ad un finanziamento estinto da più di un anno e senza pendenze.

Il ricorso è fondato.

Crif S.p.A., nel corso del procedimento, ha dichiarato di aver sospeso temporaneamente la visibilità dei dati relativi al finanziamento estinto nel 1999 nelle more dell´adozione del codice deontologico previsto in materia dall´art. 20, comma 2, lett. e), del d.lg. n. 467/2001. Tuttavia, tale misura "temporanea" e interlocutoria non risulta soddisfacente e conforme a quanto segnalato da questa Autorità ai sensi dell´art. 31, comma 1, lett. c), della legge n. 675/1996 con il provvedimento di carattere generale adottato il 31 luglio 2002 sulle "centrali rischi" private e già comunicato alla resistente, le cui motivazioni si intendono richiamate quali parti integranti della presente motivazione. Con esso il Garante ha infatti segnalato "la necessità che i dati relativi agli eventuali inadempimenti sanati senza perdite, debiti residui o pendenze, siano cancellati dalle "centrali rischi" private, entro un anno dalla data della loro regolarizzazione, se avvenuta nel corso del finanziamento, o comunque dalla data di estinzione, anche anticipata, del rapporto (avvenuta comunque senza perdite, debiti residui o pendenze)".

Deve ritenersi quindi illecita l´ulteriore conservazione, nella banca dati di Crif S.p.A. consultabile da terzi, dei dati personali del ricorrente relativi al citato finanziamento a suo tempo concesso da Banca di Roma S.p.A. ed estinto da più ampio termine.

Va conseguentemente ordinato alla medesima società di cancellare i dati relativi alla predetta posizione entro il termine di quindici giorni dalla data di ricezione della presente decisione e di dare comunicazione dell´avvenuta cancellazione, entro la medesima data, all´interessato ed a questa Autorità.

PER QUESTI MOTIVI IL GARANTE:

accoglie il ricorso nei termini di cui in motivazione e per l´effetto ordina a Crif S.p.A. ai sensi dell´art. 29, comma 4 della legge n. 675/1996, di cancellare dalla propria banca dati i dati personali del ricorrente relativi al finanziamento estinto nel 1999, entro il termine di cui in motivazione, dando conferma dell´avvenuto adempimento all´interessato ed a questa Autorità entro la medesima data.

Roma, 30 dicembre 2002

IL PRESIDENTE
Rodotà

IL RELATORE
Rodotà

IL SEGRETARIO GENERALE
Buttarelli