[doc. web n. 1381686]

Provvedimento del 21 dicembre 2006

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Giovanni Buttarelli, segretario generale;

VISTO il ricorso al Garante presentato il 3 agosto 2006 da Antonio Gentili nei confronti di Crif S.p.A., con il quale il ricorrente, avendo revocato il consenso al trattamento dei dati che lo riguardano, ha chiesto la loro cancellazione; rilevato che il ricorrente ha inoltre sostenuto che tale trattamento è illecito non avendo ricevuto né l´informativa sul trattamento dei dati personali ai sensi dell´art. 13 del Codice in materia di protezione dei dati personali e dell´art. 5 del codice di deontologia applicabile ai sistemi di informazione creditizia, né il preavviso circa l´imminente segnalazione dei suoi dati personali al sistema di informazioni creditizie gestito dalla resistente, come previsto dall´art. 4, comma 7, del citato codice di deontologia e buona condotta (Provv. del Garante n. 8 del 16 novembre 2004, in Gazzetta Ufficiale 23 dicembre 2004, n. 300; d.m. 14 gennaio 2005, in Gazzetta Ufficiale 29 gennaio 2005, n. 23);

VISTI gli ulteriori atti d´ufficio e, in particolare, la nota del 19 settembre 2006 con la quale questa Autorità, ai sensi dell´art. 149 del Codice, ha invitato il titolare del trattamento a fornire riscontro alle richieste dell´interessato, nonché la successiva nota del 30 ottobre 2006 con la quale è stata disposta la proroga del termine per la decisione sul ricorso;

VISTA la nota inviata via fax il 10 ottobre 2006 con la quale Crif S.p.A. ha sostenuto di non poter accogliere la richiesta di cancellazione dei dati formulata dal ricorrente con riferimento ad un prestito finalizzato erogato da Fiditalia S.p.A. in data 30 ottobre 2003, ed estinto in data 22 febbraio 2006 con "segnalazione di ritardi nei pagamenti (…) regolarizzati da meno di 12 mesi"; ciò, trattandosi di informazioni creditizie di tipo "negativo" il cui trattamento sarebbe lecito anche in assenza del consenso dell´interessato, ai sensi del codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti e del connesso provvedimento del Garante sul bilanciamento di interessi (Provv. n. 9 del 16 novembre 2004, in Gazzetta Ufficiale 23 dicembre 2004, n. 300); rilevato, infine, che, nella medesima nota, Crif S.p.A. ha anche sostenuto che l´obbligo di preavviso circa la registrazione delle informazioni creditizie di tipo negativo, essendo stato previsto dallo stesso codice di deontologia e di buona condotta, opererebbe a proprio avviso esclusivamente "con riferimento ai finanziamenti erogati successivamente all´entrata in vigore del codice stesso" (1° gennaio 2005) e sarebbe posto in capo ai singoli enti partecipanti;

VISTA le note inviate via fax il 27 novembre e il 13 dicembre 2006, in risposta a specifiche richieste di questa Autorità, con le quali Fiditalia S.p.A. ha sostenuto che, in relazione al prestito personale definito "Multiconto" erogato il 30 ottobre 2003, il ricorrente ha maturato "ritardi nei pagamenti rispetto ai termini convenuti, tanto da costringere Fiditalia S.p.A. (…) ad applicare le penali e gli oneri accessori convenzionalmente previsti, nonché ad attivare le proprie procedure di recupero"; rilevato che tale finanziamento "è stato estinto anticipatamente" e che "l´ultimo pagamento effettuato dal cliente risale al 22 febbraio 2006"; rilevato che la stessa società ha allegato copia del modulo di richiesta del finanziamento sottoscritto dal cliente, comprensivo del consenso al trattamento dei dati personali e della relativa informativa; rilevato, infine, che in riferimento al "preavviso" circa l´imminente registrazione presso i sistemi di informazioni creditizie, ai sensi dell´art. 4, comma 7, del citato codice di deontologia e buona condotta, la stessa società ha allegato copia della lettera standard di "preavviso circa l´imminente registrazione presso i S.i.c." inviata al cliente in data 8 giugno 2005;

RILEVATO, in relazione a quanto sostenuto dalla parte resistente nel corso del procedimento, che la disposizione introdotta dall´art. 4, comma 7, del predetto codice di deontologia e di buona condotta prevede l´obbligo per il partecipante di fornire un preavviso all´interessato circa l´imminente registrazione dei dati in uno o più sistemi di informazioni creditizie e ciò al verificarsi di ritardi nei pagamenti; rilevato che, ai sensi dell´art. 13 del medesimo codice di deontologia, le misure necessarie per la sua applicazione dovevano essere adottate dai soggetti tenuti a rispettarlo al più tardi entro il 30 aprile 2005 e che pertanto, a partire da tale data, il mancato rispetto del citato art. 4, comma 7, dello stesso codice di deontologia, con riferimento alle segnalazioni di ritardi nei pagamenti di finanziamenti (anche di quelli già in corso), comporta l´illiceità del trattamento medesimo ai sensi dell´art. 12, comma 3, del Codice;

RILEVATO invece che, con riferimento al prestito finalizzato erogato da Fiditalia S.p.A. il 30 ottobre 2003, tale società ha inviato copia della comunicazione contenente il preavviso di imminente o ulteriore registrazione presso i sistemi di informazioni creditizie, inviata al ricorrente; rilevato che la cancellazione di tali informazioni creditizie di tipo "negativo" deve essere quindi dichiarata infondata, non essendo trascorsi i limiti temporali di conservazione dei dati previsti dal predetto codice di deontologia e di buona condotta per la lecita conservazione nei sistemi di informazioni creditizie dei dati relativi a ritardi nei finanziamenti successivamente regolarizzati (art. 6, comma 2, del medesimo codice di deontologia e di buona condotta);

RILEVATO che Crif S.p.A., con nota datata 22.3.2006, aveva già dato idoneo e tempestivo riscontro alla richiesta di cancellazione dei dati di tipo "positivo" comunicando tale informazione al ricorrente sia presso l´indirizzo di residenza, sia presso il domicilio eletto; ritenuto quindi che anche in ordine a tale profilo il ricorso non risulta fondato, avendo l´interessato ricevuto un adeguato riscontro già prima della proposizione del ricorso;

RILEVATO, inoltre, che non rientra nell´iniziale istanza di cancellazione il trattamento dei dati relativi a una richiesta di prestito personale rivolta a Deutsche Bank S.p.A. in data 3 agosto 2006 e rifiutata dall´ente stesso (richiesta avanzata in data successiva all´inoltro dell´istanza ex artt. 7 e 8 del Codice);

VISTA la documentazione in atti;

VISTI gli artt. 145 e s. del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Francesco Pizzetti;

TUTTO CIÒ PREMESSO IL GARANTE:

a) dichiara infondata la richiesta di cancellazione dei dati riferiti al prestito finalizzato erogato da Fiditalia S.p.A. in data 30 ottobre 2003;

b) dichiara infondata la richiesta di cancellazione dei dati di tipo "positivo".

Roma, 21 dicembre 2006

IL PRESIDENTE
Pizzetti

IL RELATORE
Pizzetti

IL SEGRETARIO GENERALE
Buttarelli