g-docweb-display Portlet

Diritti dell'interessato e consenso - La banca non può comunicare alla 'centrale rischi' privata di non aver rilasciato una carta di credito - 4 l...

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 622810 ]

Diritti dell´interessato e consenso - La banca non può comunicare alla “centrale rischi” privata di non aver rilasciato una carta di credito

Il consenso rilasciato da un cliente ad una banca circa la comunicazione dei suoi dati personali ad una "centrale rischi" non può estendersi ai rapporti contrattuali che non si sono mai instaurati o che si sono interrotti ad uno stadio che non legittima una comunicazione dei dati all´esterno (principio affermato in relazione al mancato rilascio, da parte di una banca, di una carta di credito al richiedente)



IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale;

ESAMINATO il ricorso presentato dalla sig.ra Rosaria Deiana in nome proprio e, in qualità di amministratrice unica, per conto di Costruzioni edilizie Domus S.r.l.,

nei confronti di

Banca Fineco S.p.A.;

VISTA la documentazione in atti;

VISTI gli articoli 13 e 29 della legge 31 dicembre 1996, n. 675 e gli articoli 18, 19 e 20 del d.P.R. 31 marzo 1998, n. 501;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Mauro Paissan;


PREMESSO:

La ricorrente, intestataria di un conto corrente acceso presso Banca Fineco S.p.A., lamenta di non aver ottenuto riscontro da parte di quest’ultima ad una richiesta avanzata ai sensi dell’art. 13 della legge
n. 675/1996.

L’interessata aveva chiesto di accedere ai dati che la riguardano e di conoscere logica e modalità del trattamento, l’origine dei dati e gli estremi identificativi del responsabile del trattamento eventualmente designato. Aveva altresì manifestato opposizione al trattamento dei dati anche in riferimento alla comunicazione a Crif S.p.A. di informazioni relative al rifiuto di una carta di credito.

Nel ricorso presentato a questa Autorità ai sensi dell’art. 29 della legge n. 675/1996, la ricorrente ha ribadito le proprie richieste, sottolineando come la segnalazione alla centrale rischi della predetta società del mancato rilascio della carta di credito pregiudicherebbe i rapporti che la stessa detiene con il mondo finanziario, sia a titolo personale, sia quale amministratrice della società. Con il ricorso, la ricorrente ha chiesto altresì la liquidazione forfettaria delle spese sostenute.

A seguito dell’invito ad aderire formulato da questa Autorità in data 11 giugno 2002, Banca Fineco S.p.A., con nota anticipata via fax il 19 giugno 2002, ha fornito indicazioni in ordine a logica e modalità del trattamento ed ha indicato gli estremi identificativi del responsabile. Nella medesima nota, la resistente ha altresì sostenuto:

  • di aver acquisito, all’atto della sottoscrizione del contratto, il consenso informato dell’interessata, anche in ordine all’eventuale comunicazione dei dati personali a categorie di soggetti definiti, “fra i quali vengono esplicitamente indicati, in relazione alle attività di controllo delle frodi e del rischio del credito, Crif S.p.A. … e Crif Servizi S.p.A. ….” ;
  • che la segnalazione alla predetta centrale rischi relativa all’avvenuto rifiuto della carta di credito sarebbe stata effettuata “in modo lecito e secondo correttezza” nel rispetto dei principi posti a tutela del credito;
  • che la richiesta di cancellazione dei dati relativi alla ricorrente dalla centrale rischi non potrebbe essere accolta dal momento che tale cancellazione dovrebbe essere effettuata a suo avviso dalla stessa Crif S.p.A. in quanto autonomo titolare di trattamento.

Con note in data 24 e 27 giugno 2002 l’interessata ha ribadito le proprie richieste.


CIÒ PREMESSO IL GARANTE OSSERVA:

Il ricorso concerne il trattamento dei dati personali della cliente di una banca.

Quest’ultima ha fornito riscontro alle richieste dell’interessato volte a conoscere la logica e le modalità del trattamento, nonché gli estremi identificativi del responsabile designato dal titolare medesimo. In relazione a tali richieste deve essere quindi dichiarato non luogo a provvedere sul ricorso.

La resistente non ha invece fornito idoneo riscontro alla richiesta di accedere al complesso dei dati personali formulata dall’interessata. Il titolare si è infatti limitato a ribadire che il trattamento è stato effettuato sulla base del consenso informato manifestato all’atto della sottoscrizione del contratto.

Ai sensi dell’art. 13 della legge n. 675/1996 e dell’art. 17 del d.P.R. n. 501/1998, il titolare del trattamento è invece tenuto ad estrapolare dai propri archivi e documenti tutti i dati personali oggetto di richiesta e a riferirli al richiedente con modalità idonee a renderli agevolmente comprensibili. La richiesta di accesso ai dati deve essere riscontrata dal titolare anche nell’ipotesi in cui i dati, in tutto o in parte, siano stati comunicati dall’interessato o siano comunque dallo stesso conosciuti.

Banca Fineco S.p.A. dovrà pertanto comunicare alla ricorrente tutti i dati relativi alla stessa e alla società di cui è amministratrice unica, in qualsiasi forma conservati, entro un termine che appare congruo fissare al 20 settembre 2002.

Il ricorso deve essere accolto anche per ciò che concerne l’opposizione al trattamento, formulata con specifico riferimento alla comunicazione alla predetta centrale rischi di alcune informazioni relative al mancato rilascio di una carta di credito.

L’opposizione è formulata ed esaminata con esclusivo riferimento alla liceità o meno di tale comunicazione e non formano pertanto oggetto dell’odierno procedimento né la liceità della conservazione “interna” a Banca Fineco S.p.A. dei dati relativi al rifiuto della carta di credito, né la legittimità stessa del rifiuto.

Contrariamente a quanto sostenuto dalla banca resistente, la comunicazione non può ritenersi giustificata dalla generica manifestazione di consenso a suo tempo espressa, la quale, in base alla formulazione-tipo indicata dalla banca nella memoria datata 19 giugno 2002, può autorizzare unicamente la comunicazione a terzi (compresa Crif S.p.A.) di dati effettivamente “necessari per l’esecuzione di tutte le operazioni e servizi bancari e finanziari” e non anche di vicende o forme di rapporto che non si sono instaurate o si sono interrotte ad uno stadio che non legittima una comunicazione all’esterno dei dati.

La genericità di tale formula va, poi, esaminata anche alla luce dell’avvenuta opposizione alla comunicazione dei dati a Crif S.p.A., che reca in sé una parziale e legittima revoca del consenso e che appare giustificata anche in base al principio di proporzionalità insito nel presupposto di pertinenza e non eccedenza del trattamento dei dati (art. 9, comma 1, lett. d), legge n. 675/1996).

Il riferimento al rifiuto della carta di credito inserito in tale banca dati è suscettibile di ingenerare concreto pregiudizio nei confronti della persona e della società della ricorrente ed espone le stesse, presso altri istituti di credito e società finanziarie, al dubbio (che non è oggetto di facili approfondimenti da parte delle stesse) che il rifiuto della carta derivi non tanto da valutazioni legate alle politiche contrattuali del singolo istituto di credito, quanto da scorrettezze o inadempimenti risultanti agli atti della singola banca, ma non documentate nella centrale rischi.

Deve essere ritenuta in conclusione non legittima la comunicazione a Crif S.p.A. dei dati relativi al rifiuto della carta di credito. A tutela dei diritti esercitati dalla ricorrente va quindi disposto, ai sensi dell’art. 29, comma 4, della legge n. 675/1996, che Banca Fineco S.p.A. dia comunicazione a Crif S.p.A. della presente parte di decisione entro il termine del 20 settembre 2002, dando conferma di tale adempimento a questa Autorità e alla ricorrente.

In considerazione del tardivo e incompleto riscontro fornito va posto a carico di Banca Fineco S.p.A. l’ammontare delle spese sostenute dalla ricorrente, determinato nella misura forfettaria di euro 250 (di cui euro 25,82 per diritti di segreteria), tenuto conto degli adempimenti connessi alla redazione e presentazione del ricorso.


PER QUESTI MOTIVI IL GARANTE:

a) dichiara, ai sensi dell’art. 20, comma 2, del d.P.R. n. 501/1998, non luogo a provvedere sul ricorso in ordine alle richieste dell’interessata di conoscere la logica e le modalità del trattamento, nonché gli estremi identificativi del responsabile designato;

b) accoglie il ricorso nei termini di cui in motivazione e ordina a Banca Fineco S.p.A. di comunicare alla ricorrente tutti i dati personali che riguardano la sua persona e la società di cui è amministratrice unica, entro il 20 settembre 2002, dando conferma entro la stessa data a questa Autorità dell’avvenuto adempimento;

c) accoglie altresì il ricorso in merito all’opposizione al trattamento, nei termini di cui in motivazione, e ordina a Banca Fineco S.p.A. di dare conferma dell’ulteriore adempimento a quanto indicato in motivazione relativamente alla comunicazione dei dati inerenti al rifiuto della carta di credito, entro il 20 settembre 2002, a questa Autorità e alla ricorrente;

d) determina, ai sensi dell’art. 20, commi 2 e 9, del d.P.R. n. 501/1998, nella misura forfettaria di euro 250, di cui euro 25,82 per diritti di segreteria, l’ammontare delle spese e dei diritti del presente procedimento, posto a carico di Banca Fineco S.p.A. che dovrà liquidarli direttamente a favore della ricorrente.


Roma, 4 luglio 2002

IL PRESIDENTE
Rodotà

IL RELATORE
Paissan

IL SEGRETARIO GENERALE
Buttarelli