g-docweb-display Portlet

Provvedimento del 28 settembre 2017 [7340692]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 7340692]

Provvedimento del 28 settembre 2017

Registro dei provvedimenti
n. 391 del 28 settembre 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il ricorso presentato al Garante in data 23 maggio 2017 nei confronti di American Express Services Europe Ltd., con il quale XX, rappresentato e difeso dall´avv. Clelia Iovine, ribadendo le istanze già avanzate, in data 24 febbraio 2016, ai sensi degli artt. 7 e 8 del d.lgs. 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali (di seguito "Codice"), ha chiesto:

- la cancellazione delle segnalazioni negative effettuate dalla citata società nella Centrale di Allarme Interbancaria (CAI) e nei Sistemi di Informazioni Creditizie (Sic) riferite ad una carta di credito a lui intestata, ritenute illegittime in quanto comunicate prima dell´invio del preavviso;

- la liquidazione in proprio favore delle spese sostenute per il procedimento;

CONSIDERATO che il ricorrente, nel citato atto introduttivo, ha, in particolare, rappresentato che:

- la segnalazione alla CAI sarebbe stata effettuata in data precedente alla comunicazione di revoca della carta per mancato pagamento (presupposto sul quale la resistente avrebbe effettuata la segnalazione), nonostante l´art. 31 del Regolamento generale carte di pagamento American Express preveda che, in caso di inadempimento degli obblighi di pagamento, "la risoluzione di diritto del contratto e la conseguente revoca della carta" abbiano effetto da quando la società comunica al titolare della carta l´intenzione di avvalersi della clausola risolutiva espressa;

- le segnalazioni ai SIC gestiti da Crif S.p.A. ed Experian Cerved S.p.A., sarebbero state effettuate prima dell´invio del preavviso di imminente segnalazione, in contrasto con quanto stabilito dall´art. 125 del decreto legislativo 1° settembre 1993, n. 385 (Testo Unico Bancario –TUB) e dall´art. 4, comma 7 del Codice di deontologia e buona condotta per i sistemi di informazioni creditizie (v. all. A.5 al Codice, in http://www.gpdp.it; doc. web n. 1556693)

VISTI gli ulteriori atti d´ufficio e, in particolare, la nota datata 8 giugno 2017 con la quale questa Autorità, ai sensi dell´art. 149, comma 1, del Codice, ha invitato la società resistente a fornire riscontro alle richieste del ricorrente, nonché la nota del 13 luglio 2017 con la quale è stata disposta, ai sensi dell´art. 149, comma 7, del medesimo Codice, la proroga del termine per la decisione sul ricorso;

VISTE le note del 15 e 20 giugno 2017 con le quali American Express, nel contestare le caratteristiche di interpello ex art. 7 del Codice della nota presentata dall´interessato, ritenendola solo una lettera di diffida, ha dichiarato:

- che la normativa che regola il funzionamento della CAI, non richiede alcun invio della lettera di preavviso e che, a differenza di quanto sostenuto dal ricorrente, il citato Regolamento generale carte di pagamento, prevede, in caso di insolvenza del cliente, la possibilità di "revocare con effetto immediato la carta di credito […] dando successiva comunicazione al cliente"; in ogni caso, le contribuzioni delle segnalazioni nella CAI, su espressa previsione della Banca d´Italia, avvengono "su base automatica ed informatizzata, e vengono digitalmente inoltrate alla Banca d´Italia […] automaticamente non appena la carta di credito viene cancellata dall´intermediario finanziario per motivi di credito" cosi che tale procedura "non è un atto né disponibile né ritardabile da parte dell´intermediario finanziario";

- di avere provveduto, in relazione alla segnalazione nei SIC, ad inviare "ripetutamente e preventivamente" al ricorrente le lettere di preavviso, in particolare in data 7, 28 settembre e 5 gennaio 2015, nonché di avere inserito "un evidente e chiaro messaggio" anche negli estratti conto della carta di credito inviati al ricorrente nei mesi di agosto, settembre, dicembre 2015 e gennaio 2016;

VISTA la nota del 19 giugno 2017 con la quale il ricorrente ha contestato quanto affermato dalla resistente, rilevando, in particolare che il preavviso di imminente iscrizione nei Sic, previsto dall´art. 125 del TUB e dall´art. 4, comma 7 del codice deontologico, è un atto recettizio, pertanto "l´intermediario è onerato dalla prova della ricezione o quantomeno della conoscibilità del preavviso";

RILEVATO, in via preliminare, che la nota inviata dal ricorrente alla resistente il 24 febbraio 2016, pur non richiamando espressamente le disposizioni specifiche, configura, comunque, dal punto di vista sostanziale, una istanza di esercizio dei diritti dell´interessato ai sensi dell´art. 7 del Codice;

RILEVATO, in relazione all´inserimento dei dati del ricorrente nella Centrale di Allarme Interbancaria (CAI), che la specifica disciplina di riferimento (d.m. 7 novembre 2001, n. 458, "Regolamento sul funzionamento dell´archivio informatizzato degli assegni bancari e postali e delle carte di pagamento" e dall´art. 10-bis, legge 15 dicembre 1990, n. 386 modificata dal decreto legislativo 507 del 30 dicembre 1999; nonché Reg. della Banca d´Italia 29 gennaio 2002 sul Funzionamento dell´archivio informatizzato degli assegni bancari e postali e delle carte di pagamento), nel prevedere l´iscrizione nella CAI delle generalità del soggetto al quale sia stata revocata l´autorizzazione all´utilizzo di carte di pagamento, non prevede a carico del segnalante alcun obbligo di preavviso all´interessato;

RITENUTO, pertanto, in ordine a tale aspetto, di dover dichiarare infondato il ricorso, tenuto conto del fatto che il trattamento dei dati personali del ricorrente non risulta essere stato effettuato in violazione di legge;

RILEVATO, con riferimento alla segnalazione dei dati del ricorrente nei Sic, che l´art. 4, comma 7, del citato codice di deontologia e buona condotta non prevede particolari modalità di invio del preavviso di imminente segnalazione in tali banche dati;

DATO ATTO che la mancata specificazione di tali modalità ha originato, nel corso del tempo, diversificati orientamenti sul tema;

PRESO ATTO che sono tuttavia recentemente intervenute univoche pronunce tendenti a considerare il preavviso di segnalazione quale atto avente natura recettizia (v. Trib. Verona, n. 163/16 del 28 gennaio 2016, depositata in cancelleria il 6 febbraio 2016; Cass. Civ., sez. I, Ord. 13 giugno 2017, n. 14685), nonché da ultimo, in tal senso, anche le decisioni adottate dall´Arbitro Bancario Finanziario  (v. decisione 11 novembre 2016, n. 10012; 6 aprile 2017, n. 3740);

RITENUTO che tale orientamento sia da condividere anche sotto lo specifico profilo della normativa in materia di protezione dei dati personali, considerato, in particolare che:

- trattandosi di uno dei profili oggetto di maggiore contenzioso tra le parti, è necessario, anche in ragione delle conseguenze che l´iscrizione nei Sic comporta per l´interessato, che gli operatori creditizi  si avvalgano di mezzi di invio che garantiscano la certezza e l´effettività della ricezione;

- il preavviso di segnalazione, espressione del principio di correttezza nel trattamento dei dati personali ai sensi dell´art. 11 del Codice, ha lo scopo di consentire all´interessato -venuto a conoscenza dell´imminente segnalazione del suo nominativo nei Sic- di adempiere al proprio obbligo creditizio prima che la segnalazione sia effettuata;

CONSIDERATO che la resistente ha affermato di aver inviato al ricorrente comunicazioni (delle quali ha fornito copia nel corso dell´attività istruttoria), contenenti il preavviso di imminente segnalazione del nominativo nelle banche dati, non fornendo, tuttavia, elementi volti a provare le modalità di invio utilizzato, né, tanto meno, l´avvenuta ricezione delle stesse da parte del ricorrente;

RILEVATO che l´allegazione di copia delle note inviate, anche alla luce dei citati orientamenti, non costituisce elemento sufficiente a comprovare l´effettivo adempimento dell´obbligo di informazione gravante sulla resistente e che, pertanto, la comunicazione delle informazioni creditizie di tipo negativo deve essere considerata come avvenuta in modo illecito;

RITENUTO, conseguentemente, di dover parzialmente accogliere il ricorso e per l´effetto ordinare alla American Express Services Europe Limited di cancellare le informazioni creditizie di tipo negativo censite nei Sic in relazione al rapporto in questione, entro e non oltre trenta giorni dal ricevimento della presente decisione;

VISTA la documentazione in atti;

VISTI gli artt. 145 e ss. del Codice;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

VISTE le decisioni dell´Autorità del 15 gennaio e del 19 ottobre 2005 sulla misura forfettaria delle spese e dei diritti per i ricorsi e ritenuto congruo, nel caso di specie, quantificare detto importo nella misura di euro 500,00, da addebitarsi per euro 200,00 a carico di American Express Services Europe Ltd. in considerazione degli adempimenti connessi alla presentazione del ricorso, compensando la restante parte per giusti motivi e, in particolare, in ragione della parziale infondatezza;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

TUTTO CIÒ PREMESSO IL GARANTE:

a) accoglie parzialmente il ricorso in ordine alla richiesta di cancellazione dei dati dai Sistemi di informazione creditizia;

b) dichiara il ricorso infondato in ordine alla richiesta di cancellazione dei dati dalla Centrale di Allarme Interbancaria;

c) determina l´ammontare delle spese del presente procedimento nella misura forfettaria di euro 500,00, di cui euro 200,00 da addebitarsi a American Express Services Europe Ltd.  che dovrà liquidarli direttamente a favore del ricorrente; compensa la restante parte per giusti motivi.

Il Garante, nel chiedere a American Express Services Europe Ltd, ai sensi dell´art. 157 del Codice, di comunicare quali iniziative siano state intraprese al fine di dare attuazione al presente provvedimento e di fornire comunque riscontro entro trenta giorni dalla ricezione dello stesso, ricorda che l´inosservanza di provvedimenti del Garante adottati in sede di decisione dei ricorsi è punita ai sensi dell´art. 170 del Codice. Ricorda altresì che il mancato riscontro alla richiesta ex art. 157 è punito con la sanzione amministrativa di cui all´art. 164 del Codice.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 28 settembre 2017

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia