[doc. web. n. 1068692]

Provvedimento del 12 febbraio 2003  

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello vice presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale;

Esaminato il ricorso presentato da XY

nei confronti di

Unicredit Banca S.p.A. e Crif S.p.A.;

Visti gli articoli 13 e 29 della legge 31 dicembre 1996, n. 675 e gli articoli 18, 19 e 20 del d.P.R. 31 marzo 1998, n. 501;

Viste le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Giuseppe Santaniello;

PREMESSO:

Il ricorrente afferma di non aver ricevuto riscontro da parte di Unicredit Banca S.p.A. e Crif S.p.A. ad un´istanza formulata ai sensi dell´art. 13 della legge n. 675/1996, con la quale aveva chiesto la cancellazione del proprio nominativo dalla banca dati della suddetta "centrale rischi" nella quale era stato segnalato in qualità di fideiussore per un prestito personale –per il quale risultavano alcuni ritardi nei pagamenti (successivamente sanati)– ed erogato dal citato istituto di credito a favore di un terzo.

Nel ricorso presentato a questa Autorità ai sensi dell´art. 29 della legge n. 675/1996 il ricorrente ha ribadito l´istanza chiedendo di porre a carico di controparte le spese sostenute per il procedimento e sottolineando l´illiceità del trattamento dei dati che lo riguardano effettuato da Unicredit Banca S.p.A., la quale non gli avrebbe mai comunicato di aver concesso il prestito in questione, né che la persona cui lo stesso era stato concesso si era resa morosa nel pagamento di alcune rate. In particolare il ricorrente rileva di aver assunto la qualità, in data 23 novembre 1999, di fideiussore in favore di ZY a garanzia delle obbligazioni "da questa contratte e da contrarre con la Rolo Banca 1473 (oggi Unicredit) sino a concorrenza dell´importo di 26.000.000", ma che tale fideiussione "prevedeva la semplice facoltà di concedere, tra le varie forme di erogazione, un prestito al consumo a rimborso rateale mensile" della cui erogazione non era stata data comunicazione alcuna all´interessato da parte dell´istituto di credito.

A seguito dell´invito ad aderire formulato da questa Autorità in data 20 gennaio 2003, Crif S.p.A., con note pervenute via fax in data 31 gennaio e 3 febbraio 2003, ha dichiarato di:

• ritenere lecito il trattamento dei dati personali relativi al ricorrente, compresa la loro conservazione nella propria banca dati, dal momento che il ricorrente risulta essersi costituito fideiussore omnibus in favore della sig.a ZY e avrebbe dovuto, conseguentemente, attivarsi personalmente "per controllare l´andamento del rapporto garantito";
• che, "solo di recente (e dietro espressa istanza)", l´istituto di credito le avrebbe comunicato "l´estinzione anticipata, con rate non pagate già regolarizzate, del relativo debito in data 14.10.2002" e che pertanto la posizione relativa alla sig.a ZY e al sig. XY (in qualità di garante) risulta, alla data odierna, corretta e aggiornata, ritenendosi applicabile al caso di specie il termine annuale di conservazione indicato dal Garante nel provvedimento di carattere generale adottato il 31 luglio 2002 in materia di "centrali rischi" private.

Con nota del 31 gennaio 2003, Unicredit Banca S.p.A., ha dichiarato che:

• il ricorrente "era ben a conoscenza della concessione del finanziamento alla signora ZY, poiché gli fu chiesto di prestare la propria garanzia fideiussoria a favore della medesima con il precipuo scopo di erogarle un prestito personale (...) che le avrebbe consentito di estinguere lo scoperto di conto corrente a suo nome", e che sembrerebbe "difficile credere che il ricorrente, che intratteneva egli stesso rapporti presso la filiale, non sia mai stato, come egli adduce, intrattenuto dai dipendenti per il pagamento delle rate insolute del rapporto garantito";
• il ricorrente, inoltre, "sottoscrivendo la fideiussione", avrebbe assunto "l´obbligo, pattiziamente previsto nell´atto di garanzia, di tenersi informato presso la debitrice dello svolgimento dei suoi rapporti con la Banca";
• "per quanto attiene alla richiesta di cancellazione (...) la Banca, dopo aver appurato che la situazione rappresentata alla Centrale Crif corrispondeva all´andamento storico dell´operazione di finanziamento di cui si tratta", si è rimessa alle determinazioni di Crif S.p.A., quale titolare del trattamento dei dati conservati nei propri archivi, "per la determinazione della durata della conservazione dei dati medesimi", anche in riferimento a quanto disposto sul punto dal citato provvedimento del Garante.

Con nota del 1 febbraio 2003, e nell´audizione del 4 febbraio 2003, il ricorrente ha contestato il riscontro ricevuto dalle resistenti. In particolare, in merito al riscontro di Unicredit Banca S.p.A., lo stesso ha dichiarato che "l´erogazione del finanziamento a rimborso rateale era solo una delle possibilità paventate dalla Banca per la riconduzione a normalità della posizione di ZY (...), tanto che la richiesta di finanziamento" a nome di ZY, "sulla quale fu chiesto al ricorrente di apporre una firma, fu riconsegnata con la cancellazione della sottoscrizione con conseguente annullamento della relativa garanzia, poiché l´allora direttore Enzo Fanuli riteneva di appianare diversamente, con modalità da convenire con la debitrice, la posizione della stessa". Alla documentazione il ricorrente ha allegato copia della richiesta di finanziamento datata 23 novembre 1999 a favore di ZY, con la sottoscrizione (cancellata) del ricorrente.

Con nota inviata il 7 febbraio 2003, in risposta ad una richiesta avanzata da questa Autorità ai sensi dell´art. 29, comma 4, della legge n. 675/1996, Unicredit Banca S.p.A. ha trasmesso copia della medesima richiesta di finanziamento (sottoscritta dalla Sig.a ZY il 23 novembre 1999) che il ricorrente aveva depositato nell´audizione del 4 febbraio 2003.

CIÒ PREMESSO IL GARANTE OSSERVA:

Il ricorso concerne la conservazione dei dati personali del ricorrente da parte di una c.d. "centrale rischi" privata a seguito di una segnalazione, ritenuta illegittima, trasmessa da un istituto di credito.

Il ricorso è parzialmente fondato.

Alla luce della documentazione acquisita non risulta del tutto comprovata la consapevolezza che l´odierno ricorrente avesse dell´effettiva erogazione del finanziamento alla sig.a ZY. Alle contestazioni del ricorrente l´istituto di credito ha fornito risposte generiche, o fondate su mere presunzioni. Dalla documentazione in atti emerge però che la firma apposta dall´interessato a garanzia del finanziamento concesso ad XY il 23 novembre 1999 è cancellata; conseguentemente è controverso se lo stesso abbia sottoscritto le condizioni relative al contratto in questione che prevedevano, in particolare, al punto 10, l´autorizzazione dell´interessato "a trasmettere, ai fini di valutazioni delle esposizioni creditizie, (...) alla Crif S.p.A." i dati che lo riguardano.

La circostanza che l´interessato, intrattenendo rapporti personali con la banca, sarebbe stato presumibilmente "intrattenuto dai dipendenti per il pagamento delle rate insolute del rapporto garantito", come anche i profili relativi all´obbligo dello stesso di informarsi, in qualità di garante omnibus, circa la posizione debitoria della persona garantita, non rilevano in ordine alla contestata liceità del trattamento dei dati personali del ricorrente effettuato da Unicredit Banca S.p.A. con comunicazione dei medesimi dati a Crif S.p.A. in relazione al finanziamento concesso alla sig.a ZY.

Il fatto che l´interessato abbia prestato il 23 novembre 1999 una garanzia generale, "sino alla concorrenza dell´importo di L. 26.000.000", non legittimava, di per sé, la comunicazione dei dati che lo riguardano ad una "centrale rischi" privata, non risultando tale forma di trattamento indicata dal contratto sottoscritto (allegato alla documentazione in atti).

Pertanto, dall´esame della documentazione in atti e dei riscontri forniti nel procedimento non risulta inequivocabilmente provato che il trattamento dei dati personali del ricorrente sia, allo stato, effettuato sulla base di idoneo consenso dell´interessato o di uno degli altri presupposti del trattamento (artt. 12 e 20 legge n. 675/1996).

Nelle more della necessaria verifica di liceità del trattamento effettuato da Unicredit Banca S.p.A., quale misura necessaria a tutela dei diritti dell´interessato, questa Autorità dispone, nei confronti di Crif S.p.A., ai sensi dell´art. 29, comma 4, della legge n. 675/1996, il blocco del trattamento dei dati personali relativi al ricorrente, con particolare riferimento alla comunicazione o diffusione della sua posizione di "garante" del finanziamento rilasciato in data 23 novembre 1999 in favore della suddetta ZY.

Il blocco comporta, nelle more di un utile esito dell´accertamento circa la liceità del trattamento dei dati personali del ricorrente, la sospensione temporanea di ogni operazione di trattamento di dati del ricorrente da parte di Crif S.p.A., fatta eccezione per la loro conservazione ed eventuale utilizzazione, anche ad istanza del ricorrente o dell´autorità giudiziaria, per esclusivi fini di giustizia o di tutela di un diritto.

Ad ulteriore tutela della posizione dell´interessato, questa Autorità dispone altresì il blocco del trattamento effettuato da Unicredit Banca S.p.A. in relazione alla posizione dell´interessato, con esclusivo riferimento alla eventuale, ulteriore comunicazione di dati personali riferiti all´operazione di finanziamento in questione (ed ai suoi sviluppi) a Crif S.p.A.

Quest´Autorità verificherà nell´ambito di un autonomo procedimento ai sensi dell´art. 31, comma 1, lett. b), della legge n. 675/1996, i presupposti di liceità del trattamento dei dati effettuato, in termini generali, da Unicredit Banca S.p.A. anche in relazione alla comunicazioni di dati a Crif S.p.A., con particolare riferimento agli obblighi di informativa e di acquisizione del consenso, ove necessario.

In relazione alla complessità della vicenda, sussistono giusti motivi per compensare integralmente le spese fra le parti.

PER QUESTI MOTIVI IL GARANTE DICHIARA:

a) dispone nei confronti di Unicredit Banca S.p.A. e Crif S.p.A., ai sensi dell´art. 29, comma 4, della legge n. 675/1996, il blocco dei dati personali relativi al ricorrente, nei termini, rispettivamente, di cui in motivazione;

b) compensate integralmente le spese tra le parti.

Roma, 12 febbraio 2003

IL PRESIDENTE
Rodotà

IL RELATORE
Santaniello

IL SEGRETARIO GENERALE
Buttarelli