g-docweb-display Portlet

Procedura sui ricorsi - Cancellazione dei dati solo per trattamenti illeciti - 19 dicembre 1999 [42300]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 [doc. web n. 42300]


Procedura sui ricorsi - Cancellazione dei dati solo per trattamenti illeciti

La cancellazione dei dati, può essere chiesta soltanto nel caso in cui i dati siano trattati in violazione di legge o non sia più necessaria la loro conservazione rispetto agli scopi per i quali essi sono stati raccolti ed utilizzati (art. 13, comma 1, lett. c), n. 2), legge n. 675).


IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, con la partecipazione del prof. Giuseppe Santaniello, vice presidente, che presiede la riunione, del prof. Ugo De Siervo e dell´ing. Claudio Manganelli, componenti, e del dott. Giovanni Buttarelli, segretario generale;

ESAMINATO il ricorso presentato dal sig. ricorrente nei confronti di un titolare del trattamento dei dati);

VISTE le osservazioni dell´Ufficio formulate dal Segretario generale ai sensi dell´art. 7, comma 2, lettera a) del d.P.R. 31 marzo 1998, n. 501;

VISTI gli articoli 13 e 29 della legge 31 dicembre 1996, n. 675 e gli articoli 18, 19 e 20 del d.P.R. 31 marzo 1998, n. 501;

RELATORE l´ing. Claudio Manganelli;

PREMESSO:

1. Il ricorrente si è rivolto al Garante ai sensi dell´art. 29 della legge n. 675 per far cancellare i dati relativi alla sua persona che sarebbero stati trattati dalla società resistente senza il consenso dell´interessato e inseriti poi in rete a disposizione di altre società finanziarie.

Il ricorrente ha fatto presente di aver ottenuto nel 1994 un finanziamento da una società, rispetto al quale si sarebbero verificati alcuni ritardi nei pagamenti delle rate, saldate poi nel 1998 a seguito dell´intervento di "un incaricato della finanziaria".

Successivamente, nel chiedere un altro prestito, il ricorrente avrebbe appreso che, sulla base di una clausola di autorizzazione contenuta nel precedente contratto, i dati relativi ai ritardati pagamenti e ad una sua presunta inaffidabilità sarebbero stati inseriti in una rete accessibile ad altri istituti finanziari.

Ritenendo tale comportamento contrario ai princìpi introdotti dalla legge n. 675/1996, il ricorrente ha chiesto alla società di cancellare i propri dati anche dalla rete e di fornire le generalità del titolare e del responsabile del trattamento, anche con riferimento alla società che gestisce la rete stessa, fornendo attestazione dell´avvenuta comunicazione della cancellazione ai precedenti destinatari dei dati.

A seguito del riscontro negativo fornito dalla società, il ricorrente ha presentato poi ricorso per ottenere la cancellazione dei dati anche in rete.

2. In relazione all´invito ad aderire formulato dal Garante ai sensi dell´art. 20, comma 1, del d.P.R. n. 501/1998, la società ha evidenziato che:

a) nel corso del rapporto di finanziamento, si sarebbe verificato un notevole ritardo nel pagamento dell´ultima rata, poi saldata a seguito di successivi solleciti e dell´intervento di un proprio "recuperatore";

b) sottoscrivendo il primo contratto di finanziamento il ricorrente avrebbe autorizzato il trattamento dei dati relativi alle vicende del rapporto di finanziamento e la loro comunicazione a società di rilevazione dei rischi creditizi;

c) i dati dell´interessato sarebbero ora registrati per finalità di tutela del credito, nella banca dati gestita da una società di rilevazione dei rischi finanziari (c.d. "centrale rischi");

d) a seguito dell´estinzione del finanziamento, la società finanziaria avrebbe richiesto alla "centrale rischi" di modificare la posizione dell´interessato precedentemente segnalata, relativamente allo stato della procedura di finanziamento (dalla "fase AC – accordata" alla "fase ES – estinta");

e) sulla base del ricorso, la società ha appreso che la modifica non era stata ancora apportata e si è però attivata ottenendo la modifica della posizione inerente al finanziamento (che risulterebbe ora censito presso la banca dati della centrale rischi con l´indicazione di "ES – estinto");

f) responsabile del trattamento svolto dalla società sarebbe l´amministratore delegato pro tempore;

g) alcuni dati del ricorrente attualmente in possesso della stessa società (generalità, codice fiscale ed estremi del documento di identità) non potrebbero essere cancellati perché utilizzati per le finalità previste dalla c.d. legge sul riciclaggio (n. 197/1991) che, secondo la società, ne imporrebbe la conservazione per dieci anni.

Da ultimo, il ricorrente ha precisato che la società non ha ancora indicato gli estremi identificativi del titolare o dell´eventuale responsabile del trattamento, comunicando solo la carica di quest´ultimo.

L´interessato ha chiesto poi che la società "dimostri con prova documentale" che i dati presenti nella banca dati della centrale rischi riportino soltanto il nominativo del ricorrente e l´indicazione dell´estinzione del finanziamento, senza altre notizie come "importo residuo= 0 e unica rata con ritardato pagamento" (riportate nella nota inviata al ricorrente dalla società il ...).

CIÒ PREMESSO, IL GARANTE OSSERVA:

3. Il ricorso è infondato per quanto riguarda la richiesta di cancellare i dati presso la società finanziaria.

La cancellazione dei dati, infatti, può essere chiesta soltanto nel caso in cui i dati siano trattati in violazione di legge o non sia più necessaria la loro conservazione rispetto agli scopi per i quali essi sono stati raccolti ed utilizzati (art. 13, comma 1, lett. c), n. 2), legge n. 675).

Appaiono parimenti infondate le altre doglianze sul comportamento della società con particolare riguardo all´asserita mancanza sia di un valido consenso al trattamento dei dati relativi al rapporto di finanziamento ed alla loro divulgazione tramite la centrale rischi, sia di idonee finalità che ne giustificherebbero la conservazione.

Al riguardo, occorre rilevare che il ricorrente ha allegato copia del contratto sottoscritto nel 1994, in cui era presente una clausola con la quale veniva autorizzata la trasmissione dei dati inerenti al rapporto di finanziamento a società di rilevazione dei rischi finanziari, e l´accesso a tali dati da parte di altre società finanziarie.

Essendo, poi, il trattamento dei dati svolto dalla società resistente iniziato prima dell´entrata in vigore della legge n. 675 (8 maggio 1997), la società non doveva necessariamente operare in base al consenso, salvo che per la comunicazione o diffusione dei dati dopo tale data (v. art. 41, comma 1, legge n. 675/1996). Va peraltro evidenziato che, secondo le considerazioni formulate dal Garante in un provvedimento del 29 settembre u.s. concernente un analogo ricorso contro la stessa società, la menzionata "clausola di autorizzazione", pur non potendo tener conto delle precise istruzioni e definizioni contenute nella legge n. 675, può essere considerata come idonea manifestazione di consenso alla comunicazione dei dati alla categorie di soggetti in essa indicati (società di rilevazione dei rischi finanziari e società finanziarie).

In questi termini, l´autorizzazione già rilasciata dall´interessato non renderebbe quindi necessaria l´acquisizione di un ulteriore suo consenso da parte della società, la quale, sulla base della clausola contrattuale, si è limitata a segnalare le informazioni relative alle modifiche dello stato del finanziamento che, va ricordato, si è estinto solo nel 1998 (tra l´altro, con una appendice svoltasi nel ´99 relativamente al versamento di ulteriori "oneri di ritardato pagamento"). Sotto questo aspetto, quindi, non possono ravvisarsi nel comportamento della finanziaria elementi di contrasto con le disposizioni della legge n. 675/1996.


4. Con riferimento, poi, alla conservazione dei dati del ricorrente, richiamata nuovamente l´attenzione sulle considerazioni sopra esposte circa la data di estinzione del finanziamento e l´invio della relativa segnalazione, deve osservarsi che il ricorso è stato presentato contro la società e non anche nei confronti degli altri soggetti in possesso di informazioni relative al ricorrente (nel caso di specie, la centrale rischi che gestisce la banca dati per la tutela del credito, cui quest´ultimo avrebbe dovuto peraltro rivolgere direttamente le proprie istanze prima della presentazione del ricorso). Pur potendo segnalare aggiornamenti sui dati già comunicati, la società resistente non ha il potere di far cancellare, anche in parte, dati contenuti in archivi gestiti da distinti ed autonomi titolari del trattamento (né di acquisire le relative "prove documentali"). Pertanto, non possono essere accolte le richieste di cancellazione dei dati detenuti dalla centrale rischi.

Per quanto la riguarda più direttamente, la società resistente ha sostenuto poi che alcuni dati sarebbero conservati in base alle disposizioni della normativa antiriciclaggio (l. n. 197/1991); essi non potrebbero essere pertanto allo stato cancellati, non essendo peraltro consentito, in materia, l´esercizio in forma diretta dei diritti di cui all´art. 13 della legge n. 675/1996 (v. art. 14, comma 1, lett. a), legge n. 675).

Allo stato, può prendersi atto di tale dichiarazione. Tuttavia, il tema dell´individuazione dei trattamenti cui deve effettivamente applicarsi l´art. 14 di tale legge è stato oggetto di un approfondimento avviato dal Garante nell´ambito di un distinto procedimento attivato ai sensi dell´art. 31 della legge con il citato provvedimento del 29 settembre.

Resta peraltro ferma la facoltà per il ricorrente di esercitare i diritti di cui all´art. 13 della legge n. 675/1996 direttamente presso altri titolari o responsabili del trattamento dei dati che lo riguardano, nonché il diritto di rivolgersi al giudice ordinario per presentare istanze in merito alle quali la legge n. 675/1996 non ha attribuito competenze al Garante.


5. Per quanto concerne infine la richiesta del ricorrente di avere informazioni più precise sul responsabile del trattamento, va evidenziato che l´indicazione fornita dalla società consente di identificare solo la carica ricoperta dal soggetto responsabile, mentre in sede di esercizio dei diritti di cui all´art. 13 della legge n. 675 (cfr., in particolare, comma 1, lett. b)), il titolare del trattamento, ove richiesto, deve precisare gli estremi identificativi della persona fisica o dell´organismo che riveste, in quel momento, il ruolo di responsabile del trattamento. La società resistente deve quindi integrare la risposta già fornita, indicando all´interessato le generalità e la residenza o sede del responsabile del trattamento.


PER QUESTI MOTIVI, IL GARANTE:

a) dichiara il ricorso infondato per quanto riguarda la richiesta del ricorrente di ottenere la cancellazione dei dati che lo riguardano;

b) dispone che la Società integri la risposta già fornita all´interessato nel presente procedimento, indicando a quest´ultimo, entro il ..., le generalità e la residenza o sede del responsabile del trattamento.


Roma, 9 dicembre 1999

IL PRESIDENTE
Rodotà

IL RELATORE
De Siervo

IL SEGRETARIO GENERALE
Buttarelli