g-docweb-display Portlet

Provvedimento del 12 novembre 2003 [1084363]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web. n. 1084363]

Provvedimento del  12 novembre 2003

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale;

ESAMINATO il ricorso presentato da XY

nei confronti di

Fiditalia S.p.A. e Sogefactor S.r.l.;

VISTA la documentazione in atti;

VISTI gli articoli 13 e 29 della legge 31 dicembre 1996, n. 675 e gli articoli 18, 19 e 20 del d.P.R. 31 marzo 1998, n. 501;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Mauro Paissan;

PREMESSO:

Il ricorrente afferma di non aver ricevuto riscontro ad un´istanza formulata ai sensi dell´art. 13 della legge n. 675/1996 con la quale, accanto ad alcune istanze non previste dall´art. 13 dalla legge n. 675/1996, aveva chiesto a Fiditalia S.p.A. -dalla quale nel 1999 aveva ottenuto un finanziamento nel corso del quale si erano verificati alcuni ritardi nei pagamenti- e a Sogefactor S.r.l. -società cui in data 17 dicembre 2001 il relativo credito era stato ceduto- di avere conferma dell´esistenza di dati personali che lo riguardano, di conoscere il contenuto e l´origine dei dati medesimi, nonché gli estremi identificativi del titolare del trattamento, di cancellare altresì tali dati dagli archivi delle predette società e di attivarsi per la cancellazione dei propri dati personali eventualmente comunicati alle c.d. "centrali rischi private".

Nel ricorso presentato a questa Autorità ai sensi dell´art. 29 della legge n. 675/1996 il ricorrente ha ribadito le proprie richieste.

Con nota datata 23 settembre 2003 il ricorrente ha informato questa Autorità che Fiditalia S.p.A., con nota pervenuta il 21 luglio 2003, aveva comunicato di aver acquisito i dati dalla domanda di finanziamento, di aver cancellato quelli non soggetti all´obbligo di conservazione e di aver inibito ogni invio di materiale pubblicitario. La resistente, pur ritenendo legittimo il proprio operato, aveva dichiarato "di aver provveduto ad effettuare gli opportuni aggiornamenti" nelle banche dati delle società di tutela del credito, cui i dati del ricorrente erano stati comunicati in base al consenso manifestato dallo stesso e sulla base di asseriti obblighi delle società consorziate per la valutazione del rischio creditizio. Tali riscontri non erano però ritenuti esaustivi da parte dell´interessato.

All´invito ad aderire spontaneamente alle richieste dell´interessato, formulato da questa Autorità, ai sensi dell´art. 20, comma 8, del d.P.R. n. 501/1998 in data 16 settembre 2003, Fiditalia S.p.A. ha risposto, ad integrazione dei riscontri già comunicati, con nota inviata via fax in data 13 ottobre 2003, sostenendo, anche in riferimento alla posizione di Sogefactor S.r.l. (società che dagli atti già disponibili all´Ufficio risulta essersi fusa per incorporazione a far data dal 1° gennaio 2003 con Fiditalia S.p.A.) che:

  • nel gennaio 1999 il ricorrente aveva sottoscritto un contratto di finanziamento "tramite la società Biosan S.r.l.", manifestando all´atto della relativa sottoscrizione il consenso al trattamento dei dati personali, anche in riferimento all´eventuale comunicazione dei dati a terzi tra cui "società, enti, consorzi ed associazioni aventi finalità di tutela del credito", così come indicato nell´informativa ai sensi dell´art. 10 della legge n. 675/1996;
  • essendosi il ricorrente reso inadempiente nel pagamento di diverse rate (11 delle 24 rate del finanziamento erano state pagate "con ritardo talvolta superiore a 120 giorni"), le evidenze dei ritardi erano state segnalate da Fiditalia S.p.A. presso le banche dati CTC - Consorzio tutela del credito e Crif S.p.A.;
  • con nota del 10 luglio 2003 la resistente aveva già provveduto a riscontrare l´istanza ex art. 13 formulata dal ricorrente precisando "quali fossero i dati trattati, la loro origine, le finalità e le modalità del trattamento";
  • in ogni caso, Fiditalia S.p.A. aveva già richiesto alle citate "centrali rischi" private la cancellazione dei dati segnalati con riferimento al ricorrente, con domanda inoltrata a CTC -Consorzio tutela del credito nell´aprile 2002 e, a Crif S.p.A., nel luglio 2003;
  • il ricorso deve essere rigettato e le spese del procedimento devono essere poste a carico del ricorrente.

CIÒ PREMESSO IL GARANTE OSSERVA:

Il ricorso verte sul trattamento dei dati personali effettuato in relazione ad un´operazione di finanziamento ed è inammissibile in riferimento a Sogefactor S.r.l. che si è fusa per incorporazione con l´altra società resistente, in epoca antecedente al ricorso.

La richiesta di cancellazione dei dati dell´interessato, formulata in termini ampi, è infondata per quanto riguarda il trattamento dei dati effettuato all´interno di Fiditalia S.p.A..

L´art. 13 della legge n. 675/96 riconosce all´interessato il diritto di ottenere la cancellazione dei soli dati trattati in violazione di legge.

Dalla documentazione in atti risulta che i dati dell´interessato sono stati trattati da Fiditalia S.p.A. in base ad una formula di consenso che, in particolare per quanto riguarda le finalità di trattamento diverse da quelle relative all´esecuzione degli obblighi del contratto, non è però conforme ai principi richiamati nel provvedimento generale del Garante del 31 luglio 2002 sulle "centrali rischi" private, già noto alle parti.

Per quanto concerne l´attuale conservazione "interna" dei dati, la detenzione degli stessi da parte della predetta società non risulta, allo stato e in base agli elementi di valutazione prodotti, eccedente in relazione agli scopi per i quali gli stessi sono stati raccolti e trattati, ciò con riferimento ai dati riferiti al rapporto contrattuale soggetti ad obblighi di conservazione interna, avendo la resistente attestato di aver provveduto alla cancellazione dei "dati non soggetti all´obbligo di conservazione e ad inibire ogni invio di materiale pubblicitario".

Per quanto concerne la richiesta del ricorrente volta ad ottenere la comunicazione in forma intelligibile dei dati che lo riguardano, il ricorso è fondato e deve essere per tale parte accolto. Nella documentazione in atti è infatti presente copia del contratto di finanziamento sottoscritto dal ricorrente, ma Fiditalia S.p.A. non ha precisato se e quali eventuali ulteriori dati che riguardano il ricorrente medesimo siano detenuti negli archivi della società. Fiditalia S.p.A. dovrà pertanto mettere a disposizione del ricorrente tutti i dati che lo riguardano entro il 31 dicembre 2003, dando comunicazione anche a questa Autorità dell´avvenuto adempimento.

Va invece dichiarato non luogo a provvedere sul ricorso ai sensi dell´art. 20, comma 2, del d.P.R. n. 501/1998, in ordine alla richiesta rivolta alla resistente di attivarsi per la cancellazione dei dati dalle banche dati delle c.d. "centrali rischi" private alle quali gli stessi erano stati comunicati, avendo il titolare del trattamento fornito al riguardo, sia pure solo nel corso del procedimento, un adeguato riscontro. La resistente ha infatti comunicato di aver chiesto la cancellazione dei dati del ricorrente dalla banca dati gestita da C.T.C. -Consorzio tutela del credito già nell´aprile 2002 e dalla banca dati gestita da Crif S.p.A., nel luglio 2003.

In ordine alle altre richieste del ricorrente ai sensi del citato art. 13, volte ad avere conferma dell´esistenza dei dati che lo riguardano, nonché di conoscere l´origine dei dati medesimi e gli estremi identificativi del titolare del trattamento, va parimenti dichiarato non luogo a provvedere sul ricorso ai sensi dell´art. 20, comma 2, del d.P.R. n. 501/1998, avendo il titolare del trattamento fornito al riguardo adeguati riscontri prima e dopo la proposizione del ricorso.

Per quanto concerne le spese, alla luce della sequenza dei rapporti intercorsi fra le parti e dei profili di inammissibilità e di parziale fondatezza del ricorso di cui alla presente motivazione, sussistono giusti motivi per compensare integralmente le spese tra le parti.

PER QUESTI MOTIVI, IL GARANTE:

a) dichiara l´inammissibilità del ricorso proposto nei confronti di Sogefactor S.r.l.;

b) dichiara infondato il ricorso in ordine alla richiesta di cancellazione dei dati trattati all´interno di Fiditalia S.p.A.;

c) accoglie il ricorso limitatamente alla richiesta di ottenere la comunicazione in forma intelligibile di tutti i dati personali dell´interessato e ordina a Fiditalia S.p.A. di corrispondere a tale richiesta, nei termini di cui in motivazione, entro il 31 dicembre 2003, dando comunicazione anche a questa Autorità dell´avvenuto adempimento.

d) dichiara non luogo a provvedere sul ricorso ai sensi dell´art. 20, comma 2, del d.P.R. n. 501/98, in ordine alle restanti richieste formulate dal ricorrente;

e) dichiara integralmente compensate le spese tra le parti.

Roma, 12 novembre 2003

IL PRESIDENTE
Rodotà

IL RELATORE
Paissan

IL SEGRETARIO GENERALE
Buttarelli

Scheda

Doc-Web
1084363
Data
12/11/03

Tipologie

Decisione su ricorso