g-docweb-display Portlet

Provvedimento del 30 dicembre 2003 [1084806]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 1084806]

Provvedimento del 30 dicembre 2003

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Giuseppe Santaniello che presiede la riunione, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale;

Esaminato il ricorso presentato da XY

nei confronti di

Crif S.p.A.;

Visti gli articoli 13 e 29 della legge 31 dicembre 1996, n. 675 e gli articoli 18, 19 e 20 del d.P.R. 31 marzo 1998, n. 501;

Viste le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Gaetano Rasi;

PREMESSO:

La ricorrente, i cui dati personali risultano censiti nella banca dati di Crif S.p.A. in relazione ad un finanziamento, afferma di non aver ricevuto riscontro da Crif S.p.A. ad un´istanza con la quale si era opposta per motivi legittimi al trattamento dei dati, ai sensi dell´art. 13 della legge n. 675/1996, con ulteriore revoca del consenso. Con la medesima istanza l´interessata aveva anche chiesto la cancellazione dei dati con attestazione dell´avvenuta comunicazione della stessa ai soggetti cui i dati erano stati comunicati e diffusi. Ulteriori richieste erano state formulate in via subordinata.

Nel ricorso presentato a questa Autorità ai sensi dell´art. 29 della legge n. 675/1996 la ricorrente, nel ribadire le richieste già formulate, ha chiesto al Garante di ordinare alla resistente la cancellazione dei dati che la riguardano, non avendo più intenzione "di consentire la trasmissione dei propri dati personali ad altri soggetti".

A seguito dell´invito ad aderire formulato da questa Autorità in data 19 novembre 2003, ai sensi dell´art. 20 del d.P.R. n. 501/1998, Crif S.p.A., con nota inviata via fax il 3 dicembre 2003, ha dichiarato:

  • di aver sospeso la visibilità dell´unica posizione relativa alla ricorrente attualmente censita nella propria banca dati, "come misura adottata a scopo cautelativo, al fine di apprestare idonea tutela alle ragioni dell´interessato";
  • che tale misura "esclude in radice la possibilità per gli enti finanziatori aderenti alla centrale rischi di Crif di prendere conoscenza delle informazioni medesime";
  • di non ritenere legittima la volontà di revoca del consenso manifestata dalla ricorrente, che a suo avviso non trova "alcun fondamento nell´attuale assetto normativo della materia", e di interpretare l´istanza proposta alla stregua di una sostanziale opposizione per motivi legittimi;
  • di non ritenere che la ricorrente abbia dimostrato la sussistenza di "alcuna circostanza concreta che possa assurgere a motivo legittimo di opposizione al trattamento (…)".
  • aver verificato con gli enti finanziatori che i dati censiti sono "esatti, aggiornati e consentiti dall´interessato" e quindi trattati in modo conforme alla legge;
  • ritenere "ancora giustificato e legittimo il trattamento operato da Crif nel perseguimento della finalità di prevenzione e controllo del rischio di insolvenza" con riferimento ai dati che riguardano la ricorrente, i quali hanno "ad oggetto un prestito finalizzato attualmente in corso (…) senza alcuna segnalazione di irregolarità nei pagamenti".

CIÒ PREMESSO IL GARANTE OSSERVA:

Il ricorso consegue all´opposizione per motivi legittimi alla permanenza presso una c.d. "centrale rischi" privata di alcuni dati personali relativi alla ricorrente, con conseguente connessa cancellazione dalla predetta banca dati.

Malgrado la pluralità delle espressioni utilizzate, le istanze proposte integrano un´unica, sostanziale domanda, caratterizzata da un´opposizione per motivi legittimi all´ulteriore trattamento dei dati presso la predetta "centrale rischi", mediante loro cancellazione per effetto dell´intervenuta revoca del consenso che nel caso di specie rappresenta, allo stato, l´unico presupposto idoneo del trattamento ai sensi dell´art. 20 della legge n. 675/1996.

Il trattamento effettuato dalla "centrale rischi" in qualità di autonomo titolare del trattamento -che, come tale, sulla base di alcuni accordi del sistema di rilevazione del rischio creditizio, ed in relazione al concreto andamento del rapporto di finanziamento monitorato dalla banca o dalla finanziaria che ha concesso il prestito, interviene sui dati personali che le sono trasmessi dagli enti segnalanti- è in termini generali lecito, ma basato nella fattispecie solo sul consenso che, come detto, è stato revocato.

In ordine all´opposizione in esame, conformemente a quanto disposto dal Garante in precedenti decisioni, va ritenuta congrua, quale misura necessaria a tutela dei diritti dell´interessato e in luogo della integrale cancellazione, quella della sospensione temporanea della comunicazione a terzi dei dati personali relativi ai rapporti di finanziamento e della conseguente visibilità nella predetta banca dati.

Crif S.p.A., nel corso del procedimento, ha attestato di aver già adottato tale misura nelle more dell´adozione del codice deontologico previsto in materia dall´art. 20, comma 2, lett. e), del d.lg. n. 467/2001 e dei connessi, eventuali, provvedimenti del Garante attuativi del d.lg. n. 467/2001 e del citato codice deontologico (artt. 12, comma 1, lett. h-bis, 20, comma 1, lett. h-bis e 24-bis legge n. 675/1996; art. 20, comma 2, lett. e), d.lg. n. 467/2001).

Deve pertanto dichiararsi non luogo a provvedere sul ricorso ai sensi dell´art. 20, comma 2, del d.P.R. n. 501/1998.

PER QUESTI MOTIVI IL GARANTE:

dichiara non luogo a provvedere sul ricorso ai sensi dell´art. 20, comma 2, del d.P.R. n. 501/1998.

Roma, 30 dicembre 2003

IL PRESIDENTE
Santaniello

IL RELATORE
Rasi

IL SEGRETARIO GENERALE
Buttarelli

Scheda

Doc-Web
1084806
Data
30/12/03

Tipologie

Decisione su ricorso