g-docweb-display Portlet

Diritti dell'interessato e consenso - 'Centrale rischi' private: recente estinzione di un rapporto con ritardi nei pagamenti - 30 settembre 2002 [...

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc web n. 1066175]

Diritti dell´interessato e consenso - "Centrale rischi" private: recente estinzione di un rapporto con ritardi nei pagamenti - 30 settembre 2002

Il garante ribadisce che i tempi di conservazione dei dati regolarmente acquisiti dalle "centrali rischi" private devono essere sempre misurati in relazione alle concrete vicende del rapporto di finanziamento (nel caso in oggetto, è stato stabilito che, allo stato, la permanenza e la conservazione dei dati dell´interessata fosse - seppur per un periodo di tempo limitato e, comunque, inferiore ai cinque anni indicati in contratto - giustificata e proporzionata in ragione della recentissima estinzione del rapporto, nel corso del quale si erano verificati alcuni ritardi nei pagamenti).


IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello vice presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale;

ESAMINATO il ricorso presentato da XY

nei confronti di

- Deutsche Bank S.p.A.,

- CRIF S.p.A.,

- Consorzio per la tutela del credito (C.T.C.);

VISTA la documentazione in atti;

VISTI gli articoli 13 e 29 della legge 31 dicembre 1996, n. 675 e gli articoli 18, 19 e 20 del d.P.R. 31 marzo 1998, n. 501;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000 adottato con deliberazione n. 15 del 28 giugno 2000;

RELATORE il dott. Mauro Paissan;

PREMESSO:

1. La ricorrente espone di non aver ricevuto risposta o idoneo riscontro alle proprie istanze presentate ai sensi dell´art. 13 della legge n. 675/1996 con le quali ha chiesto di ottenere l´aggiornamento o la cancellazione dei dati personali relativi ad un finanziamento che, a causa del ritardato pagamento di alcune rate, era stato segnalato alle "centrali rischi" gestite dal Consorzio tutela del credito (C.T.C.) e da Crif S.p.A.

Poiché il finanziamento ottenuto da Deutsche Bank S.p.A. in data 23 aprile 2001 è stato estinto anticipatamente in data 17 maggio 2002, il protrarsi della segnalazione, nelle predette "centrali rischi private", dei dati personali relativi ai ritardi nei pagamenti risulterebbe eccedente rispetto alle finalità per le quali i dati sono stati raccolti e arrecherebbe pregiudizio ai diritti e all´attività economica della ricorrente, determinando il rifiuto di ulteriori finanziamenti.

Non avendo ricevuto risposta, la ricorrente ha quindi presentato ricorso a questa Autorità ai sensi dell´art. 29 della legge n. 675/1996, per ottenere la cancellazione dei dati che la riguardano da parte di Deutsche Bank S.p.A., CRIF S.p.A. e C.T.C.

2. A seguito dell´invito ad aderire formulato da questa Autorità, Deutsche Bank S.p.A., con nota fax del 3 settembre 2002, ha evidenziato di aver effettuato il trattamento dei dati personali con il consenso rilasciato dall´interessata all´atto della sottoscrizione del contratto di finanziamento. Come precisato in un precedente riscontro fornito alla ricorrente il 23 maggio 2002, ha dichiarato di non poter accogliere l´istanza di cancellazione dei dati "per gli impegni assunti e gli obblighi di correttezza nei confronti degli altri partecipanti al Consorzio tutela del credito e della CRIF …" in relazione agli evidenziati ritardi nei pagamenti di alcune rate.

C.T.C., con nota del 6 settembre scorso, ha sostenuto che:

  • era in corso un aggiornamento dei dati dell´interessata da parte di Deutsche Bank S.p.A., relativamente all´indicazione dell´avvenuta estinzione del finanziamento;
  • a seguito della verifica effettuata con Deutsche Bank S.p.A. in merito alle circostanze che avevano portato alla segnalazione dei dati dell´interessata, non sussistono i presupposti per aderire alla richiesta dell´interessata.

CRIF S.p.A., con fax del 10 settembre 2002, ha eccepito l´inammissibilità del ricorso, in quanto l´interessata avrebbe previamente formulato nei suoi confronti una richiesta non di cancellazione dei dati, ma solo di verifica e di conferma del loro aggiornamento (istanza a cui, peraltro, la società aveva già fornito riscontro), né avrebbe fornito "alcuna prova circa la sussistenza di un pregiudizio imminente ed irreparabile necessario al fine di prescindere dalla richiesta medesima …" e "che non può essere presunto "in re ipsa" nella stessa domanda proposta in via immediata e diretta all´Autorità Garante" (in proposito, la società ha citato alcuni provvedimenti adottati dall´Autorità).

3. Nelle osservazioni formulate per iscritto e nell´audizione delle parti, la ricorrente, a mezzo del proprio procuratore, ha insistito nella richiesta di cancellazione dei dati che la riguardano ed ha chiesto di porre a carico dei resistenti le spese del procedimento. In particolare, ha contestato la validità del consenso espresso all´atto della sottoscrizione della richiesta di finanziamento, anche per l´assenza di idonee e specifiche informazioni circa "le conseguenze alle quali sarebbe andata incontro in caso di temporaneo inadempimento di una o più rate e cioè alla permanenza del suo nominativo in elenchi di debitori insolventi per ben cinque anni...". Ha altresì sostenuto di non aver instaurato alcun rapporto con le "centrali rischi private" e di non essere mai venuta a conoscenza di obblighi e regolamenti che avrebbero altresì efficacia unicamente nei rapporti tra queste ultime e la banca "segnalante". Ha infine rilevato che, a seguito dell´estinzione anticipata del finanziamento, sarebbero venute meno le ragioni che legittimerebbero il trattamento dei dati in questione, mentre la loro comunicazione ad altre banche o società finanziarie che accedono alle menzionate "centrali rischi private" continuerebbe ad arrecare grave pregiudizio ai diritti dell´interessata.

Deutsche Bank S.p.A. ha invece ribadito le osservazioni circa la validità del consenso rilasciato dall´interessata in relazione al complessivo trattamento dei dati relativi al finanziamento, nonché la precisione e la chiarezza del modulo sottoscritto dalla ricorrente per ciò che attiene sia all´indicazione della denominazione o della ragione sociale delle centrali rischi private destinatarie dei dati, sia alla specificazione delle finalità del loro trattamento e comunicazione ("valutazione del merito creditizio e prevenzione del sovrindebitamento").

CIÒ PREMESSO IL GARANTE OSSERVA

4. Il ricorso concerne la conservazione nelle banche dati di due "centrali rischi private" dei dati personali relativi ad un finanziamento estinto anticipatamente su iniziativa dell´interessata il 17 maggio 2002, rispetto al quale, nel corso del rapporto, si erano verificati ritardi nel pagamento di alcune rate.

Il ricorso è inammissibile nei confronti di CRIF S.p.A.

La ricorrente avrebbe dovuto dapprima avanzare un´idonea richiesta di cancellazione dei dati ai sensi dell´art. 13 della legge n. 675/1996 anche nei confronti di tale società, anziché solo nei riguardi della banca "segnalante", ed attendere almeno cinque giorni prima della presentazione del ricorso al Garante anche nei riguardi di CRIF S.p.A. Nella precedente istanza indirizzata a quest´ultima società, l´interessata aveva infatti formulato solo la specifica richiesta di ottenere una rettificazione od un aggiornamento dei dati relativi al rapporto di finanziamento estinto anticipatamente, senza formulare alcuna richiesta di esercizio del diritto di ottenerne la cancellazione, come invece specificato nell´ulteriore nota inviata a Deutsche Bank S.p.A. l´11 luglio scorso.

Il ricorso deve essere considerato ammissibile nei confronti di C.T.C., il quale in effetti non ha eccepito alcunché al riguardo, avendo evidenziato, nella precedente risposta alla richiesta dell´interessata, l´esigenza di rivolgere direttamente alla banca "segnalante" le istanze di rettificazione, aggiornamento o cancellazione delle informazioni contenute nella banca dati della "centrale rischi".

5. La richiesta volta ad ottenere la cancellazione dei dati è infondata.

Dalla documentazione in atti risulta che il finanziamento in questione (per il cui rimborso risultavano alcuni ritardi nei pagamenti) è stato estinto, senza debiti residui o pendenze, solo in data 17 maggio 2002, ovvero meno di due mesi prima della richiesta di cancellazione dei dati formulata dall´interessata ai sensi del citato art. 13.

A differenza di altri casi esaminati da questa Autorità (riguardanti finanziamenti estinti da più anni), il trattamento dei dati personali dell´interessata non risulta allo stato eccedente rispetto alle finalità per le quali i dati sono stati raccolti o successivamente trattati (art. 9, comma 1, lett. d)). Ciò con particolare riferimento all´inclusione in archivi quali quelli delle c.d. "centrali rischi private", consultabili da terzi per finalità di erogazione di altri crediti, di dati aggiornati ed esatti relativi ad una operazione di finanziamento, per la quale si sono effettivamente verificati ritardi, anche di diversi mesi, nei pagamenti di più rate. In rapporto all´estinzione assai recente del rapporto stesso, la permanenza e la conservazione in tali archivi dei dati dell´interessata relativi al finanziamento risulta, allo stato, giustificata e proporzionata, seppur per un limitato periodo di tempo, inferiore ai previsti cinque anni, da determinarsi in conformità al provvedimento di carattere generale del 31 luglio 2002 sulle centrali rischi (allegato alla nota di trasmissione della presente decisione), i cui principi in proposito si intendono richiamati integralmente quale parte integrante della decisione medesima.

Non sussistono quindi elementi idonei e sufficienti a ritenere che il trattamento dei dati in questione effettuato da Deutsche Bank S.p.A. e C.T.C. debba essere interrotto nei termini richiesti.

Con riferimento ai principi indicati nella citata decisione del Garante, verrà peraltro instaurato con separato provvedimento dell´Ufficio un autonomo procedimento ai sensi dell´art. 31, comma 1, lett. b), della legge n. 675/1996, rispetto alle modalità di informativa agli interessati e di acquisizione del consenso utilizzate dai resistenti.

In relazione alla sequenza dei rapporti intercorsi tra le parti a seguito delle richieste ai sensi del citato art. 13 e al tenore dei vari riscontri forniti, sussistono giusti motivi per compensare le spese fra le parti.

PER QUESTI MOTIVI IL GARANTE

a) dichiara il ricorso inammissibile nei confronti di CRIF S.p.A. ed infondato nei confronti di Deutsche Bank S.p.A. e Consorzio per la tutela del credito (C.T.C.), nei termini di cui in motivazione;

b) dichiara compensate le spese fra le parti.

Roma, 30 settembre 2002

IL PRESIDENTE
Rodotà

IL RELATORE
Paissan

IL SEGRETARIO GENERALE
Buttarelli