g-docweb-display Portlet

Diritto di accesso - É limitata la conservazione nel tempo dei dati nelle 'centrali rischi' private - 2 maggio 2002 [29972]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc web n. 29972]


Diritto di accesso - É limitata la conservazione nel tempo dei dati nelle "centrali rischi" private

Risulta eccedente rispetto alle finalità per le quali i dati sono stati raccolti o successivamente trattati (art. 9, comma 1, lett. d) della legge n. 675/1996), la conservazione presso una "centrale rischi" privata dei dati dell´interessato relativi ad un rapporto di finanziamento estinto da circa quattro anni senza residui o pendenze. I dati devono essere, quindi, cancellati.

 

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI


NELLA riunione odierna, in presenza del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale;

ESAMINATO il ricorso presentato dalla sig.a XY

nei confronti di

FIDITALIA S.p.A.;

VISTA la documentazione in atti;

VISTI gli articoli 13 e 29 della legge 31 dicembre 1996, n. 675 e gli articoli 18, 19 e 20 del d.P.R. 31 marzo 1998, n. 501;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Stefano Rodotà;


PREMESSO:

1. La ricorrente, già intestataria di un finanziamento estinto anticipatamente, lamenta che FIDITALIA S.p.A. non abbia fornito positivo riscontro ad una richiesta, avanzata ai sensi dell’art. 13 della legge n. 675/1996, con la quale aveva chiesto di accedere ai dati personali che la riguardano e la cancellazione del proprio nominativo dalla banca dati del predetto titolare del trattamento.

Nel ricorso presentato a questa Autorità ai sensi dell’art. 29 della legge n. 675/1996, la ricorrente ha ribadito le proprie richieste sottolineando come la presenza dei dati nel citato archivio avrebbe determinato il rifiuto di un ulteriore finanziamento.

A seguito dell’invito ad aderire formulato da questa Autorità in data 5 aprile 2002, FIDITALIA S.p.A., con nota anticipata via fax il 12 aprile 2002, ha sostenuto:

  • di aver acquisito, in ordine alla sottoscrizione del contratto di finanziamento, il consenso informato dell’interessata, anche in ordine all’eventuale comunicazione dei dati personali a "società, enti, consorzi ed associazioni aventi finalità di tutela del credito…";
  • di aver inserito il nominativo dell’interessata nella banca dati di CTC, Consorzio tutela del credito, a seguito di "ritardi nei pagamenti non ottemperati puntualmente alle scadenze convenute";
  • di aver fornito nel corso degli ultimi anni ripetute spiegazioni in merito ai tre legali che si sono succeduti nel patrocinio dell’interessata;
  • di non poter tener conto della corrispondenza fatta pervenire dalla ricorrente dalla quale si evincerebbe che la stessa avrebbe svolto il ruolo di mero prestanome per conto di un’altra persona (che non risulta però "né come garante né come coobbligato nella pratica in questione");
  • di aver comunque dato atto fin dal 1999 che il finanziamento si era concluso in modo regolare, pur non potendo procedere, per gli evidenziati ritardi, alla cancellazione del nominativo dell’interessata;
  • di aver inoltre informato anche Crif S.p.A. sull’avvenuta estinzione della pratica;
    che in ordine ad eventuali, ulteriori richieste di finanziamento va ricordato che "ogni soggetto finanziario in base alle proprie regole interne vaglia quando e come concedere un finanziamento in base ai propri criteri di assunzione del rischio finanziario";
  • che il nominativo dell’interessata, contrariamente a quanto dalla stessa sostenuto, non sarebbe mai stato oggetto di "cancellazione e successivo reinserimento".

Con nota in data 19 aprile 2002 l’interessata ha ribadito le proprie richieste.


CIÒ PREMESSO IL GARANTE OSSERVA:

2. Il ricorso concerne la conservazione nella banca dati di una finanziaria di alcuni dati personali dell’interessata, relativi ad una operazione di finanziamento estinta anticipatamente, ma rispetto alla quale, nel corso del rapporto, si erano verificati ritardi nel pagamento di alcune rate.

In ordine alla richiesta di accesso ai dati (peraltro formulata solo nella lettera in data 6 dicembre 2000 e non riproposta nella successiva istanza in data 15 febbraio 2002 da cui è scaturito il ricorso in esame) il titolare del trattamento ha inviato copia della documentazione relativa alla vicenda in questione, dalla quale si desumono i dati dell’interessata riferiti sia alla conclusione del contratto, sia ai successivi rapporti epistolari intrattenuti con i legali della stessa.

In proposito può essere pertanto dichiarato non luogo a provvedere sul ricorso, ai sensi dell’art. 20, comma 2, del d.P.R. n. 501/1998, sul presupposto che il titolare del trattamento confermi in modo inequivocabile, entro il 30 settembre 2002, di non detenere altri dati personali dell’interessata oltre quelli già trasmessi in allegato alla nota del 12 aprile 2002.

 

3. La richiesta volta ad ottenere la cancellazione dei dati é fondata.

Dalla documentazione in atti risulta che il finanziamento in questione (per il cui rimborso risultavano alcuni ritardi nei pagamenti) è stato estinto in data 24 settembre 1998.

In ordine al trattamento dei dati personali dell’interessata attualmente in corso occorre pertanto verificare che lo stesso non risulti eccedente rispetto alle finalità per le quali i dati sono stati raccolti o successivamente trattati (art. 9, comma 1, lett. d)).

Nel caso di specie il finanziamento è stato estinto da circa quattro anni e non risultano debiti residui o pendenze. A differenza di quanto può rilevarsi per la documentazione ai fini interni del pregresso rapporto, la diffusa conoscibilità dei dati da parte di terzi, a tale distanza di tempo dall’estinzione del rapporto, deve ritenersi in contrasto con quanto disposto dall’art. 9 della legge n. 675 (vedi sul punto provv. del 27 dicembre 2001 in Boll. n. 23, pag. 77 ss).

Ciò con particolare riferimento all’inclusione di tali dati in archivi (quali quelli delle c.d. centrali rischi private) consultabili da terzi per finalità di erogazione di altri crediti. La permanenza dei dati in tali archivi non risulta più giustificata. Ciò in riferimento sia all’eccessiva latitudine del tempo di conservazione del dato, sia all’ormai avvenuta estinzione del rapporto stesso.

Deve pertanto ritenersi legittima la richiesta della ricorrente di ottenere la cancellazione delle predette annotazioni pregiudizievoli dagli archivi di CTC e CRIF S.p.A.

Il titolare del trattamento (ferma restando la conservazione "interna", in conformità alla legge, dei dati personali dell’interessata) dovrà pertanto attivarsi al fine di disporre l’eliminazione di tali annotazioni, dando comunicazione alle predette centrali rischi del contenuto del presente provvedimento, entro un termine che appare congruo fissare al 30 settembre 2002.


PER QUESTI MOTIVI IL GARANTE DICHIARA:

a) non luogo a provvedere sul ricorso, ai sensi dell’art. 20, comma 2, del d.P.R. n. 501/1998, nei termini di cui in motivazione, in ordine alla richiesta di accesso ai dati personali sul presupposto che Fiditalia S.p.A. confermi, entro il 30 settembre 2002, di non detenere altri dati personali dell’interessata oltre quelli già consegnati in allegato alla nota del 12 aprile 2002;

b) accoglie il ricorso, nei termini di cui in motivazione, in riferimento alla richiesta di cancellazione dei dati personali dell’interessata dagli archivi di CTC e di CRIF S.p.A. e ordina a Fiditalia S.p.A. di provvedere nei termini di cui in motivazione entro il 30 settembre 2002, dando conferma di tale adempimento all’interessata ed a questa Autorità entro la medesima data.


Roma, 2 maggio 2002


IL PRESIDENTE
Rodotà

IL RELATORE
Rodotà

IL SEGRETARIO GENERALE
Buttarelli