g-docweb-display Portlet

Istituti di credito - Trattamento di dati provenienti dalla Centrale rischi della Banca d'Italia - 10 Aprile 2001 [31015]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 [doc. web n. 31015]


Istituti di credito - Trattamento di dati provenienti dalla Centrale rischi della Banca d’Italia

Un istituto di credito può acquisire presso la Centrale rischi della Banca d’Italia informazioni relative alle esposizioni di un proprio cliente o alle garanzie da questi prestate nei confronti di terzi. Nel caso esaminato il trattamento poteva effettuarsi senza il previo consenso dell’interessato in quanto i dati riguardavano lo svolgimento di attività economiche.
La verifica sulla solidità economica di un soggetto anche presso la Centrale rischi della Banca d’Italia non configura violazione della normativa in materia di segreto aziendale e industriale se non vengono divulgate notizie attinenti all’organizzazione o a determinati metodi di produzione di un’impresa o a conoscenze tecniche. La tutela per mezzo del ricorso è ammissibile solo successivamente ad una richiesta formulata al titolare del trattamento.



IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

In data odierna, in presenza del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Gaetano Rasi e del dottor Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale;

esaminato il ricorso presentato dal Sig. Paolo Riva;

nei confronti di

Banca di Credito Cooperativo di Carate Brianza s.c. a r.l.;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000 adottato con deliberazione n. 15 del 28 giugno 2000 e pubblicato sulla Gazzetta Ufficiale della Repubblica Italiana n. 162 del 13 luglio 2000;

RELATORE il prof. Stefano Rodotà;

PREMESSO:

Il ricorrente, cliente della Banca di Credito Cooperativo di Carate Brianza, lamenta che il medesimo istituto di credito avrebbe trattato i propri dati personali in violazione degli artt. 20 e 21 della legge n. 675/1996.

Secondo il ricorrente la banca citata avrebbe eseguito, "a richiesta di terzi estranei al rapporto, una indagine…relativa alla esistenza di contratti di fideiussione rilasciati" dal ricorrente stesso, il quale ne avrebbe avuto cognizione nel corso di un procedimento arbitrale promosso da terzi nel quale sarebbe stato prodotto "un rapporto della Centrale dei rischi presso la Banca d’Italia relativo alla esistenza di fideiussioni" rilasciate dal ricorrente medesimo a garanzia di obbligazioni assunte da terzi. I dati contenuti nel rapporto sarebbero stati poi utilizzati nel procedimento arbitrale "al fine di ostacolare la strategia difensiva" dell’interessato.

Da accertamenti svolti presso la Banca d’Italia dal ricorrente sarebbe emerso "che la richiesta di prima informazione alla Centrale dei Rischi in relazione ai dati" del ricorrente sarebbe stata "effettuata in data 26 giugno 2000 da un dipendente della Banca di Credito Cooperativo di Carate Brianza" che avrebbe successivamente "consegnato il documento ai signori Mariani e Bombardini affinché gli stessi lo potessero produrre nel sopraindicato procedimento arbitrale".

Tutto ciò costituirebbe violazione della normativa sui dati personali anche in relazione alle obbligazioni assunte dalla banca nel rapporto instaurato con l’interessato.

Con il ricorso l’interessato chiede:

  • "l’emissione di tutti i provvedimenti che il Garante … riterrà opportuni";
  • "l’attestazione che le operazioni…sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi";
  • la conferma dell’esistenza di dati personali che lo riguardano anche se non ancora registrati;
  • la comunicazione in forma intelligibile degli stessi e della loro origine;
  • la comunicazione della logica e delle finalità del trattamento.

All’invito ad aderire spontaneamente a tali richieste, formulato il 16 marzo 2001 ai sensi dell’art. 20 del d.P.R. n. 501/1998, la Banca di Credito Cooperativo di Carate Brianza ha risposto con nota inviata via fax il 22 marzo 2001 con la quale è stata comunicata l’intenzione di non aderire alle richieste del ricorrente. Le motivazioni del rifiuto sono state illustrate nella memoria pervenuta il 27 marzo 2001, nella quale il titolare del trattamento ha evidenziato che:

  • la richiesta di prima informazione alla Banca d’Italia era stata effettuata per "motivazioni connes se alla valutazione complessiva del rischio creditizio relativo ad azienda nel cui interesse il soggetto ha rilasciato garanzia personale" a favore della banca medesima;
  • i dati in questione non sarebbero stati comunicati dalla banca ad altri soggetti come invece asserito "in modo del tutto apodittico" dal ricorrente;
  • il medesimo ricorrente avrebbe dovuto provare che il documento che si assume essere stato utilizzato nel predetto giudizio arbitrale sia quello ricevuto dalla banca in forza dell’istanza presentata alla Centrale rischi.

Tali eccezioni sono state ribadite nell’audizione del 30 marzo 2001. In tale occasione il ricorrente ha riproposto il proprio punto di vista sottolineando che, a suo avviso, dall’allegato n. 1 al ricorso risulterebbe provata la trasmissione dei propri dati al non meglio identificato "avv. Vicari", legale di controparte nel menzionato procedimento arbitrale (il cui nome è stato trascritto sul primo foglio del rapporto prodotto dalla Banca d’Italia). Inoltre il rapporto in questione sarebbe l’unico formato in quel periodo e su quel soggetto dalla Centrale rischi stessa.

CIÓ PREMESSO IL GARANTE OSSERVA:

Ai sensi dell’art. 29, comma 2, della legge n. 675, la proposizione del ricorso al Garante può avvenire trascorsi cinque giorni dall’inoltro al titolare del trattamento di un’istanza relativa all’esercizio dei diritti di cui all’art. 13 della medesima legge.

Nel caso di specie va quindi preliminarmente verificato se le richieste formulate dal ricorrente in sede di ricorso siano state precedute da un preventivo interpello del titolare del trattamento, nei termini sopraindicati.

Questa Autorità, con nota del 28 febbraio 2001, aveva chiesto al ricorrente di regolarizzare il ricorso inviando copia della precedente istanza inoltrata al titolare o al responsabile del trattamento riguardo all’esercizio dei diritti di cui al citato art. 13.

In risposta a tale richiesta, il ricorrente ha inviato copia di una nota indirizzata il 4 dicembre 2000 alla Banca di Credito Cooperativo di Carate Brianza. In tale lettera non compaiono le specifiche richieste di accesso ai dati, nonché di conoscenza della loro origine, della logica e delle finalità del trattamento che sono state proposte solo in sede di ricorso. Pertanto tali richieste, riportate in premessa nei punti 3, 4 e 5, devono essere dichiarate inammissibili nell’odierno procedimento in quanto non precedute dall’esercizio dei diritti di cui all’art. 13.

Parimenti inammissibile risulta la richiesta di cui al predetto punto 2, ossia l’attestazione che le operazioni di cancellazione, blocco, aggiornamento o rettificazione dei dati sono state portate a conoscenza di coloro ai quali i dati sono stati comunicati o diffusi. Anche tale richiesta non è stata infatti oggetto di previa istanza indirizzata al titolare del trattamento (e non poteva essere proposta nel caso di specie, ai sensi dell’art. 13, comma 1, lettera b), n. 4 della legge n. 675, essendo strettamente connessa ad altre richieste di cancellazione, blocco, ecc. che, però, nella vicenda in esame, non hanno costituito oggetto di specifica richiesta né in sede di istanza ex art. 13, né nel ricorso).

La citata lettera del 4 dicembre 2000 inoltrata dal ricorrente alla banca é invece utilmente considerabile come manifestazione della volontà di opporsi al trattamento di dati svolto dall’istituto di credito con specifico riferimento al trattamento dei dati provenienti dalla Centrale rischi della Banca d’Italia.

Per questa parte il ricorso è però infondato per un duplice ordine di argomentazioni. In primo luogo, con riferimento al genere di rapporto fra l’interessato e la banca, le operazioni di trattamento svolte da quest’ultima e finalizzate all’acquisizione presso la Centrale rischi della Banca d’Italia ed al successivo utilizzo per finalità aziendali di alcune informazioni relative alle esposizioni dell’interessato o alle garanzie prestate nei confronti di terzi risultano in generale legittime e la loro effettuazione non è necessariamente subordinata al previo consenso dell’interessato, potendo operare anche i presupposti di cui agli artt. 12, comma 1, lettera f), e 20, comma 1, lettera e), della legge n. 675, secondo cui il trattamento e la comunicazione a terzi è ammessa "se i dati sono relativi allo svolgimento di attività economiche, nel rispetto della vigente normativa in materia di segreto aziendale e industriale".

Come già precisato da questa Autorità (vedi in particolare il provvedimento in data 16 febbraio 1999 in Bollettino del Garante n. 7, pag. 10 ss. ), la formula utilizzata in tali espressioni si riferisce al complesso degli accertamenti, dei giudizi e delle stime sulle attività finanziarie, produttive, commerciali, professionali, con particolare riferimento alle valutazioni sulla affidabilità, solvibilità e, più in generale, sulla capacità economica dei singoli operatori. Si tratta di accertamenti che possono rientrare anche nella normale prassi bancaria e che possono rendersi necessari, come nel caso di specie, ai fini di una corretta valutazione del rischio di credito.

Al riguardo, non è poi pertinente l’eccezione formulata dal ricorrente e finalizzata a disconoscere l’applicabilità delle citate disposizioni in ragione del doveroso rispetto della normativa "in materia di segreto aziendale e industriale". Quest’ultima espressione si riferisce semmai al divieto di divulgare, in taluni casi, notizie attinenti all’organizzazione o a determinati metodi di produzione di un’impresa, ovvero all’obbligo di non divulgare talune conoscenze tecniche, ma non preclude ad una banca di effettuare in conformità alle leggi determinate verifiche sulla solidità economica di un soggetto anche presso la menzionata Centrale dei rischi.

Il ricorso risulta infondato anche per ciò che riguarda l’ipotizzata rivelazione a terzi, da parte della banca, dei dati del ricorrente. Sotto questo profilo, l’eccezione del ricorrente risulta sfornita di prova non essendo stati prodotti nel procedimento idonei elementi per sostenere che il non meglio identificato avv. Vicari abbia effettivamente ricevuto i dati in questione dalla banca.

Tale circostanza (che peraltro non preclude al ricorrente di esercitare i propri diritti presso terzi, per conoscere l’origine dei dati che lo riguardano) verrà comunque verificata dal Garante nell’ambito di un autonomo procedimento attivato d’iniziativa ai sensi dell’art. 31, comma 1, lettera d), della legge n. 675.


PER QUESTI MOTIVI IL GARANTE:

a) dichiara inammissibile il ricorso in riferimento alle richieste del ricorrente elencate in motivazione ai n. 2, 3, 4 e 5;

b) dichiara infondato il ricorso per la restante parte, nei termini di cui in motivazione.

 

Roma, 10 aprile 2001

IL PRESIDENTE
Rodotà

IL RELATORE
Rodotà

IL SEGRETARIO GENERALE
Buttarelli