I - Stato di attuazione della legge n. 675/1996 - Relazione 2001

Settore del credito, finanziario ed assicurativo

34. Profili generali
Cresce l´attenzione rivolta dai cittadini nei confronti della raccolta, dell´utilizzazione e della circolazione dei dati in ambito bancario, finanziario ed assicurativo. Nonostante i rilevanti sforzi organizzativi ed economici compiuti in questi settori per l´attuazione delle complesse regole poste a tutela delle informazioni di carattere personale, esistono ancora diversi, delicati aspetti che necessitano di essere "messi a fuoco" e che, anche per l´assenza di specifiche disposizioni, determinano la diffusione di prassi non corrette o disomogenee tra i singoli operatori, da un lato, e un largo contenzioso con la clientela, dall´altro.

È infatti in aumento il numero di istanze, segnalazioni, reclami, ricorsi e quesiti rispetto ad alcune particolari attività creditizie ed assicurative che, nella relazione dello scorso anno, sono state definite come filoni "patologici" per i loro riflessi in materia di privacy e per la loro incidenza nella vita quotidiana di qualsiasi individuo (v. la Relazione 2000, p. 48).

Con riferimento al settore delle assicurazioni, rimangono anzitutto sul tappeto alcuni problemi interpretativi legati all´accesso, da parte di clienti o di terzi danneggiati, a perizie medico-legali predisposte dai medici di fiducia delle compagnie assicurative, in relazione a richieste di risarcimento dei danni ed alla liquidazione dei sinistri (sia per le assicurazioni auto, sia per le polizze sanitarie). Nel paragrafo successivo verranno descritte le pronunce più significative dell´Autorità su tale argomento. In proposito, occorre però rilevare sin d´ora che alcuni giudici di merito, a differenza del Garante, sono a volte propensi a non considerare come dati personali degli assicurati le informazioni riportate nell´ambito delle valutazioni sanitarie espresse su questi ultimi da consulenti delle società di assicurazioni (sulla questione si attende un primo pronunciamento della Corte di cassazione).

Sempre in rapporto al settore assicurativo, vanno segnalate le questioni applicative connesse all´ormai prossima entrata in funzione della banca dati dei sinistri automobilistici gestita dall´Isvap per la lotta contro le frodi assicurative (anche questo argomento sarà oggetto di approfondimento in un ulteriore paragrafo).

L´altro fronte "patologico" riguarda poi le attività di acquisizione, trattamento e messa a disposizione nei circuiti bancari e finanziari delle informazioni sui finanziamenti erogati ai cittadini. Come si vedrà in seguito, si tratta di attività svolte, oltre che dalla Banca d´Italia, da società private che gestiscono sistemi informativi centralizzati di rilevazione dei rischi creditizi, le cd. "centrali rischi", strumenti di tutela preventiva del credito ritenuti essenziali per lo sviluppo delle forme di credito al consumo. Su questo fronte, il recente decreto legislativo 467/2001 ha previsto di rinviare direttamente all´autoregolamentazione degli operatori del settore e delle associazioni dei consumatori, seppur con il vaglio del Garante, la definizione di puntuali ed omogenee disposizioni per il rispetto dei principi sulla protezione dei dati relativi ai rapporti di finanziamento, alla puntualità nei pagamenti ed all´affidabilità dei clienti interessati.

Risulta, poi, confermato il dato, già indicato nella relazione 2000, del tendenziale, progressivo aumento delle segnalazioni e delle istanze presentate dai clienti degli istituti di credito contro le violazioni delle norme poste a tutela della riservatezza nei rapporti bancari, relativamente alla divulgazione a persone estranee di informazioni su proprie operazioni, conti od investimenti. In proposito, sono stati assunti alcuni provvedimenti che forniscono chiarimenti in materia di segreto bancario, individuando criteri utili per la determinazione dei comportamenti leciti nell´uso e nella divulgazione dei dati da parte dei dipendenti delle banche che garantiscano sia il cittadino, sia l´impresa bancaria. Tali principi potrebbero essere ripresi nell´ambito del rafforzamento del dovere di riserbo degli impiegati bancari o della predisposizione di apposite regole di condotta sulla protezione dei dati personali da parte degli istituti di credito e finanziari, alla luce del provvedimento del 10 febbraio 2000 per la promozione della sottoscrizione di codici di buona condotta in diversi settori (v. rispettivamente Relazione 2000, p. 49 e Relazione 1999, p. 223).

In particolare (Provv. 23 maggio 2001, richiamato nella Relazione 2000 e pubblicato in Bollettino n. 20, p. 30), è stata ritenuta fondata la segnalazione del cliente di una banca il cui dipendente aveva divulgato dati su rapporti di conto corrente e di deposito titoli ad un legale esterno il quale, a sua volta, li aveva utilizzati in una controversia tra il cliente ed un terzo (si trattava, in concreto, di una causa tra ex coniugi relativa all´aumento dell´assegno di divorzio). In tale provvedimento, è stato evidenziato che la disposizione della legge 675/1996 la quale permette di comunicare dati personali senza il consenso dell´interessato, qualora ciò sia necessario per la difesa di un diritto in sede giudiziaria (nel rispetto della normativa vigente in materia di segreto aziendale ed industriale: art. 20, comma 1, lett. g) ), attribuisce al titolare del trattamento solo una facoltà di divulgare i dati all´esterno.

Per gli istituti di credito esiste tuttavia l´obbligo del cd. segreto bancario che è presupposto, o richiamato, da diverse normative in materia fiscale o tributaria e che viene comunemente configurato come connaturato al rapporto banca-cliente in applicazione dei principi di correttezza e buona fede nell´esecuzione del contratto, trovando riscontro anche negli usi e nelle consuetudini bancarie (nonché negli impegni che gli istituti di credito assumono nei confronti della clientela allorché dichiarano di rispettare le regole di comportamento indicate dalla relativa associazione di categoria, anche per ciò che attiene alla riservatezza nella raccolta e nel trattamento delle informazioni sui clienti).

Al di fuori di operazioni di comunicazione dei dati strumentali alle prestazioni richieste e ai servizi erogati, gli istituti di credito ed il relativo personale sono di regola tenuti a mantenere la riservatezza sulle informazioni relative ai propri clienti e a non divulgarle a soggetti esterni, a meno che tali soggetti abbiano il diritto di ottenerle o, comunque, il potere di conoscerle in base a specifiche disposizioni normative o contrattuali. Ne deriva che una comunicazione di informazioni sui conti dei clienti effettuata in violazione del descritto impegno al riserbo nello svolgimento del rapporto bancario risulta contraria ai principi di liceità e correttezza sanciti dall´articolo 9 della legge n. 675/1996.

Con una successiva deliberazione (adottata il 27 giugno 2001), è stata invece dichiarata l´infondatezza di un´altra segnalazione presentata da un cliente di un istituto bancario che aveva divulgato dati relativi ai rapporti di conto corrente di quest´ultimo nell´ambito della controversia giudiziaria concernente l´attività professionale dallo stesso precedentemente svolta per il medesimo istituto. In questo caso è stato ribadito che l´istituto di credito può comunicare informazioni relative ai rapporti di conto corrente quando tale comunicazione sia effettuata in sede giudiziaria per tutelare i propri diritti nelle controversie con i clienti interessati, non assumendo valore ostativo, in questa ipotesi, l´impegno di riservatezza assunto nei confronti della clientela in relazione ai servizi prestati, che non può tradursi in un vincolo tale da produrre effetti lesivi nella sfera giuridica della stessa banca e in un limite all´esigenza di difesa giudiziaria dei propri diritti. Il cliente non può difatti pretendere dalla banca un comportamento che si risolva in una lesione dei propri interessi giuridicamente rilevanti e del proprio diritto di difesa, in contrasto con lo stesso principio di solidarietà che impronta i richiamati doveri di correttezza nei rapporti obbligatori.

Ulteriore fonte di intensa attività, come già accennato nella scorsa relazione annuale, è risultato l´esame delle istanze presentate da diverse società in relazione alle modalità alternative di informativa ai clienti interessati, utilizzabili in relazione a complesse operazioni di cartolarizzazione dei crediti.

A seguito del provvedimento di carattere generale adottato il 4 aprile 2001 (pubblicato in Bollettino n. 19, p. 20), le società cessionarie di crediti sono state autorizzate a fornire l´informativa agli interessati mediante pubblicazione nella Gazzetta Ufficiale, attraverso modalità sostanzialmente analoghe a quelle previste dal testo unico in materia bancaria e finanziaria (che appunto prevede tale forma di pubblicazione per rendere note le cessioni in blocco di rapporti giuridici: v. la Relazione 2000, p. 48), mediante la messa a disposizione dell´informativa nelle filiali e negli uffici delle società cessionarie, nonché con la sua pubblicazione su almeno due quotidiani nazionali ed uno locale (nel luogo in cui sono insediate le filiali che hanno intrattenuto il maggior numero di rapporti con i clienti interessati).

In tale provvedimento, si è altresì precisato che l´autorizzazione si intende automaticamente concessa anche per le altre società che ne abbiano fatto richiesta, trovandosi nelle medesime condizioni, decorsi trenta giorni dal ricevimento delle istanze senza che il Garante abbia chiesto chiarimenti o comunicato il rigetto. E, in verità, anche nei primi mesi del 2002, è stata effettuata un´attività di monitoraggio delle frequenti richieste presentate da società che pur rientrano nell´ambito di applicazione del citato provvedimento e che sono tenute ad inviare i modelli informativi predisposti. In diversi casi, però, alcuni operatori hanno avanzato quesiti ed istanze per ottenere un´ulteriore semplificazione degli adempimenti o hanno sottoposto al vaglio dell´Ufficio operazioni di cartolarizzazione o di cessione in blocco di crediti che si svolgono secondo norme e con formalità differenti da quelle individuate dal testo unico bancario.

Per queste ipotesi, il Garante dovrà a breve pronunciarsi per fornire ulteriori, opportune indicazioni di carattere generale, in modo anche da far diminuire o cessare l´afflusso di tale tipologia di richieste.

In relazione alla semplificazione degli adempimenti per la tutela della privacy nel settore bancario e finanziario, va da ultimo sottolineata anche in questa sede l´importanza delle recenti modifiche introdotte dal decreto legislativo n. 467/2001, soprattutto per ciò che attiene alla previsione di nuovi casi di esclusione del consenso anche per operazioni di comunicazione di dati personali strumentali all´esecuzione di obblighi contrattuali. Ciò dovrebbe comportare una definitiva risoluzione dell´annoso problema della mancata restituzione da parte di diversi clienti dei moduli che gli istituti di credito avevano inviato anche alla clientela acquisita prima dell´entrata in vigore della legge n. 675/1996, allo scopo di legittimare ordinarie attività connesse all´esecuzione di servizi bancari o comunque di prestazioni contrattuali, per le quali risulti indispensabile comunicare i dati ad altre banche, istituti finanziari o società che collaborano con i medesimi istituti.

I rilevanti riflessi delle recenti modifiche sui settori in esame, anche per quanto riguarda la modulistica distribuita dagli operatori, potranno essere meglio valutati anche sulla base della complessiva attività cui dovrà attendere il Garante nei prossimi mesi, con riferimento non solo ai nuovi presupposti equipollenti al consenso ed all´attuazione del principio del cd. bilanciamento di interessi, ma anche all´individuazione di accorgimenti specifici per i trattamenti di dati particolari e all´esercizio dei poteri di verifica preliminare di determinate utilizzazioni delle informazioni.

35. Perizie medico-legali
Nel corso del 2001, gli approfondimenti dell´Autorità sulla definizione di dato personale e la Raccomandazione sui dati valutativi dei dipendenti del Gruppo dei Garanti europei (v. Relazione 2000, p. 49), hanno contribuito ad un diverso atteggiamento delle compagnie di assicurazione, con riguardo alle istanze avanzate dall´interessato ai sensi dell´art. 13 l. n. 675/1996, volte a conoscere le informazioni a carattere personale contenute nei documenti redatti dal medico fiduciario delle società assicurative a seguito di un sinistro (cd. perizie medico-legali).

In considerazione di ciò, nel documento predisposto dal medico fiduciario delle diverse compagnie di assicurazioni, compaiono accanto ai dati personali dell´interessato, quali ad esempio i dati anagrafici o le lesioni riportate, anche valutazioni che sono frutto di un giudizio del professionista che ha visitato l´interessato o ha esaminato la relativa documentazione. La posizione espressa ha come finalità principale quella di riconoscere all´interessato il diritto di accedere anche a questo genere di dati personali che lo riguardano, benché contenuti anche all´interno di valutazioni espresse dal medico autore della perizia o dalla società di assicurazione (Provv. 3 maggio 2001, in Bollettino n. 20, p. 17).

La visita eseguita dal medico delle società ha fra i propri scopi anche quello di verificare l´effettivo nesso di causalità fra il sinistro e le conseguenze riportate, specie a fini risarcitori. Nel documento è a volte indicata anche la "strategia" che la società dovrebbe seguire per contrastare un eventuale intento fraudolento dell´interessato, evidenziandosi anche eventuali suggerimenti sulla condotta processuale da privilegiare, che quest´ultimo non ha il diritto di conoscere ai sensi della legge n. 675/1996, fatto salvo quanto previsto dalla legge 5 marzo 2001, n. 57 sull´accesso agli atti a conclusione dei procedimenti di valutazione, constatazione e liquidazione dei danni.

Questo quadro complessivo è supportato dalla Raccomandazione sui dati valutativi dei dipendenti, approvata il 22 marzo 2001 dal Gruppo dei Garanti europei, dalla quale emerge conferma che devono essere considerati dati personali anche quelli presenti in giudizi o valutazioni sintetizzate attraverso un punteggio o una classifica, ovvero espressi attraverso criteri valutativi.

Sembra in ogni caso consolidato, al contempo, l´orientamento fondato sull´art. 14, comma 1, lett. e), della legge 675/1996 che consente ai titolari di trattamento di poter differire temporaneamente l´accesso ai dati contenuti nelle perizie, limitatamente al periodo in cui potrebbe derivare, negli stessi, un effettivo pregiudizio per lo svolgimento delle indagini difensive o per far valere o difendere un diritto in sede giudiziaria; l´Autorità si è nuovamente espressa sull´argomento chiarendo che è, tuttavia, necessario dimostrare l´effettiva esistenza del pregiudizio, con una valutazione da condurre caso per caso (Provv. 4 aprile 2001, in Bollettino n. 19, p. 15; Provv.ti 3 e 8 maggio 2001, in Bollettino n. 20, p. 13 e 17).

In alcune occasioni, è stata infatti riscontrata la sola deduzione da parte delle società di assicurazioni dell´esistenza di una possibile, futura controversia, senza che fosse prospettato alcun elemento o circostanza che permettesse di ravvisare un concreto pregiudizio al diritto di difesa. In tali casi, quindi, è stato riconosciuto il diritto dell´interessato di accedere a tutti i dati personali che lo riguardano contenuti nella perizia.

È infine opportuno segnalare che, modificando alcune disposizioni della legge n. 990/1969 sull´assicurazione obbligatoria della responsabilità civile derivante dalla circolazione dei veicoli a motore e dei natanti, il legislatore ha previsto l´introduzione di tempi certi per la consegna all´interessato di tutta la documentazione relativa al sinistro (art 12-ter della legge citata come modificato dall´art. 5, l. n. 57/2001), comprese le eventuali perizie redatte dal medico di fiducia della società di assicurazione.

36. Raccolte di dati in ambito assicurativo e banca dati Isvap
Come già accennato, oltre alle descritte questioni legate al tema dell´accesso alle perizie medico-legali, va segnalato, come tema rilevante per i riflessi nella sfera personale e privata di ogni cittadino, il problema dell´applicazione delle disposizioni sulla tutela dei dati personali nei confronti della banca dati dei sinistri relativi all´assicurazione obbligatoria per i veicoli a motore immatricolati in Italia, recentemente istituita presso l´Isvap per rendere più efficace la prevenzione ed il contrasto di comportamenti fraudolenti in tale settore (ai sensi dell´art. 2, commi 5-quater e 5-quinquies, l. 26 maggio 2000, n. 137, di conversione, con modificazioni, del d.l. 28 marzo 2000, n. 70, recante disposizioni urgenti per il contenimento delle spinte inflazionistiche).

In tale banca dati, come già evidenziato nella scorsa relazione annuale (v. Relazione 2000, p. 52), andrà infatti a confluire un´ingente mole di informazioni sui sinistri stradali per i quali pervenga denuncia o richiesta di risarcimento alle società assicurative. Queste ultime potranno avere accesso alla banca dati, come altri soggetti, per effettuare le necessarie verifiche volte a prevenire comportamenti illeciti, come truffe o frodi.

Nel corso di questi ultimi mesi, è stata avviata una positiva attività di collaborazione istituzionale con il predetto Istituto che è in procinto di adottare un provvedimento attuativo per la definizione delle procedure e delle modalità di funzionamento della predetta banca dati. In questa sede potranno essere quindi valutati  alcuni delicati profili concernenti la raccolta, il trattamento e la circolazione delle informazioni a carattere personale, con l´indicazione di specifiche misure ed accorgimenti a garanzia degli interessati. In primo luogo, è in corso un attento esame della pertinenza e dell´essenzialità dei dati che dovranno essere registrati nella banca dati e dei tempi relativi alla loro conservazione. In secondo luogo, occorre delimitare puntualmente l´ambito dei soggetti pubblici (organi ed uffici giudiziari) e privati (compagnie di assicurazione) che potranno avervi accesso, con l´individuazione dei limiti e delle forme di consultazione e successiva utilizzazione delle informazioni, con la predisposizione di idonee misure di sicurezza e la previsione di agevoli modalità di esercizio dei diritti di accesso da parte delle persone interessate.

Continua poi l´attività di collaborazione con la competente associazione di categoria  per lo studio e l´adozione di modelli semplificati per l´informativa ed il consenso, che tengano conto della particolarità e della complessità dei trattamenti di dati personali, anche sanitari, svolti in ambito assicurativo (dalle medesime compagnie di assicurazioni, dagli agenti o dalla variegata rete di intermediari assicurativi, dai periti, dai legali, dalle autofficine, ecc.). Come già accennato con riferimento alle banche, è evidente che tale modulistica potrà essere ora rivista alla luce delle rilevanti modifiche introdotte dal d.lg. n. 467/2001, soprattutto per ciò che attiene ai casi di esclusione del consenso per il trattamento di dati personali "comuni".

Minori, invece, sono state le novità previste per la raccolta e l´utilizzazione di dati relativi alla salute di clienti o terzi, proprie di alcune attività assicurative (in caso, ad esempio, di polizze infortuni o sanitarie oppure di procedimenti di risarcimento dei danni a persone fisiche). Per i trattamenti di tali dati sensibili, le compagnie continuano a far riferimento alle prescrizioni contenute nelle autorizzazioni generali che sono state recentemente rinnovate con  alcune modifiche (cfr. le autorizzazioni nn. 2 e 5 del 2002, in allegato).

37. Centrali rischi
Anche quest´anno sono pervenuti numerosi ricorsi, reclami ed istanze riguardanti il trattamento di dati personali svolto da società che gestiscono sistemi di rilevazione dei rischi creditizi per finalità di tutela nell´erogazione dei finanziamenti da parte di istituti di credito e finanziari, confermando così il fenomeno, già rilevato negli anni scorsi, del progressivo aumento del contenzioso relativo alle attività delle cd. centrali rischi.

In queste banche dati, messe a disposizione di circuiti bancari o finanziari, sono registrate informazioni analitiche sui finanziamenti rilasciati a cittadini ed imprese, in modo da permettere agli operatori del settore di valutare la posizione complessiva ed il pregresso comportamento (il cd. merito creditizio) di coloro che richiedono un prestito o un mutuo.

Nelle centrali rischi possono essere riportate informazioni di tipo positivo e negativo con la segnalazione, ad esempio, sia del regolare svolgimento di un rapporto di finanziamento o della sua anticipata estinzione, sia della morosità nella restituzione dei ratei in scadenza, degli altri inadempimenti contrattuali e delle sofferenze.

La rilevazione preventiva del rischio creditizio è collegata ai sistemi di credito al consumo, e in particolare ai finanziamenti connessi all´acquisto di beni, servizi e prestazioni presso società, banche ed esercizi commerciali.

È evidente, quindi, l´impatto dei trattamenti di dati svolti nell´ambito dei predetti sistemi informativi nei riguardi della sfera privata di consumatori che, spesso, lamentano un ingiustificato inserimento o mantenimento del loro nominativo nelle banche dati delle centrali rischi o un´erronea indicazione di informazioni che li riguardano, con conseguente difficoltà ad accedere ad altre forme di finanziamento ed altri effetti negativi riflessi nella vita sociale e professionale.

Come è noto, in Italia esistono diverse centrali rischi gestite da soggetti privati e, in ambito pubblico, dalla Banca d´Italia. In quest´ultima sono censiti tutti i finanziamenti di importo minimo già pari al valore di L. 150.000.000 e i crediti in sofferenza, che devono essere segnalati a prescindere dall´importo (sono escluse le sofferenze fino a L. 500.000).

Nel corso del 2001, pur essendo pervenute diverse segnalazioni, non sono stati molti i casi affrontati in relazione a tale centrale rischi, in considerazione della specifica disciplina di settore (in base alle disposizioni del t.u. bancario, è previsto l´obbligo, per gli intermediari, della tempestiva segnalazione dei finanziamenti oltre la soglia prevista e delle posizioni di indebitamento) e del particolare assetto previsto dalla legge n. 675/1996 per i soggetti pubblici il quale esclude, come confermato da pronunce di questa Autorità, la necessità di acquisire il consenso degli interessati per il trattamento di dati (v. anche Provv. 10 aprile 2001, in Bollettino n. 19, p. 26) e prevede una preclusione a proposito della centrale rischi di Banca d´Italia all´esercizio dei diritti di accesso ai dati da parte degli interessati (v. Relazione 1999, p. 51).

Al riguardo, si è ribadito in un recente provvedimento che la segnalazione della sofferenza di un cliente deve essere trasmessa alla centrale rischi a prescindere dall´ammontare del debito e che, nel caso specifico, essendo in corso un contenzioso dinanzi all´autorità giudiziaria ordinaria, la segnalazione era stata effettuata in conformità alla specifica normativa di riferimento che obbliga gli istituti di credito alla comunicazione dei dati dei soggetti con i quali è in atto un procedimento giudiziario relativo a finanziamenti ottenuti (Provv. 17 ottobre 2001, in Bollettino n. 23, p. 29).

Va poi ricordato che, accanto alla centrale rischi gestita dalla Banca d´Italia, è stato istituito di recente un archivio per la rilevazione dei rischi di importo contenuto, ovvero inferiore a L. 150.000.000 e superiore a L. 60.000.000, con esclusione dei crediti in sofferenza. Come già evidenziato lo scorso anno (v. Relazione 2000, par. 41, p. 52), la gestione di questo sistema di rilevazione del rischio creditizio, pur essendo emanazione del sistema pubblico, è stata affidata ad una società privata, la Società interbancaria per l´automazione "S.I.A. S.p.a.", ed è soggetta solo in parte alla disciplina prevista per la Banca d´Italia (le banche e gli intermediari finanziari hanno, infatti, l´obbligo di comunicare i dati relativi alle esposizioni creditizie, non dovendo richiedere il consenso dei clienti interessati, ma questi ultimi possono esercitare pienamente i diritti previsti dalla legge n. 675/1996).

Vi sono poi diversi sistemi di rilevazione del rischio creditizio gestiti da società o enti privati, cui banche ed istituti finanziari aderiscono volontariamente fornendo, a loro volta, informazioni sui rapporti di finanziamento intrattenuti con la clientela. La maggior parte delle contestazioni riguarda tali sistemi, nei cui confronti i cittadini fanno, ormai, uso frequente degli strumenti di difesa indicati dalla legge sulla privacy, avanzando spesso richieste di accesso, rettifica o cancellazione dei dati.

Vari sono i profili messi in luce dalle numerose istanze e segnalazioni pervenute: dalle formule di informativa e consenso inserite nella modulistica utilizzata per la richiesta di finanziamento alla tempestività dei riscontri forniti alle richieste degli interessati, alle modalità di registrazione dei dati, ai tempi della loro conservazione.

Soprattutto in seguito a ricorsi, sono stati adottati diversi provvedimenti nei quali è stato ribadito l´obbligo per le centrali rischi private di dare immediato riscontro alle istanze formulate dagli interessati ai sensi dell´art. 13 della legge n. 675/1996 (Provv. 29 marzo 2001) e di rispettare i principi di correttezza nel trattamento dei dati dei clienti, soprattutto riguardo alla tempestività nella rettifica e nell´aggiornamento dei dati comunicati. In un caso particolare, poiché la centrale rischi aveva provveduto a rettificare i dati inesatti solo a seguito dell´intervento del Garante (essendo rimasta inevasa la richiesta di accesso ai dati avanzata dall´interessato direttamente alla società), l´Autorità, pur ritenendo di non dare ulteriore corso al procedimento, ha tuttavia disposto a carico della società la rifusione delle spese e dei diritti del procedimento a causa della tardiva correzione di dati (Provv. 28 novembre 2001).

In un altro provvedimento, è stato evidenziato che il periodo di conservazione dei dati nella centrale rischi stabilito da alcune società (cinque anni dalla data di estinzione del contratto di finanziamento) può risultare, in alcuni casi, eccedente rispetto alle finalità per le quali i dati sono stati raccolti e successivamente trattati, in quanto, ad esempio, il finanziamento è stato estinto anticipatamente senza alcuna pendenza o debito residuo.

La prolungata utilizzazione dei dati anche dopo l´estinzione del contratto è da ritenersi in questi casi eccessiva anche in considerazione del fatto che i dati sono inseriti in banche dati consultabili da terzi per finalità di erogazione di altri crediti e che tutto ciò può comportare un grave pregiudizio per l´interessato e le sue attività economico-professionali (Provv. 27 dicembre 2001, in Bollettino n. 23, p. 77).

Il Garante ha altresì avuto modo di precisare, in un recente provvedimento (Provv. 7 febbraio 2002, in Bollettino n. 25, p. 14), che i dati relativi ai protesti cambiari contenuti in banche dati private devono essere trattati conformemente alle nuove disposizioni dettate dalla legge 18 agosto 2000, n. 235 e dal regolamento approvato con d.m. 9 agosto 2000, n. 316 in materia di cancellazione dal registro informatico dei protesti. La nuova normativa, infatti, incide sulla disciplina relativa alla conservazione nel tempo dei dati, prevedendo che nei casi accertati di pagamento successivo al protesto o di illegittima o erronea levata del protesto stesso, nonché nella ipotesi di riabilitazione e pagamento non tempestivo, si debba procedere alla cancellazione dal registro dei protesti il quale deve essere a sua volta tenuto osservando modalità idonee ad assicurare "completezza, organicità e tempestività dell´informazione su tutto il territorio nazionale".

Le finalità della nuova disciplina non possono essere quindi eluse dai soggetti che gestiscono "banche dati o archivi paralleli di analogo contenuto, nei quali siano riportate informazioni anche esatte, ma risalenti nel tempo e di cui, in rapporto alle finalità perseguite, non sia giustificato l´ulteriore trattamento, anche in caso di eventuale prestazione del consenso da parte dell´interessato (art. 9, comma 1, lett. e), legge n. 675/96)". Nel caso che ha provocato la pronuncia del Garante la centrale rischi aveva invece conservato i dati relativi ad un protesto elevato nel 1997, nonostante l´avvenuta cancellazione effettuata dalla camera di commercio a seguito dell´intervenuta riabilitazione.

I problemi in esame hanno assunto proporzioni a tal punto rilevanti, che si è ritenuto necessario avviare un´indagine approfondita sul tema delle centrali rischi private, in modo da individuare criteri e procedure omogenee tra gli operatori del settore in relazione al trattamento dei dati relativi ai rapporti di finanziamento. A tal fine, l´Ufficio ha tenuto recentemente anche alcuni incontri con esponenti di centrali rischi private e di associazioni di categoria in ambito finanziario così da poter valutare meglio le possibili indicazioni da fornire per la corretta attuazione delle norme sulla tutela dei dati personali da parte degli operatori del settore e per l´eliminazione di larga parte del contenzioso esistente con gli interessati.

Va, infine, evidenziata l´importanza che le modifiche apportate dal d.lg. n. 467/2001 avranno anche per le attività delle centrali rischi, in considerazione dei nuovi casi di esclusione del consenso, dei maggiori poteri riconosciuti all´Autorità e soprattutto riguardo alla promozione (entro il 30 giugno 2002) di un codice deontologico relativo al trattamento di dati personali effettuato nell´ambito di sistemi informativi gestiti dalle centrali rischi private, ai fini di concessione di crediti al consumo o relativi alla valutazione dell´affidabilità e della puntualità nei pagamenti da parte degli interessati (art. 20, comma 2, lett. e), d. lg. n. 467/2001).

38. Anagrafe degli assegni bancari e postali

Nel novembre 2001 è entrato in vigore il regolamento sul funzionamento dell´archivio informatizzato degli assegni bancari e postali e delle carte di pagamento (adottato dal Ministro della giustizia con decreto 7 novembre 2001, n. 458), istituito presso la Banca d´Italia nel quadro degli interventi di depenalizzazione dei reati minori previsti dal d.lg. n. 507/1999 (che ha modificato diverse disposizioni della disciplina sanzionatoria in materia di assegni bancari, ex l. 15 dicembre 1990, n. 386).

Tale archivio, che risponde alla finalità di interesse generale di assicurare il regolare funzionamento del sistema dei pagamenti, viene alimentato da soggetti pubblici (autorità giudiziaria e prefetti) e privati (banche, uffici postali, società emittenti carte di credito) tenuti a trasmettere i provvedimenti adottati o le segnalazioni rilevanti ai fini dell´archivio (riguardanti, ad esempio, sanzioni amministrative o penali irrogate, revoche dell´autorizzazione ad emettere assegni, moduli di assegni sottratti, smarriti, non restituiti o bloccati, carte di pagamento revocate, smarrite o sottratte); questi stessi soggetti sono abilitati alla consultazione della banca dati così costituita ed interessati all´individuazione di situazioni anomale od irregolari, anche rispetto alla propria clientela.

Come ricordato nella relazione dello scorso anno (cfr. Relazione 2000, p. 53), nel predetto regolamento sono state recepite diverse osservazioni formulate dall´Autorità, consultata preventivamente nell´ambito dei rapporti di proficua collaborazione istituzionale con la Banca d´Italia ed il Ministero della giustizia, con particolare riguardo alla durata delle iscrizioni dei dati in archivio ed alle modalità di esercizio dei diritti di accesso ai dati da parte delle persone interessate.

Tale attività di collaborazione è continuata, più recentemente, con la Banca d´Italia in relazione alla predisposizione da parte di quest´ultima del distinto regolamento per disciplinare le modalità e le procedure relative alle attività previste dal richiamato regolamento ministeriale con particolare riguardo alla trasmissione, rettifica ed aggiornamento dei dati da inserire nell´archivio (nonché alla determinazione dei criteri generali per la quantificazione dei costi per l´accesso e la consultazione dell´archivio da parte dei soggetti privati abilitati).

Anche nel regolamento emanato dal Governatore della Banca d´Italia il 29 gennaio 2002, sono state recepite varie indicazioni fornite dall´Autorità, soprattutto per ciò che attiene all´eliminazione, alle scadenze prestabilite dal citato regolamento ministeriale (art. 10), dei dati sia identificativi personali, sia non nominativi (ma che potrebbero permettere di risalire all´identità delle persone interessate, come, ad esempio, le coordinate di un assegno o di un modulo di assegni) iscritti nell´archivio.