g-docweb-display Portlet

Diritto di accesso - Tempo di conservazione dei dati detenuti da una 'centrale rischi' privata ' 27 dicembre 2001 [39696]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 [doc. web n. 39696]

Diritto di accesso - Tempo di conservazione dei dati detenuti da una "centrale rischi privata"

La conservazione, da parte di una centrale rischi privata, di dati personali del debitore e, eventualmente, del fideiussore, ove protrattasi per un quinquennio dalla data di estinzione di un precedente rapporto di finanziamento, deve essere ritenuta -anche se assistita dall´originario consenso dell´interessato- sproporzionata ed eccedente rispetto alla finalità perseguita all´atto del trattamento. Di conseguenza, deve trovare accoglimento l´istanza di cancellazione dei dati avanzata dall´interessato.



IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale;

ESAMINATO il ricorso presentato dal sig. XY

nei confronti di

CRIF S.p.A.;

VISTA la documentazione in atti;

VISTI gli articoli 13 e 29 della legge 31 dicembre 1996, n. 675 e gli articoli 18, 19 e 20 del d.P.R. 31 marzo 1998, n. 501;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Giuseppe Santaniello;


PREMESSO:

1. Il ricorrente lamenta che CRIF S.p.A., società alla quale si era rivolto per conoscere i propri dati personali dopo il rifiuto di emissione di una carta di credito opposto da una società emittente, non abbia fornito un riscontro positivo ad una richiesta avanzata ai sensi dell’art. 13 della legge n. 675/1996, con la quale aveva chiesto di cancellare tali dati asseritamente trattati in modo illegittimo.

Nel ricorso presentato a questa Autorità ai sensi dell’art. 29 della legge n. 675/1996, il ricorrente ha ribadito le proprie richieste precisando in riferimento ai dati, concernenti un contratto di mutuo ipotecario, contenuti nell’archivio di CRIF S.p.A.:

  • di aver garantito il finanziamento e di non esserne il beneficiario diretto;
  • che il finanziamento in questione "risulta comunque estinto in data 15/5/2000";
  • che la permanenza dei dati nell’archivio della predetta centrale rischi sarebbe motivo "di grave pregiudizio" per la propria attività economica.

A seguito dell’invito ad aderire formulato da questa Autorità in data 30 novembre 2001, CRIF S.p.A., con nota anticipata via fax il 7 dicembre scorso, ha sostenuto che:

  • il ricorrente, prima dell’entrata in vigore della legge n. 675, avrebbe rilasciato il proprio consenso alla comunicazione dei dati personali che lo riguardano a "società di rilevazione dei rischi finanziari per la durata di anni 5 decorrenti dalla data di estinzione del contratto di finanziamento", autorizzando gli stessi soggetti a comunicare tali dati ad "altri istituti di credito, società finanziarie e/o commerciali…";
  • i dati in questione sono esatti e trattati legittimamente e che il loro trattamento non può ritenersi pregiudizievole dal momento che risulta riportata sia l’avvenuta regolarizzazione della sofferenza, sia l’avvenuta estinzione del finanziamento;
  • le spese relative all’odierno procedimento dovrebbero essere poste a carico del ricorrente.

Con memoria pervenuta il 13 dicembre scorso, l’interessato ha ribadito le proprie richieste evidenziando che la risposta fornita da CRIF S.p.A. conterrebbe "chiari elementi di giudizio" e renderebbe inopinabile il pregiudizio lamentato.


CIÒ PREMESSO IL GARANTE OSSERVA:

2. Il ricorso concerne la conservazione nella banca dati di una c.d. centrale rischi privata di alcuni dati personali dell’interessato, relativi ad una operazione di finanziamento per la quale l’interessato medesimo ha prestato alcune garanzie.

Il ricorso è fondato.

Dalla documentazione in atti risulta che, prima dell’entrata in vigore della legge n. 675, il ricorrente avrebbe "autorizzato" la conservazione dei dati personali che lo riguardano anche in relazione alla loro consultazione da parte di terzi, ivi comprese le c.d. centrali rischi, per un periodo di cinque anni decorrenti dalla data di estinzione del contratto di finanziamento.

Deve però essere evidenziato che le sopravvenute disposizioni della legge n. 675/1996 si applicano anche al contratto in questione, benché stipulato prima dell’entrata in vigore della legge citata, in riferimento a tutte le sue clausole.

In particolare occorre verificare che il trattamento posto in essere non risulti ora eccedente rispetto alle finalità per le quali i dati sono stati raccolti o successivamente trattati (art. 9, comma 1, lettera d)).

Nel caso di specie, l’interessato ha prestato una garanzia nell’ambito di un contratto di mutuo ipotecario. Tale finanziamento, erogato nel 1994, si è estinto anticipatamente il 15 maggio 2000 e non risulta alcun debito residuo o pendenza. Per tale ragione l’utilizzazione dei dati (comprensivi della non chiara indicazione di una pregressa "sofferenza non regolarizzata") per 5 anni dalla data di estinzione del contratto di finanziamento appare sproporzionata ed eccedente rispetto alle finalità perseguite, per quanto riguarda l’inclusione in banche dati consultabili da terzi per finalità di erogazione di altri crediti.

La permanenza di tali dati negli archivi non risulta più, in un contesto come quello esaminato (nel quale sono state da tempo definite tutte le pendenze con piena soddisfazione dei diritti del creditore), giustificata dalle esigenze di conoscenza prospettate da altri operatori, in un quadro in cui è successivamente intervenuta la legge n. 675/1996. Ciò sia in riferimento all’eccessiva latitudine dell’indicato tempo di conservazione del dato, sia rispetto alla posizione ed agli oneri assunti specificamente dall’interessato in questione, sia con riferimento all’ormai avvenuta estinzione del rapporto stesso.

Deve pertanto ritenersi legittima la richiesta del ricorrente di ottenere, allo stato, la non utilizzazione dei dati personali conservati in archivi accessibili a terzi diversi dalla società che ha concesso il finanziamento. Il citato titolare di trattamento dovrà pertanto conformarsi a tale decisione entro un termine che appare congruo fissare al 15 marzo 2002.

Resta poi impregiudicata la facoltà del ricorrente di far valere nella competente sede giudiziaria civile, ove ne ritenga sussistenti i presupposti, profili diversi da quelli relativi alla protezione dei dati, attinenti alla decisione di non emettere la carta di credito richiesta.

PER QUESTI MOTIVI IL GARANTE:

accoglie il ricorso nei termini di cui in motivazione e ordina a CRIF S.p.A. di cancellare i dati del ricorrente nei termini di cui in motivazione, entro il 15 marzo 2002, dando conferma di tale adempimento entro la stessa data all’interessato ed a questa Autorità.
 

Roma, 27 dicembre 2001

IL PRESIDENTE
Rodotà

IL RELATORE
Santaniello

IL SEGRETARIO GENERALE
Buttarelli