Trasforma contenuto in PDF

[doc. web. n. 1064408]
Diritto di accesso - Cancellazione di dati relativiaprestiti non concessi - 6 giugno 2002
In caso di istanza di cancellazione, le c.d. "centrali rischi" private sono tenute ad eliminare dai propri
archivi i dati relativi a prestiti semplicemente richiesti dal ricorrente e non concessi, ovvero oggetto di
rinuncia dell'interessato, e ciò anche a prescindere da eventuali specifiche richieste in tal senso avanzate
dalle singole banche o dalle società finanziarie cui l'interessato si era originariamente rivolto.
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del prof. Stefano Rodotà, presidente, del prof. Giuseppe
Santaniello, vice presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott.
Giovanni Buttarelli, segretario generale;
ESAMINATO il ricorso presentato dal sig. Giovanni Colantuono
nei confronti di
CRIF S.p.A.;
VISTA la documentazione in atti;
VISTI gli articoli 13 e 29 della legge 31 dicembre 1996, n. 675 e gli articoli 18, 19 e 20 del d.P.R. 31
marzo 1998, n. 501;
VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento
del Garante n. 1/2000;
RELATORE il dottor Mauro Paissan;
PREMESSO:
1. Il ricorrente lamenta che CRIF S.p.A. non abbia fornito positivo riscontro ad una richiesta avanzata ai
sensi dell’art. 13 della legge n. 675/1996, con la quale aveva chiesto la cancellazione delle informazioni
personali che lo riguardano detenute nella banca dati della "centrale rischi" gestita dalla società.
Nel ricorso presentato a questa Autorità ai sensi dell’art. 29 della legge n. 675/1996, il ricorrente ha
ribadito le proprie richieste sostenendo che le informazioni in questione avrebbero natura di "dati
sensibili" e chiedendo di porre a carico del titolare del trattamento le spese del procedimento.
A seguito dell’invito ad aderire formulato da questa Autorità in data 13 maggio 2002, CRIF S.p.A., con
nota anticipata via fax il 20 maggio 2002, ha invece sostenuto:
• di ritenere infondate le richieste del ricorrente, in quanto le informazioni riportate nella banca dati
(costituita solo da dati personali "comuni", diversamente da quanto ritenuto dal ricorrente) non
conterrebbero alcuna informazione inesatta o pregiudizievole nei confronti del ricorrente
medesimo;
• che i dati stessi evidenziano la regolarità dei pagamenti del ricorrente in relazione ad un prestito
per contenuto importo concesso nel 2000 da un istituto di credito ed estinto regolarmente nel
giugno 2001;
• che l’indicazione di "rifiutato" in ordine a due richieste di ulteriori finanziamenti "non può
ricondursi che a scelte interne" agli istituti bancari cui l’interessato si era rivolto, basate su
decisioni discrezionali delle banche medesime.
• che le spese relative all’odierno procedimento dovrebbero essere poste a carico del ricorrente.
L’interessato ha ribadito le proprie richieste con memoria di contestazione anticipata via fax il 27 maggio
2002. La società ha poi inviato con nota fax del 5 giugno 2002, su richiesta dell’Ufficio, copia di
documentazione relativa all’informativa e al consenso per talune posizioni in banca dati, preannunciando
la spontanea cancellazione, tra il 20 e 31 luglio 2002, dei dati relativi ai rapporti dell’interessato con
Cassa di risparmio di Firenze S.p.a. e Agos Service Italfinco, per asserita "storicizzazione".
CIÒ PREMESSO IL GARANTE OSSERVA:
2. Il ricorso concerne la conservazione nella banca dati di una c.d. "centrale rischi privata" di alcune
informazioni riferite ad operazioni di finanziamento personale che l’interessato, sulla base di una sua
azione qualificabile come sostanziale opposizione al trattamento dei dati che lo riguarda, chiede di non
diffondere più ad altri soggetti senza il proprio consenso, nonché di cancellare.
Il ricorso è in parte fondato.
Contrariamente a quanto sostenuto dal ricorrente, i dati presenti nella centrale rischi di Crif S.p.a. non
indicano espressamente il medesimo come "sospetto insolvente" o "cattivo pagatore", né appartengono
alla categoria dei dati sensibili specificamente enumerati nell’art. 22, comma 1, della legge n. 675/1996.
Il genere di trattamento in questione può essere poi lecitamente operato da società come quella resistente,
nel quadro dei rapporti di credito, di mutuo e di finanziamento instaurati con vari soggetti operanti in
ambito creditizio e finanziario.
L’esattezza delle informazioni in questione non è poi controversa fra le parti.
Il ricorrente rappresenta però di aver "sempre puntualmente adempiuto alle obbligazioni contratte con
istituti di credito e/o società finanziarie" (v. richiesta ex art. 13 rivolta a Crif S.p.a. il 4 settembre 2001) e
che ciò nonostante si determinano seri pregiudizi nei suoi confronti in quanto alcuni istituti di credito
(dapprima la Cassa di risparmio di Firenze, ag. Macrolotto 197 di Prato e, poi, altre banche) rifiutano la
concessione di altri piccoli prestiti o fidi, senza motivazione, ma come chiara conseguenza della presenza
nella centrale rischi di Crif S.p.a. di vari dati che lo riguardano riferiti appunto a prestiti non concessi.
Tra i dati riportati nella centrale rischi (avendo presente l’aggiornamento documentato dalla società
nell’allegato n. 2 alla memoria Crif S.p.a. datata 20 maggio 2002) figurano informazioni relative a:
a) un prestito finalizzato per dodici rate, regolarmente estinto il 19 giugno 2001 e per il quale non vi è
alcuna "segnalazione" relativamente all’andamento dei pagamenti o allo stato dell’operazione;
b) un secondo prestito accordato il 18 ottobre 2001 e in scadenza il 18 aprile 2003, per il quale
non vi è, parimenti, alcuna segnalazione relativa all’andamento dei pagamenti o allo stato
dell’operazione;
c) diversi altri report relativi a prestiti personali semplicemente richiesti, ma non concessi da
banche e società finanziarie, oppure "rinunciati" dall’interessato, riferiti al luglio del 2000 o ai
mesi di maggio, giugno e luglio del 2001.
Rispetto al complesso dei predetti dati, non appare sorretta da motivi legittimi l’opposizione al
trattamento dei dati relativi all’operazione di cui al precedente punto b), trattandosi di dati esatti riferiti ad
una operazione di prestito tuttora in corso.
Ad analoga conclusione deve allo stato pervenirsi per quanto riguarda il prestito di cui al punto a),
trattandosi di dati che non risultano, parimenti, inesatti e che sono relativi ad una operazione di
finanziamento conclusasi positivamente solo di recente, senza peraltro eventi contrattuali pregiudizievoli
-e conseguenti annotazioni nella centrale rischi- per alcuna delle parti.
Non può invece ritenersi giustificata, in relazione alle finalità della raccolta e delle successive operazioni
di trattamento, la diffusione a tutti i soggetti aventi accesso alla centrale rischi delle situazioni riassunte al
precedente punto c), riferite a rapporti contrattuali mai instaurati a seguito dell’indisponibilità della banca
o società finanziaria o della rinuncia dell’interessato.
Per questi dati, Crif S.p.a. non ha anzitutto prodotto idonea documentazione volta a comprovare la
presenza di una idonea manifestazione di volontà dell’interessato tale da legittimare i singoli istituti e
società finanziarie (non tanto a conservare i dati al proprio interno per finalità amministrative, ma a
mettere in circolazione nell’intero circuito della centrale rischi notizie relative a meri contatti
precontrattuali e a rapporti mai instaurati.
Inoltre, quand’anche la società resistente avesse trattato tali dati sulla base di una specifica ed informata
manifestazione del consenso -che il ricorrente contesta però di aver formulato e che comunque ha
sostanzialmente revocato- , il principio della pertinenza e non eccedenza dei dati in riferimento alle
finalità del trattamento (art. 9, comma 1, lett. d), legge n. 675/1996) non consente, nella fattispecie, di
ritenere giustificata e proporzionale la diffusione di dati che viene tuttora operata in relazione ai dati di
cui al precedente punto c).
La pluralità di questi dati (riferiti peraltro ad epoca precedente all’unico prestito in atto a decorrere dal 18
ottobre 2001) è priva di riferimenti espressi di ordine negativo, riferiti alla puntualità e correttezza nei
pagamenti. E’ tuttavia suscettibile di ingenerare concreto pregiudizio nei confronti del ricorrente, in
quanto lo espone, presso le singole banche o finanziarie, al dubbio (il quale non è oggetto di facili
approfondimenti da parte delle stesse) che i singoli rifiuti di prestito derivino non tanto da valutazioni
discrezionali relative alla capacità patrimoniale del richiedente e al rischio di un sovraindebitamento
(valutazioni legittime e non sindacabili nell’odierno procedimento), quanto da scorrettezze o
inadempimenti risultanti agli atti delle singole banche o finanziarie, ma non documentati nella centrale
rischi.
Crif S.p.a. dovrà quindi depennare dalla centrale rischi i dati relativi ai prestiti semplicemente richiesti dal
ricorrente e non concessi od oggetto di rinuncia dell’interessato, a prescindere dalla mancanza di una
specifica richiesta ricevuta dalle singole banche o società cui si riferiscono i rifiuti o le rinunce e dalle
spontanee iniziative preannunciate con nota fax del 5 giugno 2002. Ciò dovrà avvenire entro un termine
che appare congruo fissare al 20 settembre 2002.
Considerata la pluralità e specificità della vicenda esaminata, sussistono giusti motivi per compensare le
spese tra le parti.
PER QUESTI MOTIVI IL GARANTE DICHIARA:
a) il ricorso parzialmente fondato e ordina a Crif S.p.a. di eliminare dalla centrale rischi da essa detenuta i
dati relativi ai prestiti richiesti dall’interessato, ma non concessi oppure oggetto di rinuncia, con effetto
immediato a decorrere dalla comunicazione del presente provvedimento, dando conferma entro la data del
20 settembre 2002 all’interessato e a questa Autorità;
b) compensate le spese tra le parti.
Roma, 6 giugno 2002
IL PRESIDENTE
Rodotà
IL RELATORE
Paissan
IL SEGRETARIO GENERALE
Buttarelli