Diritti interna

Doveri interna

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Diritto di accesso - Completezza e correttezza delle segnalazioni alle 'centrali rischi' private - 8 novembre 2002 [1067260]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
1067260
Data:
08/11/02
Argomenti:
Banche credito e finanza , Centrali rischi
Tipologia:
Decisione su ricorso

[doc. web. n. 1067260]

Diritto di accesso - Completezza e correttezza delle segnalazioni alle "centrali rischi" private- 8 novembre 2002

L´istituto di credito che effettua una segnalazione ad una "centrale rischi" privata deve comunicare i dati dell´interessato in maniera corretta e completa (nella specie, il Garante ha ordinato ad una banca di integrare la segnalazione relativa allo stato di insolvenza dell´interessato con la precisazione che il credito era contestato e oggetto di accertamento giudiziario).

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello vice presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale;

esaminato il ricorso presentato da XY, rappresentato e difeso dall’avv. Massimo Antonio Sapia presso il cui studio ha eletto domicilio

nei confronti di

Banca Popolare di Sondrio S.c. a r.l. (BPS) rappresentata e difesa dall’avv. Giuseppe L. Motti Barsini presso il cui studio ha eletto domicilio;

Visti gli articoli 13 e 29 della legge 31 dicembre 1996, n. 675 e gli articoli 18, 19 e 20 del d.P.R. 31 marzo 1998, n. 501;

Viste le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Stefano Rodotà;

PREMESSO:

Il ricorrente sostiene di non aver ricevuto un completo riscontro ad un’articolata serie di istanze, avanzate ai sensi dell’art. 13 della legge n. 675/1996, proposte nei confronti di Banca Popolare di Sondrio S.c. a r.l. (BPS), con le quali aveva chiesto di accedere ai dati che lo riguardano detenuti dalla banca (ivi compresa la documentazione relativa al rilascio del consenso al trattamento dei dati personali), di conoscerne l’origine, nonché la logica e le finalità del trattamento. Era stata inoltre sollecitata la rettifica della "segnalazione di blocco" della carta di credito trasmessa dalla banca a Servizi Interbancari S.p.A. per motivazioni ("cattivo uso" e "morosità") ritenute difformi dal vero, chiedendo che la rettifica medesima fosse portata a conoscenza dei terzi cui la società aveva comunicato dati "in ordine ad una pretesa situazione di morosità e/o inaffidabilità" dell’interessato.

Nel ricorso presentato a questa Autorità ai sensi dell’art. 29 della legge n. 675/1996 l’interessato ha ribadito le proprie richieste, chiedendo che il titolare completi l’invio della documentazione richiesta, con specifico riferimento alle manifestazioni di consenso rilasciate a BPS, alle comunicazioni inviate dalla stessa a Crif S.p.A., Crif Servizi S.p.A., Servizi Interbancari S.p.A., nonché alla Centrale rischi della Banca d’Italia. L’interessato ha chiesto inoltre di porre a carico del titolare del trattamento le spese del procedimento, invitando il Garante a verificare complessivamente, a titolo di "reclamo", il trattamento dei dati effettuato dalla banca adottando ogni "più opportuno e migliore provvedimento" in merito.

All’invito ad aderire formulato da questa Autorità in data 25 settembre 2002, BPS ha risposto con nota datata 2 ottobre 2002 con la quale:

  • ha trasmesso copia "dei due moduli…a suo tempo sottoscritti" dall’interessato;
  • ha precisato di non aver inviato comunicazioni a Crif S.p.a. e Crif Servizi S.p.a.;
  • in riferimento alle comunicazioni alla Centrale dei rischi della Banca d’Italia ha confermato che il rapporto "non è mai stato allocato fra quelli in sofferenza";
  • ha evidenziato di non poter accedere alla richiesta di rettifica dei dati riferiti al blocco della carta di credito dell’interessato, in quanto tali annotazioni "presuppongono una diversa valutazione e correlato giudizio di situazioni di fatto le cui conseguenze sono attualmente oggetto di contenzioso" in sede giudiziaria.

Con nota in data 4 ottobre 2002 BPS ha precisato che "la carta di credito in questione risulta essere stata consegnata dal dottor XY alla…sede di Milano nella giornata del 4 maggio 2001".

Con memoria in data 4 ottobre 2002 il ricorrente ha evidenziato che la "segnalazione di blocco F" inviata da BPS a Servizi Interbancari S.p.a. contiene indicazioni non corrispondenti al vero che giustificano, a suo giudizio, le richieste formulate in sede di ricorso. Ciò con riferimento all’asserita situazione di "insolvenza" del ricorrente (che contesta la debenza delle somme in questione) ed al rifiuto di consegna della carta di credito (in realtà già riconsegnata il 4 maggio 2001).

Nel corso della prima audizione svoltasi il 9 ottobre 2002, BPS ha sollevato un’ "eccezione di improcedibilità e/o inammissibilità del ricorso" in ordine "ai procedimenti giudiziari attualmente pendenti ed a quelli già definiti fra le parti".

In relazione a tale profilo procedurale, su sollecitazione dell’Ufficio, è stata disposta l’acquisizione di una serie di atti e documenti relativi ai predetti procedimenti.

Nel corso della citata audizione le parti, ai sensi dell’art. 20, comma 8, del d.P.R. n. 501/1998 hanno concordato sulla proroga di 20 giorni del termine per la decisione del ricorso. Ulteriori documenti sono stati forniti dal titolare del trattamento a seguito di richiesta formulata dall’Ufficio in data 24 ottobre 2002.

Le posizioni espresse dalle parti sono state analiticamente ribadite in numerose note successive (precisamente, nelle memorie del titolare del trattamento in data 25, 28 e 30 ottobre e in quelle del ricorrente del 24 e 31 ottobre 2002), nonché nel corso della seconda audizione tenutasi il 4 novembre 2002.

CIÒ PREMESSO IL GARANTE OSSERVA:

Il ricorso verte sul trattamento dei dati personali del cliente di un istituto di credito.

In via preliminare deve essere respinta l’eccezione di inammissibilità del ricorso proposta dal titolare del trattamento in riferimento all’art. 29, comma 1, secondo periodo, della legge n. 675/1996, in base al quale "il ricorso al Garante non può essere proposto qualora, per il medesimo oggetto e tra le stesse parti, sia stata già adita l’autorità giudiziaria".

Dalla documentazione acquisita è emerso che tra le parti è in atto un ampio contenzioso in relazione a complessi rapporti intercorsi fra l’odierno ricorrente e BPS.

Non risulta che in tali procedimenti (giudizio ordinario presso il Tribunale di Roma incardinato dal XY; giudizio cautelare d’urgenza promosso dallo stesso; procedimento monitorio incardinato dalla Banca Popolare di Sondrio) siano stati esercitati gli specifici diritti previsti dall’art. 13 della legge n. 675, con particolare riferimento alle istanze volte ad accedere ai dati personali e ad ottenere la rettifica di alcune informazioni inoltrate a Servizi Interbancari S.p.a. che costituiscono l’oggetto specifico del ricorso presentato a questa Autorità.

Il giudizio ordinario attiene in effetti ad una domanda di risarcimento dei danni formulata dal ricorrente. Il procedimento monitorio concerne un ricorso per decreto ingiuntivo di BPS, mentre il giudizio cautelare d’urgenza è essenzialmente basato sulla richiesta di inibizione e revoca di asserite segnalazioni di BPS dalle cd. centrali rischi private e dalla Centrale dei rischi della Banca d’Italia.

Quanto al merito, in ordine alla richiesta del ricorrente di accedere ai dati personali che lo riguardano trattati da BPS, di conoscerne l’origine, nonché la logica e le finalità del trattamento, va dichiarato non luogo a provvedere sul ricorso ai sensi dell’art. 20 del d.P.R. n. 501/1998.

Il titolare del trattamento ha fornito al riguardo adeguati elementi di risposta mettendo in particolare a disposizione dell’interessato, anche in originale, la documentazione relativa all’acquisizione del consenso informato espresso in ordine ai diversi rapporti contrattuali intrattenuti con il medesimo titolare del trattamento.

Deve essere invece accolta la richiesta volta ad ottenere la rettifica dei dati personali del ricorrente contenuti nella segnalazione di blocco della carta di credito inviata da BPS a Servizi Interbancari S.p.A. in data 30 agosto 2001. Nella predetta segnalazione compare un’informazione errata ("il cliente si è rifiutato di consegnare la tessera") e un’informazione ("insolvenza" quale motivo del ritiro della tessera stessa) non pienamente corrispondente alla posizione dell’interessato.

Per quanto concerne la restituzione della tessera, nel corso del procedimento (per espresso riconoscimento del medesimo titolare del trattamento), è emerso che la stessa era stata già riconsegnata dall’interessato il 4 maggio 2001 presso la sede di Milano di BPS. Tale informazione, correttamente rettificata, dovrà essere pertanto inserita negli archivi del titolare del trattamento, comunicata a Servizi Interbancari S.p.A. e portata a conoscenza di tutti gli altri soggetti eventualmente già destinatari della comunicazione del dato inesatto entro un termine che appare congruo fissare al 28 febbraio 2003.

Il riferimento all’asserita situazione di insolvenza dell’interessato (che non è imprenditore commerciale, ma giornalista professionista) è parimenti inesatto e non dà piena contezza dell’effettiva situazione nella quale il medesimo ricorrente si trova, anche in riferimento alla complessa controversia che lo riguarda anche in sede giudiziaria. L’espressione utilizzata, nella sua genericità, proietta un’immagine errata dell’interessato alterando il suo profilo personale nei confronti di terzi.

La delicatezza dell’informazione comunicata (revoca di una carta di credito) impone invece che le motivazioni poste a base della stessa siano illustrate con precisione, dando atto di vicende contenziose eventualmente in essere ed evidenziando che le richieste creditorie della banca non risultano ancora definitivamente acclarate. La banca dovrà pertanto provvedere a rettificare anche le informazioni relative alla motivazione di revoca della carta di credito, nel modo suddetto, sempre entro il 28 febbraio 2003.

Dalla documentazione in atti non appaiono infine elementi che giustifichino l’apertura di un autonomo procedimento di segnalazione ai sensi dell’art. 31 della legge n. 675/1996.

Per quanto concerne le spese va posta a carico del titolare del trattamento la metà dell’ammontare delle spese sostenute dal ricorrente, determinato nella misura forfettaria di euro 250 (di cui euro 25,82 per diritti di segreteria), tenuto conto degli adempimenti connessi alla redazione e presentazione del ricorso, in ragione della novità e specificità della vicenda esaminata.

PER QUESTI MOTIVI IL GARANTE:

a) dichiara non luogo a provvedere sul ricorso ai sensi dell’art. 20, comma 2, del d.P.R. n. 501/1998 in ordine alla richiesta del ricorrente di accedere ai dati personali che lo riguardano, di conoscerne l’origine, nonché le modalità e le finalità del trattamento;

b) accoglie il ricorso limitatamente alle richieste di rettifica dei dati personali del ricorrente comunicati a Servizi Interbancari S.p.A. e ordina a Banca Popolare di Sondrio S.c. a r.l. di provvedere alle rettifiche indicate nei termini di cui in motivazione, entro il 28 febbraio 2003 dando conferma all’interessato ed a questa Autorità entro la stessa data dell’avvenuto adempimento;

c) determina, ai sensi dell’art. 20, commi 2 e 9, del d.P.R. n. 501/1998, nella misura forfettaria di euro 250, di cui 25,82 per diritti di segreteria, l’ammontare delle spese e dei diritti del presente procedimento, posto in misura pari alla metà, previa parziale compensazione delle spese per giusti motivi, a carico di Banca Popolare di Sondrio S.c. a r.l., che dovrà liquidarli direttamente a favore del ricorrente.

Roma, 8 novembre 2002

IL PRESIDENTE
Rodotà

IL RELATORE
Rodotà

IL SEGRETARIO GENERALE
Buttarelli