Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Provvedimento del 10 giugno 2004 [1068136]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
1068136
Data:
10/06/04
Tipologia:
Decisione su ricorso

[doc. web n. 1068136]

Provvedimento del 10 giugno 2004

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale;

ESAMINATO il ricorso presentato da XY rappresentato e difeso dall´avv. Gisella Fazzi presso il cui studio ha eletto domicilio

nei confronti di

American Express Services Europe Limited;

Visti gli articoli 7, 8 e 145 s. del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Giuseppe Santaniello;

PREMESSO

L´interessato afferma di non aver ricevuto adeguato riscontro ad un´istanza formulata nei confronti di American Express Services Europe Limited ai sensi dell´art. 13 della legge n. 675/1996 (ora, artt. 7 e 8 del Codice) con la quale, lamentando la mancata emissione di una carta di credito, aveva chiesto la conferma dell´esistenza o meno di dati che lo riguardano e di ottenerne la comunicazione in forma intelligibile, nonché di conoscere l´origine dei dati oltre alla logica e alle finalità su cui si basa il loro trattamento.

Ciò, con specifico riferimento ai "criteri di selezione" adottati dalla società ai fini della valutazione della richiesta della carta, alle informazioni riferite all´interessato che la stessa società avrebbe ottenuto da alcuni enti di tutela del credito, nonché alla "valutazione definitiva emessa" dalla medesima nei riguardi dell´interessato stesso.

Con nota inviata il 23 aprile 2003 la predetta società aveva comunicato all´interessato l´elenco dei dati che lo riguardano conservati nei propri archivi.

Ritenendo insoddisfacente il riscontro ottenuto, l´interessato ha proposto ricorso ai sensi dell´art. 145 del Codice con il quale ha ribadito le proprie richieste.

A seguito dell´invito ad aderire formulato da questa Autorità il 21 aprile 2004, American Express Services Europe Limited, con nota inviata il 17 maggio 2004, ha dichiarato:

  • che la logica e le finalità su cui si basa il trattamento dei dati effettuato dalla società sono riportate nell´informativa sulla tutela dei dati personali, allegata al modulo di richiesta della carta (e che è stata acclusa in copia al riscontro in questione), informativa che, ad avviso della resistente, il ricorrente "ha dato atto di aver ricevuto ed accettato con la sottoscrizione di detto modulo";
  • di aver fornito, nella precedente comunicazione del 15 novembre 2002, gli estremi identificativi dei titolari del trattamento dei dati (Experian Information Services S.p.A., Crif S.p.A. e Crif Servizi Informazioni S.p.A.) "le cui banche dati erano state interrogate dall´American Express in fase di rilascio della Carta" al ricorrente;
  • di aver già aderito alla richiesta di accesso formulata dal ricorrente fornendo allo stesso, mediante la prededente nota del 23 aprile 2004, l´elenco di tutti i dati che lo riguardano conservati nei propri archivi;
  • che, in ogni caso, non essendo la resistente "soggetta ad alcun obbligo a contrarre" (…), le valutazioni in ordine alla concessione o meno delle Carte rientrano nella sfera delle scelte imprenditoriali sulle quali la società emittente ha assoluta discrezionalità";
  • che lo stesso interessato, nell´ambito di un giudizio pendente dinanzi all´autorità giudiziaria ordinaria per profili non di competenza del Garante, avrebbe attestato di aver richiesto e ricevuto le informazioni che lo riguardano da uno dei titolari del trattamento indicati come sopra dalla resistente.

CIÒ PREMESSO IL GARANTE OSSERVA

Il ricorso concerne il trattamento dei dati personali effettuato da una società per rilasciare una carta di credito.

Per quanto concerne la richiesta di conoscere la logica e le finalità su cui si basa il trattamento dei dati, la società resistente ha fornito sufficienti indicazioni in merito nel corso del procedimento, allegando copia dell´informativa rilasciata al ricorrente all´atto della richiesta della carta di credito. Parimenti, in ordine all´origine dei dati, la resistente ha confermato di averli raccolti presso l´interessato e dalle società indicate in premessa. In ordine a tali profili, va quindi dichiarato non luogo a provvedere sul ricorso ai sensi dell´art. 149, comma 2, del Codice.

Per quanto riguarda la richiesta di conoscere i dati personali, il ricorso va accolto in parte. Ciò con particolare riferimento ai dati ottenuti dalle società di cui sono stati comunicati nel corso del procedimento gli estremi identificativi (e di cui si fa cenno nella nota prodotta come allegato B al riscontro del 17 maggio 2004), nonché ai dati personali eventualmente contenuti all´interno di giudizi e valutazioni o sotto forma di punteggio sul grado di affidabilità o solvibilità, anche se espressi anche in forma negativa secondo quanto previsto dall´art. 8, comma 4, del Codice.

La società resistente (che si è limitata a fornire il solo elenco delle informazioni indicate dallo stesso ricorrente nel modulo di richiesta della carta di credito), dovrà comunicare all´interessato tutti gli ulteriori dati personali oltre quelli già comunicati, espressi come si è detto in forma anche "negativa", entro il termine del 15 settembre 2004, dando conferma anche a questa Autorità, entro il medesimo termine, dell´avvenuto adempimento. Per quanto concerne invece i dati personali già messi a disposizione dell´interessato va dichiarato non luogo a provvedere sul ricorso ai sensi dell´art. 149, comma 2, del Codice.

Per quanto concerne la richiesta volta a conoscere i parametri di accettazione utilizzati dalla società riguardo al rilascio o meno delle carte di credito, il ricorso è invece inammissibile. Tale richiesta, per il tenore con cui è stata formulata, non si configura come esercizio dei diritti di cui all´art. 7 del Codice, il quale consente all´interessato di accedere al contenuto dei dati personali che lo riguardano (anche se espressi in forma "negativa"), e di conoscere la logica e le modalità del trattamento dei dati medesimi, ma non anche di richiedere altre notizie attinenti a criteri organizzativi e gestionali del titolare del trattamento.

PER QUESTI MOTIVI IL GARANTE

a) accoglie il ricorso limitatamente alla richiesta di accedere a tutti i dati personali del ricorrente diversi da quelli già comunicati, e ordina alla società resistente di corrispondere a tale richiesta entro il 15 settembre 2004, nei termini di cui in motivazione;

b) dichiara inammissibile il ricorso in ordine alla richiesta di conoscere i parametri di accettazione utilizzati dalla resistente per il rilascio delle carte di credito;

c) dichiara non luogo a provvedere sul ricorso in ordine alle restanti richieste.

Roma, 10 giugno 2004

IL PRESIDENTE
Rodotà

IL RELATORE
Santaniello

IL SEGRETARIO GENERALE
Buttarelli