Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Provvedimento del 27 luglio 2004 [1099822]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
1099822
Data:
27/07/04
Tipologia:
Decisione su ricorso

[doc. web n. 1099822]

Provvedimento del 27 luglio 2004

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale;

Esaminato il ricorso presentato da XY rappresentata e difesa dall´avv. Michele Arditi di Castelvetere presso il cui studio ha eletto domicilio

nei confronti di

S.i.a. S.p.A. e San Paolo Imi S.p.A.;

Visti gli articoli 7, 8 e 145 s. del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Mauro Paissan;

PREMESSO:

La ricorrente, dovendo prestare una fideiussione a garanzia dello scoperto di conto corrente del proprio coniuge, in occasione delle "verifiche di solvibilità" svolte dall´istituto di credito richiedente, aveva appreso di essere segnalata presso la banca dati gestita da S.i.a. S.p.A. (nell´ambito del Servizio centralizzato di rilevazione dei rischi creditizi di importo contenuto), quale beneficiaria di un finanziamento di 50.000 euro concesso da San Paolo Banco di Napoli S.p.A.. Non avendo mai richiesto, né ottenuto il predetto finanziamento, l´interessata si era rivolta a S.i.a. S.p.A. la quale, con nota in data 25 febbraio 2004, le aveva dato conferma di tale inserimento.

La ricorrente sostiene di essere venuta in seguito a sapere, attraverso indagini condotte personalmente, che l´effettiva beneficiaria del finanziamento in questione era una persona omonima, avente la medesima data di nascita, ma luogo di nascita diverso, e dunque diverso codice fiscale, il cui rapporto era stato acceso presso un´agenzia della predetta banca.

Pertanto, in data 17 marzo 2004, l´interessata aveva formulato un´istanza ai sensi degli artt. 7 e 8 del Codice con la quale contestava a S.i.a. S.p.A. e San Paolo Banco di Napoli S.p.A. l´erronea segnalazione a proprio carico.

Il predetto istituto bancario non aveva dato risposta, mentre S.i.a. S.p.A., con nota in data 29 marzo 2004, nell´informare l´interessata circa le modalità di accesso al Servizio centralizzato di rilevazione dei rischi creditizi di importo contenuto, aveva sostenuto che:

  • tale Servizio "è stato istituito per legge "per finalità di controllo degli intermediari e dei mercati creditizi e finanziari e di tutela della loro stabilità". Pertanto gli interessati, i cui dati personali sono trattati in tale servizio, non possono esercitare i diritti di blocco, cancellazione, sospensione e trasformazione in forma anonima dei suddetti dati ai sensi dell´art. 8 del Decreto legislativo 196/03;
  • qualora l´interessato ritenga errata la segnalazione a Suo nome presso il Servizio, può richiedere la correzione dei dati all´unico ente autorizzato ovvero l´intermediario segnalante".

Nel ricorso proposto a questa Autorità ai sensi dell´art. 145 del Codice la ricorrente ha reiterato la contestazione chiedendo ai predetti soggetti di cancellare i dati che la riguardano perché trattati in violazione di legge, di attestare che l´operazione è stata portata a conoscenza dei soggetti cui i dati erano stati comunicati o diffusi, nonché di conoscere l´origine dei dati e i soggetti cui gli stessi erano stati comunicati. L´interessata ha anche chiesto che le spese del procedimento siano poste a carico della controparte.

A seguito dell´invito ad aderire formulato da questa Autorità in data 9 giugno 2004 ai sensi dell´art. 149 del Codice, S.I.A. S.p.A., con lettera anticipata via fax il 24 giugno 2004, nel ribadire quanto sostenuto nella nota del 29 marzo 2004, ha rilasciato alcune dichiarazioni in ordine alle modalità operative del Servizio ed ha affermato che:

  • lo stesso è gestito dalla resistente ai sensi della deliberazione del Comitato interministeriale per il credito e il risparmio del 3 maggio 1999, assunta ai sensi degli articoli 53, comma 1, lett. b), e 107, comma 2, del d.lg. n. 385/1993 (c.d. testo unico bancario), delle istruzioni n. 253012 impartite dalla Banca d´Italia il 10 novembre 2000 in attuazione della citata deliberazione Cicr, nonché ai sensi della convenzione tra gli intermediari partecipanti al Servizio e S.i.a. S.p.A. (copia dei predetti strumenti normativi è stata fornita in allegato alla nota stessa);
  • ai sensi dell´art. 3 delle citate istruzioni della Banca d´Italia, "l´acquisizione del consenso dei diretti interessati non è necessaria ai fini del trattamento delle informazioni censite nell´ambito del sistema di rilevazione gestito dalla S.I.A.".

Per quanto concerne i dati riferiti alla ricorrente, S.i.a. ha poi sostenuto che:

  • in data 30 gennaio 2003 San Paolo Imi S.p.A. ha effettuato una c.d. "richiesta di prima informazione" in ordine alla ricorrente "che ha portato al censimento del soggetto nell´archivio del Servizio (…), alla registrazione di dati anagrafici e all´assegnazione di un codice identificativo del censito";
  • in data 3 marzo 2003 San Paolo Banco di Napoli S.p.A. "ha segnalato nel medesimo archivio una cointestazione composta" dalla ricorrente "e altri cointestatari che ha portato all´assegnazione di un codice identificativo della cointestazione";
  • in ogni caso, la ricorrente risultava censita con riferimento alla sola cointestazione, e non era quindi singolarmente "esposta con importi";
  • in data 28 maggio 2004 "San Paolo Banco di Napoli S.p.A. ha provveduto alla correzione della posizione debitoria in contestazione, cancellando i relativi importi a carico della stessa", fino ad annullare, in data 1° giugno 2004, "il codice Centrale Rischi identificativo della cointestazione", che quindi "non è più in essere";
  • allo stato, la ricorrente "non ha più nessuna esposizione debitoria segnalata a suo carico, né singolarmente, né in cointestazione";
  • "il codice Centrale Rischi identificativo" della ricorrente "conserva validità ", in quanto, ai sensi del punto 1), ultimo periodo, delle citate istruzioni della Banca d´Italia, "le informazioni anagrafiche (…) sono conservate presso la SIA per un periodo di dieci anni".

Con nota anticipata via fax il 5 luglio 2004, San Paolo Imi S.p.A. ha comunicato che, a seguito di accertamenti svolti presso il San Paolo Banco di Napoli S.p.A., sarebbe emerso che i dati che riguardano la ricorrente sarebbero stati erroneamente segnalati al citato Servizio "per un mero caso di omonimia". San Paolo Imi S.p.A. ha inoltre sostenuto di essersi attivata nei confronti di S.I.A. S.p.A. "che ha provveduto ad apportare le dovute rettifiche all´errata segnalazione".

Nel corso dell´audizione tenutasi presso gli uffici di quest´Autorità il 9 luglio 2004 la ricorrente ha eccepito "la tardività della correzione dei dati" ed ha ribadito le restanti richieste formulate nel ricorso, insistendo altresì perché il Garante ponga le spese del procedimento a carico della controparte.

CIÒ PREMESSO IL GARANTE OSSERVA:

Il ricorso concerne l´erronea segnalazione, effettuata da una banca, di alcuni dati personali della ricorrente al Servizio centralizzato di rilevazione dei rischi creditizi di importo contenuto.

Alla banca dati di tale Servizio, che è stato istituito con delibera del Circ del 3 maggio 1999 ai sensi degli articoli 53, comma 1, lett. b), e 107, comma 2, del d.lg. n. 385/1993, le banche e gli intermediari finanziari partecipanti segnalano i dati relativi agli affidamenti di importo inferiore al limite minimo di censimento previsto per la Centrale dei rischi della Banca d´Italia e superiore al limite massimo stabilito per le operazioni di credito al consumo, con esclusione dei crediti in sofferenza. La gestione in via autonoma di tale servizio è stata affidata alla Società interbancaria per l´automazione S.p.A. (S.i.a.), che, nella gestione stessa, deve attenersi alle disposizioni impartite dalla Banca d´Italia in tale ambito.

Il trattamento dei dati personali dei soggetti interessati può avvenire senza l´acquisizione del relativo consenso (art. 24, comma 1, lett. a), del Codice), ferma restando la necessità che gli stessi ricevano previamente un´idonea informativa.

Come già chiarito dalla Banca d´Italia nelle predette istruzioni, gli interessati segnalati possono esercitare il complesso dei diritti previsti dall´art. 7 del Codice (e non solo il diritto di accesso) sia nei confronti di S.i.a. S.p.A., sia degli intermediari segnalanti, i quali agiscono entrambi in qualità di titolari autonomi di trattamento.

Il servizio in questione è gestito in via autonoma da S.i.a. S.p.A. la quale ha peraltro natura privata e non pubblica. Il trattamento dei dati personali degli interessati svolto da tale società non rientra pertanto nel campo di applicazione dell´art. 8, comma 1, lett. d), come invece erroneamente sostenuto da tale società.

Nel merito, in ordine alla richiesta di cancellare i dati personali, va dichiarato non luogo a provvedere sul ricorso ai sensi dell´art. 149, comma 2, del Codice, avendo i titolari del trattamento resistenti fornito al riguardo adeguato riscontro: S.i.a. S.p.A. e San Paolo Imi S.p.A. hanno infatti confermato di aver adeguatamente rettificato la segnalazione errata riferita alla ricorrente.

In ordine alle restanti richieste formulate dalla ricorrente, il ricorso è invece inammissibile, essendo state tali istanze formulate per la prima volta solo in sede di ricorso, anziché nell´interpello ex art. 8 del Codice previamente inoltrato ai titolari del trattamento.

L´ammontare delle spese sostenute nel presente procedimento è determinato, ai sensi dell´art. 150, comma 3, del Codice, nella misura forfettaria di euro 400, di cui euro 25,82 per diritti di segreteria, tenuto conto degli adempimenti connessi alla redazione e presentazione del ricorso. Tale ammontare è posto a carico di S.I.A. S.p.A. e San Paolo Imi S.p.A., nella misura di euro 200 ciascuna.

PER QUESTI MOTIVI IL GARANTE:

a) dichiara non luogo a provvedere sul ricorso in ordine alla richiesta di cancellazione dei dati personali erroneamente registrati in relazione alla ricorrente;

b) dichiara il ricorso inammissibile, in ordine alle restanti richieste;

c) determina nella misura di 400 euro, di cui 25,82 per diritti di segreteria, l´ammontare delle spese e dei diritti del procedimento che pone, nella misura di 200 euro ciascuna, a carico di S.i.a. S.p.A. e San Paolo Imi S.p.A., le quali dovranno liquidarlo direttamente a favore della ricorrente.

Roma, 27 luglio 2004

IL PRESIDENTE
Rodotà

IL RELATORE
Paissan

IL SEGRETARIO GENERALE
Buttarelli