g-docweb-display Portlet

Diritti dell'interessato e consenso - 'Centrali rischi' private: revoca del consenso rispetto a dati non pregiudizievoli e sospensione della loro ...

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 621342]

Diritti dell´interessato e consenso - "Centrali rischi" private: revoca del consenso rispetto a dati non pregiudizievoli e sospensione della loro trasmissione

Il Garante, richiamati i principi enunciati nel provvedimento generale del 31 luglio 2002 sulle "centrali rischi" private, ha ordinato ad una società finanziaria di sospendere, fino all´individuazione dei nuovi presupposti per i trattamenti in materia, la trasmissione di dati non pregiudizievoli concernenti un rapporto di finanziamento ad una "centrale rischi" privata per i quali era intervenuta la revoca del consenso.

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello vice presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale;

ESAMINATO il ricorso presentato dal sig. XY

nei confronti di

Bipielle Ducato S.p.a.

VISTA la documentazione in atti;

VISTI gli articoli 13 e 29 della legge 31 dicembre 1996, n. 675 e gli articoli 18, 19 e 20 del d.P.R. 31 marzo 1998, n. 501;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000 adottato con deliberazione n. 15 del 28 giugno 2000;

RELATORE il prof. Stefano Rodotà;


PREMESSO

Il ricorrente, parte di un contratto di finanziamento stipulato con Bipielle Ducato S.p.a. il 29 aprile 2002, lamenta di non aver ricevuto da tale società idoneo riscontro alle istanze presentate ai sensi dell’art. 13 della legge n. 675/1996, con le quali aveva revocato il proprio consenso alla comunicazione dei dati che lo riguardano ad altre persone fisiche o giuridiche ed aveva chiesto la cancellazione del proprio nominativo dalle banche dati di terzi cui fossero stati già comunicati.

Nel ricorso presentato a questa Autorità ai sensi dell’art. 29 della legge n. 675/1996 il ricorrente ha ribadito le proprie richieste, chiedendo che le spese del procedimento vengano addebitate alla società resistente.

A seguito dell’invito ad aderire formulato da questa Autorità, Bipielle Ducato S.p.a., con nota pervenuta in data 11 luglio 2002, ha dichiarato di aver comunicato i dati relativi all’interessato a due centrali rischi private in conformità all’informativa resa allo stesso al momento della stipula del contratto. Ha anche dedotto:

  • che tale informativa prevede, tra le finalità del trattamento effettuato, anche "la valutazione del merito creditizio, la prevenzione del sovraindebitamento…, nonché la tutela e il recupero del credito anche mediante comunicazione a terzi";
  • che la cancellazione è possibile solo per motivi legittimi e in caso di trattamento dei dati in violazione di legge, circostanze ritenute nella fattispecie non ricorrenti "posta la legittimità del trattamento e della diffusione dei dati nei termini dell’informativa" rilasciata all’interessato;
  • di non potersi attivare ai fini della cancellazione dei dati conservati negli archivi di due centrali rischi di cui vengono forniti gli estremi identificativi;
  • di aver comunque cancellato i dati personali del ricorrente dalla banca dati della società in relazione alla finalità di utilizzo per scopi commerciali e promozionali.


CIÒ PREMESSO IL GARANTE OSSERVA

Il ricorso concerne un trattamento di dati svolto da una società finanziaria, con particolare riferimento alla comunicazione ad alcune centrali rischi private di dati personali del ricorrente che non risultano avere contenuto pregiudizievole, essendo peraltro riferiti ad un rapporto di finanziamento in corso da pochi giorni.

Il ricorso è inammissibile per quanto riguarda la richiesta di cancellazione dei dati già trasmessi a centrali rischi private, dovendo tale richiesta, per il modo con cui essa è stata formulata dal ricorrente, essere presentata nei confronti dei titolari del trattamento effettuato da tali centrali rischi e da queste valutata anche alla luce del fatto che la trasmissione dei medesimi dati e il successivo trattamento sono sinora avvenuti sulla base del consenso revocato successivamente.

Il ricorso è invece in parte fondato per ciò che riguarda l’ulteriore richiesta concernente la futura trasmissione di altri dati relativi al rapporto, richiesta che va qualificata come sostanziale opposizione per motivi legittimi al trattamento dei dati personali.

Con autonomo provvedimento di carattere generale adottato in data odierna sulla problematica delle centrali rischi private, allegato alla presente decisione e le cui motivazioni sono da ritenersi integralmente richiamate, il Garante ha enucleato vari principi in relazione ai quali si è riservato di individuare nuovi presupposti del trattamento dei dati in materia in relazione al nuovo quadro normativo emergente dal d.lg. n. 467/2001 (artt. 12, comma 1, lett. h bis, 20, comma 1, lett. h bis e 24 bis legge n. 675/1996; art. 20, comma 2, lett. e), d.lg. n. 467/2001).

In relazione a questo nuovo quadro normativo, e in conseguenza della richiesta del ricorrente, va indicata una "misura necessaria a tutela dei diritti dell’interessato" che appare congruo individuare nella sospensione temporanea della comunicazione alle centrali rischi private di altri dati personali relativi al rapporto di finanziamento, per il solo tempo intercorrente fino alla data in cui saranno operativi i nuovi presupposti del trattamento risultanti dai provvedimenti attuativi delle disposizioni da ultimo richiamate.


PER QUESTI MOTIVI IL GARANTE

a) dichiara il ricorso inammissibile per quanto riguarda la richiesta di cancellazione dei dati già comunicati a centrali rischi private;

b) accoglie il ricorso per ciò che attiene alla restante richiesta richiamata in motivazione e, per l’effetto, ordina ai sensi dell’art. 29, comma 4, della legge n. 675/1996, quale misura necessaria a tutela dei diritti dell’interessato, la sospensione temporanea della comunicazione alle centrali rischi private di altri dati personali relativi al rapporto di finanziamento, per il solo tempo intercorrente fino alla data in cui saranno operativi i nuovi presupposti del trattamento risultanti dai provvedimenti attuativi degli artt. 12, comma 1, lett. h bis, 20, comma 1, lett. h bis, e 24 bis legge n. 675/1996, nonché dell’art. 20, comma 2, lett. e) del d.lg. n. 467/2001.


Roma, 31 luglio 2002

IL PRESIDENTE
Rodotà

IL RELATORE
Rodotà

IL SEGRETARIO GENERALE
Buttarelli