[doc. web n. 1132689]

Provvedimento del 17 aprile 2003

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale;

Esaminato il ricorso presentato da Massimiliano Sogne

nei confronti di

Finconsumo Banca S.p.A., rappresentata e difesa dall´avv. Giorgio Gentilli presso il cui studio ha eletto domicilio;

Visti gli articoli 13 e 29 della legge 31 dicembre 1996, n. 675 e gli articoli 18, 19 e 20 del d.P.R. 31 marzo 1998, n. 501;

Viste le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Giuseppe Santaniello;

PREMESSO:

Il ricorrente, che nel 1998 aveva stipulato un contratto relativo ad una operazione di credito al consumo con Finconsumo Banca S.p.A., ha formulato alcune istanze ai sensi dell´art. 13 della legge n. 675/1996 con le quali ha chiesto a quest´ultima di attivarsi per l´immediata cancellazione dei dati personali che lo riguardano dalle banche dati del Consorzio per la tutela del credito-(CTC) e di Crif S.p.A., nelle quali tali dati erano stati precedentemente inseriti in relazione ad un ritardo nel pagamento di una rata del citato finanziamento, concluso comunque senza debiti o pendenze nel corso del 2001.

Nel riscontrare tale istanza, Finconsumo Banca S.p.A. ha sostenuto di non poter cancellare i dati del ricorrente in quanto gli stessi sarebbero stati trattati e comunicati lecitamente alle due cd. "centrali rischi" a seguito di alcuni ritardi nei pagamenti.

Nel ricorso presentato a questa Autorità ai sensi dell´art. 29 della legge n. 675/1996 il ricorrente ha ribadito la propria richiesta.

All´invito ad aderire formulato da questa Autorità in data 28 marzo 2003, Finconsumo Banca S.p.A. ha risposto con nota in data 7 e 8 aprile 2003, sostenendo:

• di non ritenersi legittimata a cancellare i dati del ricorrente conservati presso le due "centrali rischi", soggetti ai quali dovrebbe essere eventualmente rivolta l´istanza di cancellazione;
• di aver trattato lecitamente i dati relativi all´interessato avendone acquisito, in occasione della richiesta di finanziamento, il consenso informato in ordine alla comunicazione dei "dati relativi allo svolgimento del rapporto contrattuale (...) a società, enti (...) anche aventi finalità di tutela del credito" e di avere comunicato i dati che lo riguardano a seguito di "ripetuti ritardi nei pagamenti dei rimborsi mensili";
• che la posizione debitoria del ricorrente "è stata definita soltanto nel 2001, dopo il pagamento degli interessi di mora nell´agosto di quell´anno" e che quindi "nel 2001 è stato effettuato l´ultimo aggiornamento dei dati relativi al ricorrente nelle banche dati delle centrali rischi".

CIÒ PREMESSO IL GARANTE OSSERVA:

Il ricorso concerne la richiesta di cancellazione dagli archivi di due "centrali rischi" private di alcuni dati personali relativi ad un´operazione di finanziamento conclusa nel 2001 senza debiti o pendenze, ma rispetto alla quale, nel corso del rapporto, si erano verificati ritardi nei pagamenti.

Deve essere respinta l´eccezione di ammissibilità del ricorso proposta dalla resistente.

La richiesta è stata rivolta correttamente all´istituto di credito, con specifico riferimento all´avvenuta, e successivamente confermata, comunicazione dei dati relativi all´interessato all´archivio di due "centrali rischi". Ciò, è coerente con le modalità di funzionamento del sistema di rilevazione del rischio creditizio effettuato dalle predette "centrali rischi". Tali enti (che trattano i dati personali degli interessati in qualità di autonomi titolari del trattamento) procedono, però, alla modificazione e cancellazione dei dati degli interessati solo su richiesta, o a seguito di conferma, da parte della società che li ha comunicati. Ciò, sulla base degli specifici obblighi contrattuali che regolano il predetto sistema di rilevazione del rischio creditizio ed in relazione al concreto andamento del rapporto di finanziamento (che viene monitorato dalla banca o dalla società finanziaria che ha concesso il prestito). Nel caso in questione, peraltro, l´interessato con la nota datata 28 gennaio 2003 aveva correttamente chiesto a Finconsumo Banca S.p.A. di attivarsi per la cancellazione dei dati conservati negli archivi delle "centrali rischi".

In merito alla fattispecie oggetto di ricorso, le fondate richieste dell´interessato riguardano un finanziamento (per il cui rimborso risultavano alcuni ritardi nei pagamenti) che è stato estinto nell´agosto del 2001.

In base al principio di proporzionalità nel trattamento dei dati personali, la mancata attivazione di Finconsumo Banca S.p.A. presso le "centrali rischi" cui i dati del ricorrente sono stati comunicati, ai fini della cancellazione delle informazioni relative al finanziamento estinto da oltre un anno e per il quale non risultano allo stato debiti residui o pendenze, non appare giustificata in relazione al lungo periodo di tempo già trascorso e considerando che indicazioni di tale genere sono suscettibili di ingenerare una valutazione negativa sull´interessato in altre società operanti nel settore e che consultino le suddette banche dati.

Quanto sopra anche in relazione a quanto rilevato nel provvedimento generale in tema di c.d. "centrali rischi private" adottato da questa Autorità il 31 luglio 2002 (pubblicato sul sito del Garante all´indirizzo www.garanteprivacy.it), i cui principi sono da intendersi richiamati come parte integrante della presente decisione.

Risulta di conseguenza infondato il richiamo da parte della banca a previsioni contrattuali di opposto contenuto volte a legittimare una conservazione dei dati nelle centrali rischi per un periodo di tempo più ampio che risulta, nel caso di specie, eccessivo e sproporzionato.

Finconsumo Banca S.p.A. dovrà pertanto, entro trenta giorni dalla data di ricezione del presente provvedimento, attivarsi per far disporre la cancellazione delle informazioni relative al finanziamento in questione dalle "centrali rischi" cui tali informazioni siano state comunicate dallo stesso titolare del trattamento, dando comunicazione del contenuto del presente provvedimento alle medesime "centrali rischi" e confermando tale adempimento, entro la stessa data, a questa Autorità.

PER QUESTI MOTIVI IL GARANTE DICHIARA:

accoglie il ricorso e ordina al titolare del trattamento di adempiere alla richiesta di cancellazione dei dati relativi al finanziamento in questione nei termini di cui in motivazione.

Roma, 17 aprile 2003

IL PRESIDENTE
Rodotà

IL RELATORE
Santaniello

IL SEGRETARIO GENERALE
Buttarelli