Crif, trattamento illecito se i dati utilizzati eccedono le finalità previste dalla legge
Il soggetto che effettua il trattamento di dati personali deve esaminare e comparare le informazioni in maniera lecita e corretta, dovendo utilizzare solo le informazioni pertinenti rispetto alle finalità per le quali gli stessi sono raccolti. Ciò vale soprattutto nel settore bancario, ove in gioco vi sono l'affidabilità e la puntualità dei pagamenti. Questo è quanto affermato nell'ordinanza della Cassazione n. 368/2021.
La vicenda - La controversia riguarda una srl e i soci della medesima, i quali con ricorso ex articolo 152 del Codice della privacy (D.lgs. 196/2003) convenivano in giudizio la CRIF spa (Centrale rischi finanziari), ovvero la società che fornisce supporto all'erogazione e alla gestione del credito al consumo, offrendo informazioni di referenza creditizia per la previsione e il controllo dei rischi finanziari.
Quest'ultima era accusata di illegittimo trattamento di dati personali, in quanto aveva utilizzato delle informazioni relative ad alcune esposizioni debitorie che i soci della srl ritenevano non pertinenti. Nei sistemi informatici della CRIF risultavano, infatti, delle trascrizioni di domande revocatorie che riguardavano un soggetto terzo rispetto alla società, che penalizzavano e danneggiavano la medesima. L'indicazione di tali esposizioni debitorie era cioè eccedente rispetto alla specifica finalità perseguita, ovvero «quella di fornire informazioni sull'affidabilità e sulla puntualità dei pagamenti».
Il Tribunale non intravedeva però nella condotta della CRIF alcun comportamento illecito, in quanto la società si era limitata a inserire nel proprio archivio dati conformi e in linea con quelli risultanti da pubblici registri, che erano legittimamente utilizzabili.
La decisione - Di diverso avviso si mostra, invece, la Cassazione, che si esprime in favore dei ricorrenti. I giudici di legittimità sottolineano l'importanza, in una simile fattispecie, di applicare correttamente la normativa che tutela la riservatezza, in particolare quanto previsto dagli articoli 7 e 11 lett. d) del Codice della privacy.
Per il Collegio, infatti, le regole a tutela della privacy si estendono anche ai dati già pubblici o pubblicati «poiché colui che compie operazioni di trattamento di tali informazioni, dal loro accostamento, comparazione, esame, analisi, congiunzione, rapporto od incrocio può ricavare ulteriori informazioni e, quindi, un valore aggiunto informativo, non estraibile dai dati isolatamente considerati, potenzialmente lesivo della dignità dell'interessato». Ne consegue che i dati personali - specie nel settore bancario ove gli stessi sono valutati per l'affidabilità di chi chiede un prestito - «devono essere trattati in modo lecito e secondo correttezza, essere pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati».
Ebbene, conclude il Collegio, nel caso di specie, l'errore della CRIF sta nell'aver semplicemente inserito i dati nel proprio archivio, «omettendo del tutto l'indagine sulle finalità del trattamento e, quindi, sulla pertinenza e non eccedenza di quest'ultimo rispetto alle prime».
Fonte: Il Sole 24 Ore del 19 gennaio 2021