L’ordine del Garante Privacy di cancellazione dei dati personali dall’archivio C.A.I. e l’opposizione della Banca d’Italia

Mentre sono in corso i lavori avviati dall’Autorità Garante per la protezione dei dati personali per la revisione del vigente codice deontologico del 2005 sulle centrali rischi private - Allegato 5 al Codice in materia di protezione dei dati personali - con Provvedimento del 17 aprile 2014 n. 203 il Garante ha difatti avviato un processo di revisione del Codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti, per aggiornarlo alle numerose modifiche normative intervenute nel corso del tempo , la prima sezione civile della Suprema Corte di Cassazione ha emanato una interessante sentenza Cass. 6927/2016 del 25 Febbraio, depositata il 6 aprile 2016 con la quale ha chiarito alcuni presupposti e principi in base ai quali va riconosciuto in capo alla Banca d’Italia il ruolo di titolare del trattamento dei dati personali nella qualità di gestore pubblico della Centrale di allarme interbancario C.A.I. .

Riassunto della vicenda. Anni addietro una società aveva fatto ricorso al Garante chiedendo che l’Autorità per la protezione dei dati personali ordinasse alla Banca d’Italia e all’Istituto di credito Bipop Carire – quali titolari del trattamento - la cancellazione di dati personali riferiti a talune iscrizioni illegittime di assegni bancari rivelatisi rubati e falsificati da terzi a carico della società presso l’archivio C.A.I. Il Garante aveva accolto il ricorso ordinando alla Banca d’Italia e all’istituto di credito la cancellazione dei dati. A tale provvedimento di era opposta la Banca d’Italia proponendo ricorso giudiziario al Tribunale di Roma e rilevando la carenza di legittimazione passiva in quanto soggetto pubblico che tratta i dati nell’ambito dell’archivio C.A.I. per finalità pubbliche assicurare il regolare funzionamento dei sistemi di pagamento” , dovendosi imputare in concreto la qualità di titolare del trattamento dei dati in capo agli istituti di credito segnalanti. Il Tribunale di Roma accoglieva il ricorso rilevando che le operazioni di concreto trattamento dei dati personali sono in tali casi riservate agli istituti di credito segnalanti, mentre alla Banca d’Italia, pur formalmente indicata quale titolare del trattamento, è riservata una funzione meramente esecutiva, affidata in concessione ad un terzo soggetto, di tenuta dell’archivio e di verifica della regolarità formale delle segnalazioni, senza alcun potere di iscrizione, aggiornamento, rettifica e cancellazione dei dati iscritti. Avverso questa sentenza, il Garante per la protezione dei dati personali proponeva ricorso per Cassazione, a cui si è nuovamente opposta la Banca d’Italia. La posizione della Banca d’Italia l’assenza di legittimazione passiva dell’ente per una titolarità del trattamento dei dati personali solo formale e priva di concreti poteri di decisione sui dati. La decisione della Suprema Corte di Cassazione si rileva particolarmente interessante sotto un duplice profilo il primo, poiché affronta e chiarisce il rapporto – ai fini della conseguente applicabilità dei principi normativi in materia di protezione dei dati personali - tra una titolarità del trattamento dei dati solo formale e la titolarità del trattamento in concreto in capo al soggetto che materialmente ha il potere di compiere le operazioni del trattamento il secondo poiché da risposta al seguente quesito posto dalla Banca d’Italia se la Banca d’Italia debba essere qualificata come titolare del trattamento dei dati personali contenuti nell’archivio degli assegni bancari e postali e delle carte di credito Centra di Allarme Interbancaria – C.A.I. , istituita dall’art. 10-bis l. 386/1990 e disciplinata dal D.M. 458/2001, in quanto ente presso il quale è istituito l’archivio, con la conseguenza che l’interessato al trattamento di un dato ivi raccolto nella specie, società apparente traente di un assegno privo di provvista può rivolgere ai sensi dell’art. 147, comma 1, del Codice della privacy, nei confronti della banca d’Italia, quale titolare, il ricorso al Garante inteso ad ottenere l’ordine di rettifica o cancellazione dell’iscrizione nell’archivio di un dato inesatto, restando irrilevante, al fine di escludere la legittimazione della Banca d’Italia, la circostanza che il dato inesatto fosse stato inserito nell’archivio su segnalazione della banca emittente l’assegno, la quale a sua volta va qualificata come titolare del trattamento del dato, in quanto soggetto presso cui è istituita la sezione remota dell’archivio, e la circostanza che la gestione dell’archivio, in particolare per quanto attiene al controllo dell’esattezza e completezza dei dati inseriti, sia stata delegata dalla Banca d’Italia ad altro soggetto Società interbancaria di automazione che assume al riguardo la qualità di mero responsabile del trattamento dei dati . In sostanza, la Banca d’Italia chiede di conoscere se 1. la mera qualifica formale di titolare del trattamento, pure attribuitagli dalla legge nella gestione e tenuta dell’archivio C.A.I. 2. lo svolgimento da parte della Banca d’Italia di mere funzioni esecutive di tenuta dell’archivio e di verifica della regolarità formale delle segnalazioni tra l’altro funzioni affidate al soggetto terzo Società interbancaria di automazione 3. l’assenza di qualsivoglia potere di iscrizione, aggiornamento, rettifica e cancellazione dei dati nell’ambito dell’archivio non siano da considerare circostanze tali da escludere tanto la qualifica in capo ad essa della qualità di titolare del trattamento” quanto la conseguente legittimazione passiva cioè essere destinataria di un ricorso da parte di un soggetto cui si riferiscono i dati personali per l’attuazione dei diritti ex art. 7 del Codice della privacy , essendo nella prospettiva della Banca d’Italia tale legittimazione esclusivamente in capo ai soggetti – cioè la banca emittente l’assegno e titolare della sezione remota dell’archivio - che materialmente ed in concreto esercitano i poteri decisionali in merito alla finalità e modalità del trattamento dei dati nell’ambito dell’archivio. Riassumendo la posizione della Banca d’Italia, l’ente sostiene nel ricorso per Cassazione che la legittimazione passiva sarebbe legata ad una titolarità del trattamento effettiva e concreta – e non solo formale – ravvisabile nel caso in questione esclusivamente nell’istituto di credito titolare– tramite la sezione remota dell’archivio centrale C.A.I. detenuto dalla Banca d’Italia – del potere di iscrizione, aggiornamento, rettifica e cancellazione dei dati iscritti. La Banca d’Italia non si sottrae alla disciplina in materia generale di protezione dei dati personali. La Suprema Corte ha accolto il ricorso dell’Autorità Garante per la protezione dei dati ed ha risposto come segue al quesito posto dalla Banca d’Italia. In primo luogo, gli Ermellini richiamano il principio generale per il quale la Banca d’Italia – pur soggetto pubblico – non si sottrae alla disciplina in materia generale di protezione dei dati personali. In tale ambito, la Corte chiarisce anche la portata dell’art. 8, comma 2, lettera d del Codice della privacy. Tale norma, difatti, pone – tra le altre - una deroga alla possibilità di esercizio dei diritti sui propri dati personali accesso, rettifica, aggiornamento blocco, cancellazione, opposizione, etc. da parte dell’interessato, stabilendo che i diritti di cui all'articolo 7 non possono essere esercitati con richiesta al titolare o al responsabile o con ricorso ai sensi dell'articolo 145 del Codice della privacy se i trattamenti di dati personali sono effettuati da un soggetto pubblico, diverso dagli enti pubblici economici, in base ad espressa disposizione di legge, per esclusive finalità inerenti alla politica monetaria e valutaria, al sistema dei pagamenti, al controllo degli intermediari e dei mercati creditizi e finanziari, nonché alla tutela della loro stabilità. Chiarisce però la Suprema Corte che tale limitazione/deroga all’esercizio dei diritti sui propri dati si applica chiaramente ai soli mezzi di ricorso di tipo amministrativo richiamati dall’art. 8 ricorso ai sensi dell'articolo 145 del Codice della privacy”, cioè il ricorso al Garante quale Autorità amministrativa di controllo e non può essere applicata anche alla diversa tutela di tipo giurisdizionale ex art. 152 del Codice della privacy, rubricato Autorità Giudiziaria ordinaria” , non richiamata dalla norma nell’ambito di esclusione, con la conseguenza che la Banca d’Italia, pur nel perseguimento in base ad espressa disposizione di legge, di esclusive finalità inerenti al sistema dei pagamenti ed al controllo degli intermediari e dei mercati creditizi e finanziari , può essere legittimata passiva nei casi di ricorso all’Autorità Giudiziaria per far valere la responsabilità civile per danni cagionati dal trattamento cfr. art. 15 del Codice della privacy per segnalazione erroneamente effettuata. In secondo luogo, la Suprema Corte rigetta la posizione asserita dalla Banca d’Italia circa l’assenza di legittimazione passiva correlata ad una titolarità del trattamento solo formale e priva di contenuti e poteri effettivi sui dati, e basa tale decisione sui seguenti principi a l’art. 10- bis, l. n. 386/1190 istitutiva della Centrale di Allarme interbancaria dispone che la Banca d’Italia quale titolare del trattamento”, può avvalersi di un ente esterno per la gestione dell’archivio quale responsabile del trattamento b l’art. 1, comma 4, d.m. n. 458/2001 dispone che qualora la Banca d’Italia si avvalga di un responsabile esterno per la gestione dell’archivio, quest’ultimo è tenuto a presentare una relazione annuale alla Banca d’Italia quale titolare del trattamento c l’art. 11, d.m. n. 458/2001 dispone che gli interessati possono esercitare i loro diritti privacy anche presso le sezioni remote dell’archivio e queste ultime riscontrano le istanze ex art. 7 del Codice della privacy o comunicando alla banca d’Italia le operazioni di rettifica, cancellazione, etc. o provvedendovi di intesa con essa. In base a tali principi, la Suprema Corte – accogliendo il ricorso del Garante per la privacy – chiarisce che non è possibile distinguere tra un concreto trattamento dei dati consistente nel loro esame, valutazione, inserimento nell’archivio, aggiornamento, etc. e una qualità meramente formale di titolare del trattamento, limitata alla semplice tenuta dell’archivio e alla verifica della regolarità formale delle segnalazioni, poiché la qualifica di titolare non può essere scissa in un livello concreto e in uno formale, essa implicando sempre il potere di prendere tutte le decisioni in ordine alle finalità e alle modalità di trattamento . E ciò anche quando il titolare delega tutte le funzioni effettive e concrete del trattamento ad un soggetto o responsabile terzo, con la conseguenza che nessuna esclusione o limitazione della legittimazione passiva può essere richiamata in base ad una mera titolarità formale, restando – nel caso in esame – la Banca d’Italia pienamente soggetto - quale titolare del trattamento - all’esercizio dei diritti privacy previsti dall’art. 7 del Codice della privacy. Inoltre, con riferimento alla posizione degli istituti di credito segnalanti ed al rapporto con la Banca d’Italia, la Corte conclude per l’esistenza di una contitolarità congiunta dei relativi trattamenti dei dati nell’ambito dell’archivio remotizzato presso l’istituto di credito e presso l’archivio centrale tenuto dalla Banca d’Italia , rimarcando il dato fattuale che gli effetti dell’iscrizione si producono al momento in cui i dati inseriti nella sezione centrale dell’archivio sono consultabili presso le sezioni remote” una sorta di contitolarità legata alla sincronizzazione dei dati su piattaforma centrale e remota . Dunque, conclude la Corte, il ricorso al Garante volto ad ottenere la rettifica o la cancellazione di dati inseriti nel C.A.I. va proposto dall’interessato tanto nei confronti della Banca d’Italia titolare del trattamento dei dati nell’archivio centrale quanto nei confronti dell’istituto di credito segnalante titolare del trattamento della sezione remota del C.A.I. . Conclusioni. Le conclusioni della Suprema Corte di Cassazione circa l’imputazione ad un ente della titolarità del trattamento dei dati anche quando solo formale e priva di concreti poteri sui dati e delle connesse responsabilità e legittimazione passiva, non appaiono interamente condivisibili. Per certo, l’accoglimento della tesi contraria della Banca d’Italia avrebbe aperto un vulnus giuridico e comportato il rischio di un teorico depotenziamento per l’interessato della possibilità di esercitare i propri diritti verso il titolare del trattamento ogni qual volta questi avesse potuto dimostrare l’inesistenza di reali poteri sui dati. Tuttavia, il caso in questione – nell’ottica della Banca d’Italia – mirava più correttamente ad individuare nell’istituto di credito emittente gli assegni l’effettivo soggetto cui l’interessato avrebbe dovuto rivolgersi per l’esercizio dei propri diritti, non tanto a privare l’interessato – con la tesi proposta della titolarità del trattamento solo formale – dei mezzi di tutela, comunque sempre esercitabili avverso l’istituto titolare della sezione remota dell’archivio C.A.I Sotto altra prospettiva, la Corte supporta la sua decisione con il richiamo – questo sì meramente formalistico – alla formulazione di talune norme l’art. 10- bis , l. n. 386/1990, il d.m. di esecuzione n. 458/2001 che solo nominalisticamente conferiscono alla Banca d’Italia la qualifica di titolare del trattamento”, senza alcun riferimento alla effettività di una tale qualità sotto il profilo dei reali poteri decisori circa il trattamento dei dati. Ora, la definizione di titolare del trattamento ai sensi dell'articolo 4, comma 1, lett. f del Codice della privacy è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza . Tale definizione associa la relativa qualifica e le conseguenti responsabilità esclusivamente al soggetto ivi incluse le persone giuridiche che ha il potere di prendere in autonomia – o di concerto con altri contitolari - le decisioni operative su 1. finalità del trattamento 2. modalità del trattamento 3. strumenti impiegati per il trattamento 4. scelte in materia di soluzioni atte a garantire i profili di sicurezza del trattamento es adozione delle obbligatorie misure di sicurezza minime, adozione delle misure idonee di sicurezza, etc. . E seguendo l’insegnamento contenuto nel Parere n. 1 del 16 Febbraio 2010 che il Gruppo di Lavoro per la Tutela dei Dati ex art. 29 ente che riunisce a livello UE tutte le Autorità privacy nazionali ha appositamente dedicato alla corretta individuazione dei concetti di titolare del trattamento e di responsabile del trattamento”, al fine di fornire le regole pratiche ed operative per la corretta individuazione dei ruoli e delle responsabilità, la individuazione del titolare del trattamento è il risultato non di un mero richiamo nominalistico alle norme, ma anche di una specifica analisi empirica volta a determinare quale sia il soggetto che ha il potere di fatto al di là della qualificazione giuridica formale e l'autonomia nel prendere le decisioni operative sul trattamento Il concetto di titolare del trattamento è autonomo e funzionale, nel senso che è finalizzato all'assegnazione di responsabilità laddove intervenga un'influenza effettiva si basa quindi su un'analisi fattuale piuttosto che formale . Leggendo altri passi del citato parere, non si può notare un contrasto con i principi stabiliti dalla Suprema Corte di Cassazione nella sua recente decisione, se è vero che i Garanti UE ricordano che se è pur vero che il principio della competenza giuridica” nella individuazione del titolare del trattamento cioè la designazione del titolare direttamente effettuata da una fonte normativa può essere un criterio applicabile, è altrettanto vero che a la competenza a determinare” le finalità e le modalità del trattamento, anche se può derivare da una specifica attribuzione per legge, deve comunque general-mente essere attribuita in funzione degli elementi fattuali o delle circostanze del caso occorre esaminare cioè gli specifici trattamenti in questione e capire chi li determina” in concreto b un criterio puramente formale nella attribuzione della qualifica di titolare del trattamento es previsione contenuta in una legge non è sufficiente perché potrebbe non rispecchiare la realtà, conferendo il ruolo di titolare del trattamento a un organismo che di fatto non è nella posizione di determinare alcunché c benché la designazione di una parte come titolare del trattamento in una legge possa fornire informazioni rilevanti sullo status giuridico dell’ente, una tale designazione non permette tuttavia di stabilirne in modo definitivo lo status effettivo, che deve essere basato su circostanze concrete e fattuali su chi e su come sono svolti i trattamenti d il concetto di titolare del trattamento è funzionale, finalizzato cioè all'attribuzione di responsabilità laddove intervenga un'influenza effettiva si basa quindi su un'analisi fattuale piuttosto che formale e anche se una designazione giuridica ufficiale contenuta in una legge risolve gran parte dei problemi di individuazione del titolare del trattamento”, una tale designazione deve comunque essere conforme alle norme relative alla protezione dei dati, garantendo che l'organismo nominato abbia il controllo effettivo dei trattamenti, o, in altre parole, che la designazione giuridica rispecchi la realtà della situazione. E lo stesso Garante privacy italiano, nel suo fondamentale Parere del 9 Dicembre 1997, ricorda che il titolare del trattamento è un organismo al quale competano reali ed autonome scelte in ordine alle finalità e alle modalità del trattamento . Ad avviso di scrive, dunque, le conclusioni della Suprema Corte di Cassazione, pur formalmente corrette, si concretizzano in una applicazione formalistica e nominalistica dei principi in materia di protezione dei dati personali e si basano su una valutazione del caso concreto es il quesito posto dalla Banca d’Italia per lo meno parziale e priva di tutti necessari riferimenti applicabili, quali ad esempio il citato Parere dei Garanti UE sui concetti di titolare e responsabile del trattamento.

Corte di Cassazione, sez. I Civile, sentenza 25 febbraio – 8 aprile 2016, n. 6927 Presidente Salvago – Relatore Lamorgese Svolgimento del processo Con ricorso presentato il 2 febbraio 2007, la Banca d’Italia ha proposto opposizione al provvedimento emesso dal Garante per la Protezione dei dati personali il 21 dicembre 2006 che le aveva intimato, unitamente alla Bipop Carire, di cancellare i dati relativi a talune iscrizioni di assegni bancari a carico della società Mama Sun presso l’archivio C.a.i. Centrale di allarme interbancaria . La società Mama Sun aveva dedotto l’illegittimità delle iscrizioni che si riferivano ad assegni che facevano parte di un carnet della Bipop Carire, del quale aveva denunciato il furto, posti all’incasso da ignoti con sottoscrizione palesemente falsa, imputando alla banca di averli inviati al protesto omettendo i dovuti controlli. La Banca d’Italia, opponendosi al provvedimento del Garante, ha eccepito il proprio difetto di legittimazione passiva, indicando negli istituti di credito segnalanti gli esclusivi destinatari dell’ordine di cancellazione/rettificazione dei dati, e l’infondatezza della domanda avanzata dalla società, trattandosi di un trattamento di dati personali eseguito da un soggetto pubblico per finalità di interesse pubblico, in ragione del fine di assicurare il regolare funzionamento dei sistemi di pagamento. I1 Garante ha chiesto il rigetto dell’opposizione. Il Tribunale di Roma, con sentenza 20 giugno 2008, ha accolto l’opposizione e ha dichiarato il difetto di legittimazione passiva della Banca d’Italia, compensando le spese. Ad avviso del Tribunale, le operazioni di concreto trattamento dei dati personali sono riservate agli istituti di credito segnalanti, mentre alla Banca d’Italia, pur formalmente indicata quale titolare del trattamento, riservata una funzione meramente esecutiva, affidata in concessione a un terzo soggetto, di tenuta dell’archivio e di verifica della regolarità formale delle segnalazioni, senza alcun potere di iscrizione, aggiornamento, rettifica e cancellazione dei dati. Avverso questa sentenza il Garante per la Protezione dei dati personali ha proposto ricorso per cassazione affidato a un motivo, cui si è opposta la Banca d’Italia. Motivi della decisione L’unico motivo del ricorso denuncia violazione e/o falsa applicazione degli artt. 10 bis, commi 2 e 3, della legge 15 dicembre 1990 n. 386 1, commi 1 e 4, 9 e 11 del d.m. 7 novembre 2001 n. 458 1, comma 2, lett. d - e , 8, 13, 14, comma 1, lett. d , della legge 31 dicembre 1996 n. 675, sostituiti, rispettivamente, dagli artt. 4, comma 1, lett. f - g , 7, comma 3, lett. a -b , 8, comma 2, lett. d , e 29 del d.lgs. 30 giugno 2003 n. 196 cod. privacy 145, comma 1, 147, comma 1, e 150 cod. privacy. Esso è corredato dal seguente quesito di diritto al quale si chiede a questa Corte di rispondere in senso affermativo se la Banca d’Italia debba essere qualificata come titolare del trattamento dei dati personali contenuti nell’archivio degli assegni bancari e postali e delle carte di pagamento Centrale di allarme interbancaria - C.a.i. , istituita dall’art. 10 bis l. 386/1990 e disciplinata dal d.m. 458/2001, in quanto ente presso il quale è istituito l’archivio, con la conseguenza che l’interessato al trattamento di un dato ivi raccolto nella specie, società apparente traente di un assegno privo di provvista può rivolgere, ai sensi dell’art. 147, co. 1, cod. privacy, nei confronti della Banca d’Italia, quale titolare, il ricorso al Garante inteso ad ottenere l’ordine di rettifica o cancellazione dell’iscrizione nell’archivio di un dato inesatto, restando irrilevante, al fine di escludere la legittimazione passiva della Banca d’Italia, la circostanza che il dato inesatto fosse stato inserito nell’archivio su segnalazione della banca emittente dell’assegno, la quale a sua volta va qualificata come titolare del trattamento del dato, in quanto soggetto presso cui è istituita la sezione remota dell’archivio, e la circostanza che la gestione dell’archivio, in particolare per quanto attiene al controllo dell’esattezza e completezza dei dati inseriti, sia stata delegata dalla Banca d’Italia ad altro soggetto Società interbancaria di automazione che assume riguardo al trattamento dei dati la mera qualità di responsabile . Il motivo è fondato. Questa Corte ha avuto occasione di precisare che, nella gestione della Centrale dei rischi, che svolge una funzione informativa sull’indebitamento della clientela verso le banche e gli intermediari, la Banca d’Italia non si sottrae alla disciplina generale in tema di trattamento dei dati personali, dettata dal cod. privacy, in quanto non riconducibile all’ipotesi derogatoria prevista dall’art. 8, comma 2, lettera d , cod. privacy che esclude soltanto l’applicabilità della tutela amministrativa e di quella definita alternativa alla tutela giurisdizionale , ma non anche di quella giurisdizionale prevista dall’art. 152 e di quella dinanzi al Garante di cui all’art. 141, lettere a e b è pertanto configurabile una responsabilità civile della Banca d’Italia in relazione ai danni cagionati dal predetto trattamento, ai sensi dell’art. 11 cod. privacy, con la conseguenza che spetta alla medesima Banca la legittimazione passiva in ordine all’azione proposta dall’interessato per ottenere la rettifica o la cancellazione della segnalazione erroneamente effettuata, in ordine alla quale il giudice può provvedere, ai sensi dell’art. 152, comma 12 v. Cass. n. 7958/2009 . Un analogo principio vale per l’Archivio informatizzato degli assegni bancari e postali e delle carte di pagamento, istituito dall’art. 10 bis della legge n. 386/1990, mod. dalla legge 30 dicembre 1999 n. 507, e disciplinato dal d.m. n. 458/2011 cd. Centrale di allarme interbancaria , che ha lo scopo di informare gli operatori sui mancati pagamenti di assegni bancari tratti senza provvista. La decisione impugnata, secondo la quale la Banca d’Italia non potrebbe essere destinataria dell’esercizio dei diritti di cui all’art. 7 cod. privacy e dei conseguenti provvedimenti del Garante, in quanto, pur formalmente indicata quale titolare, le sarebbe riservata una funzione meramente esecutiva di tenuta dell’archivio e di verifica della regolarità formale delle segnalazioni, funzione affidata in concessione ad un terzo soggetto , non è condivisibile. Il citato art. 10 bis dispone che la Banca d’Italia, quale titolare del trattamento dei dati, può avvalersi di un ente esterno per la gestione dell’archivio, secondo quanto previsto dall’art. 8, comma 2, della legge n. 675/1996, e che il soggetto interessato ha diritto ad accedere alle informazioni che lo riguardano contenute nell’archivio e di esercitare gli altri diritti previsti dall’art. 13 della legge 31 dicembre 1996 n. 675 quest’ultima disposizione, al comma 1, lett. c , n. 2-3, prevedeva il diritto dell’interessato di ottenere, a cura del titolare o del responsabile, senza ritardo . 2 la cancellazione dei dati trattati in violazione di legge 3 l’aggiornamento, la rettificazione dei dati identiche disposizioni sono contenute nell’art. 7, comma 3, lett. a-b, cod. privacy l’art. 1, comma 2, lett. e , della stessa legge n. 675/1996 indicava come responsabile la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali l’art. 4, comma 1, cod. privacy indica come titolare la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati lett. f e indica come responsabile la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali lett. g l’art. 1, comma 4, d.m. n. 458/2001 dispone che qualora la Banca d’Italia si avvalga di un ente esterno per la gestione dell’archivio, questi è tenuto a presentare annualmente una relazione sull’attività svolta, alla Banca d’Italia quale titolare del trattamento l’art. 11 del medesimo d.m. dispone che i diritti di accesso ai dati personali e gli altri diritti dell’interessato previsti dall’art. 13 della legge 31 dicembre 1996 n. 675 sono esercitati secondo le modalità di cui all’articolo 17 del dPR 31 marzo 1998, n. 501, anche presso le sezioni remote dell’archivio. Gli aggiornamenti, le rettifiche, le integrazioni e le cancellazioni da effettuare in conseguenza dell’esercizio di tali diritti sono disposti su comunicazione del soggetto che ha trasmesso i dati ovvero d’intesa con esso l’art. 29, comma 5, cod. privacy dispone che il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 2 e delle proprie istruzioni in tal senso era già l’art. 8, comma 2, della legge n. 675/1996 gli artt. 145, comma 1, e 150 del codice dispongono che i diritti di cui all’art. 7 possono essere fatti valere con ricorso al Garante e che il Garante, se ritiene fondato il ricorso, ordina al titolare, con decisione motivata, la cessazione del comportamento illegittimo . Dalla predetta ricostruzione del quadro normativo, come puntualizzato dal ricorrente, risulta che non è possibile distinguere tra un concreto trattamento dei dati , consistente nel loro esame, valutazione, inserimento in banca dati, aggiornamento ecc., e una qualità meramente formale di titolare del trattamento, limitata alla tenuta della banca dati e alla verifica della regolarità formale delle segnalazioni. Infatti, la qualità di titolare non può essere scissa in un livello concreto e in uno formale, essa implicando sempre il potere di prendere tutte le decisioni in ordine alle finalità e modalità del trattamento, compreso il potere di delegare le attività esecutive del trattamento ad altro soggetto, ma il fatto che le abbia delegate non gli toglie quella specifica qualità che, anzi, costituisce un presupposto per la preposizione del responsabile v. art. 4, lett. g, cod. privacy . Di conseguenza, il titolare - e non v’è dubbio che tale sia la Banca d’Italia v. art. 10 bis, comma 2, legge n. 386/1990 - rimane soggetto all’esercizio dei diritti di cui all’art. 7 codice di rettifica e cancellazione dei dati inesatti da parte dell’interessato, com’è dimostrato dall’art. 8 cod. privacy che prevede che i diritti di cui all’art. 7 sono esercitati con richiesta rivolta senza formalità al titolare o al responsabile , senza dunque esonerare il titolare nel caso in cui abbia preposto un responsabile. Pertanto, sebbene la Banca d’Italia possa avvalersi di un ente esterno per la gestione dell’archivio nel caso in esame, la SIA, Società interbancaria di automazione , tale ente assume la qualità di responsabile, soggetto al controllo della Banca d’Italia, come previsto dal d.m. n. 458/2001 cfr. art. 1, comma 4 , senza alcuna limitazione dei diritti dell’interessato che possono essere fatti valere nei confronti del titolare. Analogo discorso vale per gli istituti segnalanti, nei cui confronti la Banca d’Italia rimane contitolare del trattamento e destinataria della tutela riconosciuta all’interessato, come risulta anche dall’art. 1, comma 2, d.m. n. 458/2001, che dispone che l’archivio è costituito dalla sezione centrale presso la Banca d’Italia e dalle sezioni remote presso le banche, gli uffici postali, gli intermediari finanziari è significativo che il dato si consideri iscritto solo se e dal momento in cui figura in modo identico nella sezione remota di provenienza e nella sezione centrale infatti, a norma dell’art. 9, comma 3, d.m. citato, gli effetti dell’iscrizione si producono dal momento in cui i dati inseriti nella sezione centrale dell’archivio sono consultabili presso le sezioni remote v., inoltre, l’art. 9, comma 1, che prevede un diretto coinvolgimento della Banca d’Italia nella verifica della completezza dei dati trasmessi nell’archivio . Ne consegue che titolari del trattamento sono sia la Banca d’Italia per i dati contenuti nella sezione centrale sia i singoli istituti segnalanti per i dati inseriti nella sezione remota e, quindi, contrariamente a quanto ritenuto dal Tribunale, il ricorso al Garante volto ad ottenere la rettifica o cancellazione di un dato inserito nel C.a.i. dev’essere proposto dall’interessato nei confronti della Banca d’Italia, quale titolare del trattamento, oltre che nei confronti dell’istituto segnalante, che riveste la ti qualità di titolare in relazione alla sezione remota. In conclusione, si deve rispondere in senso affermativo al quesito di diritto formulato in ricorso, che è accolto la sentenza impugnata è cassata con rinvio al Tribunale di Roma, in diversa composizione, anche per le spese. P.Q.M. La Corte, in accoglimento del ricorso, cassa la sentenza impugnata e rinvia al Tribunale di Roma, in diversa composizione, anche per le spese del presente giudizio. In caso di diffusione del presente provvedimento, omettere le generalità e gli altri dati identificativi.