Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Diritto di accesso - Prescrizioni di carattere generale per le 'centrali rischi private' - 31 luglio 2002 [30000]

[doc. web n. 30000]

[v. anche Comunicato stampa]


Diritto di accesso - Prescrizioni di carattere generale per le "centrali rischi private" - 31 luglio 2002

Sollecitato da numerose segnalazioni ed istanze presentate da interessati e da associazioni di consumatori, il Garante prescrive alcune indicazioni a "centrali rischi" private, banche e finanziarie dei dati personali per conformare alla legge i trattamenti relativi ai sistemi informativi di rilevazione dei rischi creditizi, in vista dell'adozione del codice deontologico in materia.

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale;

ESAMINATI i numerosi reclami, segnalazioni ed istanze presentati da interessati ed associazioni di consumatori relativamente al trattamento di dati personali svolto da soggetti privati che gestiscono sistemi informativi di rilevazione dei rischi creditizi (c.d. "centrali rischi") e da banche o società finanziarie che vi accedono;

RITENUTA la necessità, anche per ridurre il contenzioso in aumento, di segnalare ai titolari alcune modificazioni al fine di rendere il trattamento conforme ai principi in materia di protezione dei dati personali (art. 31, comma 1, lett. c), legge n. 675/1996);

VISTI gli elementi acquisiti dall’Ufficio del Garante a seguito degli accertamenti avviati ai sensi dell’art. 31, comma 1, lett. d), della legge n. 675/1996;

VISTI i precedenti provvedimenti adottati in materia;

VISTA la relazione sul procedimento curato dal Dipartimento realtà economiche e produttive dell’Ufficio;

VISTA la restante documentazione in atti;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Stefano Rodotà;

PREMESSO:


1. "CENTRALI RISCHI" PRIVATE
A più riprese questa Autorità si è occupata del trattamento di dati personali svolto dalle c.d. "centrali rischi" private, nonché da istituti bancari e finanziari che accedono ai relativi sistemi informativi contenenti dati su rapporti contrattuali e pre-contrattuali concernenti finanziamenti, prestiti o mutui alla clientela, in particolare nel settore del credito al consumo.

Le finanziarie e le banche cui vengono rivolte richieste di finanziamento si obbligano, reciprocamente e con i soggetti che gestiscono le "centrali rischi" private, anche sulla base di regolamenti consortili ed accordi associativi, a comunicare con carattere di sistematicità i dati relativi agli interessati (di regola conservati nelle "centrali rischi" per periodi ulteriori rispetto all’esito delle richieste o dei rapporti di finanziamento, oscillanti da uno a cinque anni).

Alcuni sistemi informativi di rilevazione dei rischi creditizi possono essere connotati come banche dati negative o "liste nere", in quanto registrano soltanto dati personali relativi a morosità o altre situazioni ritenute meritevoli di annotazione, unitamente alla segnalazione di sofferenze o dell’esistenza di azioni legali, procedure concorsuali o cessioni del credito a terzi.

Altri sistemi, che rappresentano la maggior parte delle "centrali rischi" private operanti in Italia, gestiscono invece sistemi di tipo positivo/negativo, raccogliendo informazioni sul rapporto di finanziamento, a partire dalla richiesta dell’interessato, indipendentemente dalla sussistenza di inadempimenti, per incentivare gli operatori finanziari ad una valutazione più ampia del rischio creditizio sulla base dell’osservazione di diversi comportamenti e situazioni personali del richiedente. In presenza di adeguate garanzie, tale tipologia di trattamento di dati potrebbe non comportare un effetto pregiudizievole nei confronti del cliente, potendolo invece agevolare nell’accesso al credito, tutelandolo in pari tempo dal rischio di sovraindebitamento.


2. DISCIPLINA DELLE ATTIVITÀ
Nel nostro ordinamento manca una regolamentazione dell’attività svolta dalle "centrali rischi" private; esiste, invece, una specifica normativa del servizio di centralizzazione dei rischi gestito dalla Banca d’Italia (la c.d. "centrale rischi" pubblica, per i finanziamenti di importo superiore ai 75.000 euro o comunque crediti in "sofferenza": artt. 13, 53, comma 1, lett. b), 60, comma 1, 64, 67, comma 1, lett. b), 106, 107, 144 e 145 del d.lg. 1 settembre 1993, n. 385 - Testo unico delle leggi in materia bancaria e creditizia -, delibera Cicr del 29 marzo 1994, provvedimento Banca d’Italia 10 agosto 1995, circolare della stessa Banca 11 febbraio 1991, n. 139 e successivi aggiornamenti).

Nel 1999 è stata altresì introdotta una disciplina per la rilevazione dei rischi di importo contenuto (affidamenti di importo inferiore a quello censito nella centrale rischi gestita dalla Banca d’Italia - 75.000 euro - e superiore a quello previsto per le operazioni di credito al consumo - 30.000 euro -: v. la deliberazione Cicr del 3 maggio 1999), con la quale è stato previsto un sistema centralizzato gestito da una società, sottoposto alla vigilanza della Banca d’Italia e disciplinato, nel dettaglio, da istruzioni della medesima Banca (pubblicate in G.U. - serie generale n. 272 del 21 novembre 2000), che prevedono in capo alle banche, società ed intermediari finanziari (individuati in base agli artt. 106 e 107, d.lg. n. 385/1993) l’obbligo di comunicare dati relativi alle esposizioni creditizie dei clienti.

Per le attività delle "centrali rischi" private, come detto non oggetto di disciplina normativa, la modulistica contrattuale predisposta dagli operatori del settore prevede, nei confronti degli interessati, clausole di informativa e di richiesta del consenso al trattamento dei dati personali; ciò al fine di individuare una base di liceità del trattamento sia per la comunicazione dei dati relativi al finanziamento da parte dell’istituto bancario o finanziario alle "centrali rischi" private ("soggetti terzi" rispetto al rapporto instaurato con la clientela), sia per il successivo trattamento dei dati da parte di queste ultime e la loro conseguente messa a disposizione di una cerchia assai ampia di operatori.

Le prassi contrattuali finora seguite, anteriori all’entrata in vigore del d.lg. n. 467/2001, dovranno essere ulteriormente valutate da questa Autorità alla luce del quadro normativo così modificato, con particolare riguardo al contenuto delle clausole contrattuali relative al trattamento dei dati e alle modalità del loro inserimento nei contratti. Taluni altri aspetti, nei termini che seguono, possono sin d’ora formare oggetto di esame.


3. INFORMATIVA
Dalle numerose segnalazioni ricevute e dai moduli di finanziamento acquisiti è emerso che le informative rese da alcuni operatori risultano spesso generiche ed indicano in un unico contesto finalità eterogenee di trattamento dei dati, nonché categorie diverse di destinatari (es.: enti di tutela del credito, rivenditori convenzionati, agenti, società di factoring, soggetti che forniscono informazioni commerciali). La varietà e la vaghezza degli elementi indicati, pertanto, non permette agli interessati di comprendere le caratteristiche del trattamento dei dati che gli stessi si accingono ad "autorizzare".

In relazione al principio di correttezza del trattamento (art. 9, comma 1, lett. a), legge n. 675), gli operatori devono assicurare che gli interessati siano edotti, all’atto della richiesta di un finanziamento (anteriormente al momento in cui i dati vengono conferiti o viene avviata una richiesta preliminare di notizie a terzi), delle conseguenze che derivano dall’instaurazione di un rapporto di finanziamento e delle modalità di raccolta, registrazione e circolazione delle loro informazioni personali.

La parte dell’informativa riguardante la comunicazione di dati alle "centrali rischi" private deve essere formulata con indicazione precisa degli estremi identificativi delle "centrali rischi" alle quali i dati verranno trasmessi, con una sintesi delle principali caratteristiche del trattamento svolto da queste ultime. Ciò anche per agevolare l’esercizio da parte degli interessati dei diritti previsti dall’art. 13 della stessa legge.

Non è altresì rispondente ai principi stabiliti dalla legge n. 675/1996 l’impostazione seguita in alcuni moduli recanti in un medesimo riquadro indicazioni relative a distinte finalità di trattamento di dati (ad esempio, per finalità di tutela del credito e per scopi di marketing, e solo, in quest’ultimo caso, con l’indicazione di una doppia opzione positiva/negativa), generando confusione nell’interessato; pertanto nell’informativa tali finalità devono essere menzionate separatamente, con autonoma collocazione.



4. UTENTI DELLE "CENTRALI RISCHI" PRIVATE
Tutti gli operatori devono rispettare il principio di finalità, consistente nella tutela del credito e nel contenimento del relativo rischio, in virtù del quale la consultazione dei dati personali riguardanti gli interessati può avvenire soltanto se strettamente connessa all’istruttoria di una richiesta di finanziamento (principio affermato, sotto altro profilo, anche al punto 3 della delibera Cicr del 3 maggio 1999 e al paragrafo 2 delle istruzioni della Banca d’Italia relative al sistema di rilevazione dei rischi di importo contenuto).

Sono quindi illeciti i trattamenti dei dati presenti nelle "centrali rischi" private per scopi ulteriori o comunque estranei alle attività di rilascio o gestione dei finanziamenti (collegati, ad esempio, ad attività di marketing).



5. QUALITÀ DEI DATI
Deve essere attentamente verificata la pertinenza e non eccedenza dei dati analitici (anagrafici, contrattuali, contabili, economici e finanziari) registrati nei sistemi informativi, nonché dei codici utilizzati per eventuali inadempimenti anche meno gravi (come, ad esempio, le rate non pagate e poi "regolarizzate"), frutto di scelte operate di comune accordo tra gli istituti di credito o finanziari che offrono servizi di credito al consumo.

In molti casi sottoposti all’esame di questa Autorità la comunicazione di un’ampia mole di dati, non sempre o non più significativi rispetto alle finalità perseguite (lievi morosità poi sanate, richieste di finanziamento non concesso, ecc.), determina conseguenze per gli interessati di sostanziale estromissione dal credito anche per effetto di automatismi (ad esempio, nei frequenti casi relativi ad operatori che rifiutano, al pari di altri, l’instaurazione di rapporti a seguito della mera presenza in "centrale rischi" di generiche indicazioni concernenti il semplice, mancato rilascio di un finanziamento oppure brevi ritardi nel rimborso dei ratei).

In tal modo il sistema, soprattutto con riguardo al credito al consumo, non distingue adeguatamente gli eventi da ritenere invece fisiologici in un rapporto destinato a svolgersi nel tempo, e che non incidono sull’affidabilità e solvibilità della clientela, da situazioni più critiche relative a inadempimenti gravi e reiterati o, addirittura, a veri e propri artifizi e raggiri nel ricorso al credito.

In relazione al principio di proporzionalità (art. 9 legge n. 675/1996), i criteri seguiti nei vari circuiti informativi per la segnalazione delle morosità, ossia dei ritardi di pagamento delle rate scadute, devono essere tendenzialmente uniformati in chiave di maggiore tutela degli interessati, tenendo conto della reale intensità e gravità degli inadempimenti, dal punto di vista economico e temporale, in modo da non recare pregiudizi ingiustificati ai diritti dei consumatori.

Specie nei casi di finanziamenti di minore importo, con rate di modesta entità, le segnalazioni delle morosità devono anzitutto essere effettuate alla "centrale rischi" solo in caso di mancato pagamento di consistenti somme, di più rate o di gravi ritardi, anche al fine di evitare la registrazione di dati relativi a situazioni verificatesi a causa di disguidi bancari o postali non sempre imputabili all’interessato. Appare ragionevole e corrispondente ai requisiti richiesti dal richiamato art. 9 della legge n. 675/1996 la previsione di soglie temporali minime o di più rate cumulate tra di loro (ad es., per ritardi di almeno quattro mesi o di quattro rate, secondo prassi già seguite da alcuni operatori).

Le banche o le finanziarie devono comunque, anche in virtù del principio di lealtà o correttezza nel trattamento (art. 9, comma 1, lett. a), l. n. 675/1996), dare preavviso agli interessati affinché questi possano eventualmente intervenire prima della segnalazione della morosità o di altro evento negativo alla "centrale rischi" privata.



6. CONSERVAZIONE DEI DATI RELATIVI ALLE RICHIESTE DI FINANZIAMENTO
In alcune "centrali rischi" private sono conservati dati personali relativi a richieste di finanziamento anche quando gli interessati vi abbiano rinunciato o gli istituti di credito o finanziari le abbiano rifiutate. In genere è previsto che, anche se il finanziamento non viene accolto, i dati rimangano in banca dati per dodici mesi o per periodi inferiori a seconda dell’esito della richiesta di finanziamento, che viene a sua volta indicato con particolari termini o codifiche (ad esempio, 3 o 6 mesi se non vi sono successivi aggiornamenti, oppure 9 mesi, qualora il richiedente rinunci al finanziamento o quest’ultimo non sia concesso perché non rientrante nella tipologia di operazioni e servizi offerti dalla società cui si è rivolto l’interessato).

Alcune "centrali rischi" private giustificano la scelta di conservare i dati personali relativi a tali richieste di finanziamento con motivazioni non sempre fondate, soprattutto per quanto riguarda la diversa durata dei periodi di conservazione rispetto agli scopi per i quali i dati sono raccolti e successivamente trattati (art. 9, comma 1, lett. e), legge n. 675).

La conservazione dei dati relativi alla richiesta di finanziamento può essere giustificata nell’intervallo di tempo richiesto dalla relativa istruttoria - che può avere a volte una durata anche di sei mesi -, poiché, in tale periodo, può venire in considerazione l’esigenza di verificare, anche presso altri soggetti, l’eventuale esposizione complessiva del richiedente (il quale potrebbe ricorrere a meccanismi di c.d. credit shopping o di frazionamento del credito, chiedendo un finanziamento contemporaneamente a diverse banche e finanziarie).

Le codifiche e i diversi periodi temporali indicati negli altri casi, invece, si prestano ad ampi rilievi per quanto concerne la loro rispondenza ai richiamati principi sulle modalità di raccolta e sui requisiti dei dati (art. 9, l. n. 675/1996). Si tratta infatti di informazioni raccolte in fase pre-contrattuale per valutare l’instaurazione di un rapporto di finanziamento; qualora tale rapporto non abbia concreto inizio tali informazioni devono essere cancellate senza ritardo, venendo meno la legittima finalità sopra evidenziata.

I periodi di conservazione devono essere resi omogenei tra di loro e correlati alle descritte esigenze di cautela concernenti i tempi dell’istruttoria delle richieste di finanziamento, con una durata massima di sei mesi dalla registrazione dei dati e comunque di un mese dalla rinuncia dell’interessato o dalla mancata concessione del finanziamento (termine, quest’ultimo, funzionale all’inserimento degli aggiornamenti periodici nelle "centrali rischi").

Quanto alla correttezza della raccolta e del trattamento di segnalazioni concernenti il c.d. "rifiuto" della richiesta di finanziamento, va altresì rilevato che con la relativa codifica vengono identificate, in via residuale, diverse situazioni nelle quali il prestito non è concesso, anche in conseguenza di valutazioni discrezionali di istituti di credito o di società finanziarie conseguenti a stime statistiche, a disponibilità finanziarie oppure a scelte di mercato, più che a determinazioni concernenti i singoli richiedenti.

Tuttavia questo tipo di indicazioni ingenerano comunque in altre società che consultano la "centrale rischi" una valutazione negativa sull’interessato, esponendolo al sospetto che il rifiuto di finanziamento derivi non tanto da politiche contrattuali dell’operatore, quanto da comportamenti dell’interessato documentati solo agli atti della banca, anziché anche nella centrale rischi.

In generale, quindi, la comunicazione di informazioni negative di questo tipo risulta ingiustificata in base al richiamato principio di proporzionalità, in considerazione del fatto che il rapporto di finanziamento non si è instaurato o si è comunque interrotto ad uno stadio che non legittima una divulgazione dei dati. Vanno inoltre verificate con attenzione, anche sotto questo profilo, le formule di informativa e consenso sottoposte agli interessati, risultate anche in tal caso spesso generiche ed insufficienti a legittimare il predetto trattamento di dati.



7. CONSERVAZIONE DEI DATI RELATIVI AL RAPPORTO DI FINANZIAMENTO
È necessario poi valutare la congruità del periodo di conservazione delle informazioni relative ai rapporti di finanziamento - oggetto di innumerevoli segnalazioni di clienti i cui dati sono stati registrati per disguidi od errori, oppure che hanno pagato regolarmente l’importo finanziato o comunque sanato il debito maturato -, che sono attualmente conservati e consultabili nelle "centrali rischi" private per una durata che può arrivare sino a cinque anni.

Risulta sproporzionata la scelta (che risale talvolta ad epoca antecedente all’entrata in vigore della legge n. 675/1996) di conservare in "centrale rischi" per cinque anni tutti i dati, anche quando questi ultimi siano integrati dalla menzione che la sofferenza è venuta meno o che il finanziamento è stato estinto.

Nella prevalenza dei casi tale termine è eccedente rispetto alla finalità perseguita, che non è in questo caso quella di conservare all’interno della società che concede il finanziamento la documentazione contabile inerente al rapporto in corso od estinto, ma di far conoscere a terzi che operano nel settore del credito informazioni relative ad un intero spettro di comportamenti contrattuali del consumatore, spesso ininfluenti ai fini di successivi rapporti (es.: lievi ritardi o contenute morosità sanate senza debiti residui, anche per effetto di un’estinzione anticipata).

La permanenza di tali informazioni, nei contesti appena descritti (specie in quelli dove sono state da tempo definite tutte le pendenze con piena soddisfazione dei diritti del creditore), non è giustificabile in base a mere esigenze di conoscenza prospettate da altri operatori. Ciò in riferimento alla latitudine dell’indicato tempo di conservazione dei dati, agli oneri eventualmente assunti dagli interessati per regolarizzare la propria posizione e alla frequente estinzione del rapporto medesimo.

Va garantita una piena tutela del c.d. diritto all’oblio degli interessati, in considerazione anche delle esperienze applicative della "centrale rischi" gestita dalla Banca d’Italia (che, attualmente, conserva per dodici mesi anche i dati relativi alle c.d. "sofferenze"), nonché di quanto previsto in materia di cancellazione dagli elenchi dei protesti cambiari.

In questa prospettiva va segnalata la necessità che i dati relativi agli eventuali inadempimenti sanati senza perdite, debiti residui o pendenze, siano cancellati dalle "centrali rischi" private, entro un anno dalla data della loro regolarizzazione, se avvenuta nel corso del finanziamento, o comunque dalla data di estinzione, anche anticipata, del rapporto (avvenuta comunque senza perdite, debiti residui o pendenze).

In applicazione del principio di proporzionalità rispetto alle finalità della raccolta e dell’ulteriore trattamento di informazioni di carattere c.d. negativo, e in relazione alle conseguenze pregiudizievoli per gli interessati, va segnalata la necessità di ridurre in ogni caso i tempi di conservazione di dati relativi ad inadempimenti o "sofferenze" ancora pendenti, oppure a debiti solo parzialmente estinti. A tale proposito si ritiene congrua la loro conservazione per la durata del rapporto di finanziamento e comunque non oltre un triennio a decorrere dalla data in cui è risultato necessario il loro ultimo aggiornamento in "centrale rischi".

Ciò tenendo conto delle precipue finalità delle "centrali rischi" private, rispetto al più ridotto termine stabilito dalla Banca d’Italia per la conservazione dei dati relativi alle c.d. "sofferenze" (dodici mesi: v. cap. I, sez. 2, par. 8, Circolare n. 139 dell’11 febbraio 1991) e, comunque, in misura inferiore rispetto al termine di cinque anni previsto, dalle normative in materia di protesti cambiari, per dati relativi a fattispecie destinate a svolgere un ruolo più rilevante nei rapporti commerciali (art. 3-bis, d.l. 18 settembre 1995, n. 381, convertito con modificazioni dall’art. 1, comma 1, l. 15 novembre 1995, n. 480 e art. 11, d.m. 9 agosto 2000, n. 316).

Ulteriori valutazioni in materia potranno essere svolte in sede di redazione del codice di deontologia o di buona condotta previsti in materia dall’art. 20, comma 2, lett. e), d. lg. n. 467/2001.



8. ACCESSO, RETTIFICA E CANCELLAZIONE DEI DATI
Per quanto riguarda le modalità di raccolta e registrazione dei dati nei sistemi informativi, occorre segnalare infine alle società che gestiscono le "centrali rischi" private e a quelle che vi accedono la necessità di un’attenta verifica dei criteri utilizzati e dei controlli volti ad assicurare l’esattezza e l’aggiornamento delle informazioni. Ciò in ragione della circostanza che le "centrali rischi" sono gestite da autonomi titolari del trattamento tenuti all’osservanza dei principi in materia di protezione dei dati personali, a prescindere dall’inerzia o dal ritardo delle banche e delle società finanziarie nell’aggiornare i dati o nel compiere le verifiche chieste dagli interessati.

È necessario garantire un maggior rispetto dei diritti degli interessati anche riguardo alla tempestività ed alla completezza dei riscontri forniti alle richieste presentate ai sensi dell’art. 13 della legge n. 675. Alcuni comportamenti "scorretti" espongono peraltro sia le "centrali rischi", sia le banche e società finanziarie a responsabilità civile derivante dalla violazione dell’art. 9 della legge, anche sul piano dei danni non patrimoniali (art. 29, ultimo comma , legge citata), nonché al rischio di incorrere nel pagamento delle spese dei successivi procedimenti di ricorso al Garante.

Anche sotto questo profilo, appare condivisibile la prassi seguita da alcuni operatori di sospendere la visualizzazione dei dati per il periodo necessario a porre in essere le necessarie verifiche con l’istituto segnalante per fornire compiuto riscontro alle richieste avanzate dall’interessato ai sensi del citato art. 13 .

In particolare va segnalata agli operatori la necessità di fornire riscontro alle richieste degli interessati per quanto riguarda i dati espressi anche in forma di punteggi sul grado di affidabilità o solvibilità degli interessati, ottenuti mediante elaborazioni automatiche ed analisi statistiche (ad esempio, mediante l’utilizzo di programmi informatici di credit scoring, i quali comportano peraltro l’applicazione di metodi di valutazione del rischio più invasivi basati su dati relativi al complessivo profilo del richiedente, alla richiesta presentata e ai pregressi comportamenti in ambito finanziario).

Su tali particolari trattamenti, l’Autorità si riserva di svolgere una successiva verifica, così come per le richieste di integrazione dei dati volte a far precisare che il debito consegue ad un grave inadempimento di una controparte (ad esempio legato ai difetti del bene acquistato).

Fermo restando il pieno rispetto da parte degli operatori dei richiamati principi in tema di esattezza, aggiornamento e completezza dei dati personali, taluni profili derivanti dall’intreccio delle informazioni relative a richieste o a rapporti di finanziamento con dati di altro tipo (estratti, in particolare, da registri delle conservatorie immobiliari, registri delle imprese o dei protesti, elenchi telefonici) saranno oggetto di valutazione più specifica nei lavori relativi ai codici deontologici previsti dal d.lg. n. 467/2001 (v., in particolare, il relativo art. 20, comma 2, lettere e) ed f)).


PER QUESTI MOTIVI, IL GARANTE:

a) segnala ai sensi dell’art. 31, comma 1, lett. c), della legge n. 675/1996, ai soggetti che gestiscono sistemi informativi di rilevazione dei rischi creditizi e alle società, banche o istituti finanziari che aderiscono ai relativi circuiti, di cui all’elenco in atti, la necessità di conformare il trattamento dei dati personali svolto in tali ambiti ai principi della legge n. 675/1996 nei termini indicati in motivazione, fornendo entro il 15 dicembre 2002 all’Ufficio del Garante dettagliate notizie circa le prime misure adottate nelle more del previsto codice di deontologia e di buona condotta;b) dispone che copia del presente provvedimento sia trasmessa per conoscenza agli organismi pubblici e privati interessati in ambito bancario e finanziario.

 

Roma, 31 luglio 2002

IL PRESIDENTE
Rodotà

IL RELATORE
Rodotà

IL SEGRETARIO GENERALE
Buttarelli