I - Stato di attuazione della legge n. 675/1996 - Settore del credito, finanziario ed assicurativo - Relazione 2002

Settore del credito, finanziario ed assicurativo

31. Istituti di credito
Il settore in esame è stato al centro, anche nel 2002, dell´attenzione di consumatori e delle relative associazioni, nonché di imprenditori e professionisti, che spesso si sono rivolti all´Autorità per far chiarire delicati aspetti relativi alla raccolta, al trattamento e alla comunicazione dei dati che li riguardano, alla luce di un quadro normativo, quale quello bancario e finanziario, particolarmente complesso ed in fase di continua evoluzione, anche per le novità ed i servizi resi possibili dal rapido avanzarsi delle nuove tecnologie (cfr. Relazione 2001, p. 60).

Risulta anzitutto confermato il dato del progressivo aumento delle segnalazioni e delle istanze presentate da clienti degli istituti di credito avverso le violazioni delle norme poste a tutela della riservatezza nei rapporti bancari c.d. on-line, relativamente alla divulgazione a persone estranee di informazioni su proprie operazioni, conti od investimenti.

In proposito, è stato assunto un primo provvedimento in relazione al caso verificatosi nell´e-banking, riguardante il cliente di una banca on-line che, attraverso Internet, ha consultato non solo i dati del suo conto corrente, ma anche quelli di altri clienti della banca. L´interessato ha presentato ricorso al Garante che ha poi, nell´ambito di un distinto procedimento, svolto un accertamento sul sistema informatico della banca allo scopo di verificare i sistemi di sicurezza adottati dall´istituto di credito e il loro grado di affidabilità riguardo alla tutela della riservatezza dei dati personali della clientela (Provv. 11 novembre 2002). È imminente l´adozione del provvedimento conclusivo del secondo procedimento.

Nel settore del credito si registra un aumento di reclami anche in riferimento a temi più tradizionali, quali quelli del rispetto del c.d. segreto bancario, dell´accesso da parte di eredi ai dati relativi a rapporti bancari e finanziari di defunti e della richiesta o dell´acquisizione di documenti di riconoscimento e di altre informazioni da parte delle banche, in correlazione alla presentazione di assegni per il pagamento, al cambio di valuta o all´esecuzione di altre operazioni.

In un caso il Garante è intervenuto ricordando che il diritto di accesso ai dati personali di un defunto può essere esercitato da chiunque vi abbia interesse (art. 13, l. n. 675/1996). Nel caso specifico della richiesta di accesso avanzata dall´erede, è stato riconosciuto il diritto ad ottenere tutte le informazioni di carattere personale relative al defunto, detenute da un istituto di credito, con particolare riferimento ai movimenti bancari compiuti dai cointestatari su alcuni depositi del parente deceduto, estinti dopo la sua morte (Provv. 3 aprile 2002)

Nell´ambito delle diverse iniziative dell´Autorità sul tema dei trattamenti di dati nel settore del credito sono da ricordare inoltre:

• la decisione, adottata nell´ambito di un ricorso, con la quale l´Autorità ha censurato il comportamento di una banca che inviava materiale pubblicitario nonostante la volontà contraria del cliente. Nel caso in esame era emerso che il cliente, al momento della sottoscrizione dei modelli di informativa e consenso, aveva manifestato la propria contrarietà all´utilizzo dei dati personali per fini di informazione commerciale, ricerche di mercato ed offerte di prodotti o servizi, ed aveva poi ribadito tale richiesta. Il comportamento della banca, che non avrebbe dovuto inviare materiale promozionale, è risultato illegittimo e l´Autorità ha disposto che copia degli atti fosse inviata all´autorità giudiziaria per valutare se l´istituto di credito fosse incorso nel reato di trattamento illecito di dati personali (art. 35 legge n. 675/1996), punito con la reclusione fino ad un massimo di tre anni (Provv. 17 aprile 2002);
• la decisione con la quale l´Autorità, accogliendo il ricorso di un cittadino, ha statuito che alcune informazioni -contenute nella segnalazione di blocco della sua carta di credito trasmessa dalla banca ad una società- venissero rettificate, come richiesto, perché basate su motivazioni (morosità e rifiuto di riconsegnare la carta) non rispondenti al vero. Dopo l´invito del Garante ad aderire alle istanze del cliente, la banca aveva trasmesso a quest´ultimo la documentazione richiesta, ma aveva affermato di non poter rettificare i dati riferiti al blocco della carta di credito, in quanto tali annotazioni presupponevano una diversa valutazione di situazioni di fatto che erano oggetto di contenzioso presso l´autorità giudiziaria. Sosteneva anche che il ricorso dovesse essere dichiarato inammissibile proprio con riguardo ai procedimenti giudiziari pendenti. Nel decidere sul ricorso il Garante ha respinto tale l´eccezione di inammissibilità proposta dalla banca in quanto i procedimenti pendenti presso il giudice ordinario riguardavano una domanda su profili diversi (in particolare una controversia per risarcimento danni) e non vertevano, quindi, sul medesimo oggetto del ricorso avviato innanzi all´Autorità;
• la decisione sul ricorso di un cliente di una banca che si è opposto al trattamento dei propri dati personali nella parte riguardante l´eventuale ed ulteriore comunicazione illecita al coniuge ed utilizzate nel procedimento di separazione giudiziale. Con riferimento all´attuale utilizzo delle informazioni acquisite illecitamente dal coniuge del ricorrente nel procedimento di separazione giudiziale, è stato disposto l´invio della decisione del Garante al tribunale, per le valutazioni di competenza (Provv. 17 settembre 2002).

In merito, poi, alla questione relativa alla richiesta di documenti di riconoscimento da parte di banche, sono stati avviati, nel corso di quest´anno, accertamenti per specifici casi. In considerazione del rilevante numero di segnalazioni giunte all´Autorità su tale argomento, nei prossimi mesi l´Autorità intende completare una valutazione più approfondita per fornire precise indicazioni sulla corretta applicazione della legge n. 675/1996.

Ulteriore fonte di intensa attività è risultato l´esame delle numerose richieste di esonero dall´obbligo di informativa agli interessati in materia di cartolarizzazione dei crediti, formulate con riferimento al provvedimento di carattere generale adottato il 4 aprile 2001, che ha autorizzato le società che svolgono tali operazioni ad effettuare l´informativa in forma semplificata, attraverso le modalità alternative della sua pubblicazione in G.U. ed in alcuni giornali nazionali e, ove previsto, locali.

Sono, inoltre, pervenute di recente alcune segnalazioni nelle quali clienti di una banca hanno lamentato di essere venuti a conoscenza solo attraverso i mezzi di informazione che le agenzie presso le quali sono titolari di un rapporto di conto corrente bancario sono state cedute ad un´altra banca. Le suddette segnalazioni, che riguardano il tema relativo alla cessione a banche di rapporti giuridici individuali in blocco (ai sensi dell´art. 58 del decreto legislativo n. 385/1993), saranno esaminate in relazione ai diversi profili di privacy che possono emergere in collegamento a questa tipologia di operazioni finanziarie.

In relazione alla semplificazione degli adempimenti nel settore bancario e finanziario, va da ultimo sottolineata l´importanza delle recenti modifiche introdotte dal decreto legislativo n. 467/2001, soprattutto per ciò che attiene alla previsione di nuovi casi che rendono superfluo il consenso anche per operazioni di comunicazione di dati personali strumentali all´esecuzione di obblighi contrattuali. Ciò dovrebbe comportare la risoluzione dell´annoso problema della mancata restituzione da parte di diversi clienti dei moduli che gli istituti di credito avevano inviato anche alla clientela acquisita prima dell´entrata in vigore della legge n. 675/1996, allo scopo di legittimare ordinarie attività connesse all´esecuzione di servizi bancari o comunque di prestazioni contrattuali, per le quali risulti indispensabile comunicare i dati ad altre banche, istituti finanziari o società che collaborano con i medesimi istituti.

I rilevanti riflessi delle recenti modifiche sui settori in esame, anche per quanto riguarda la modulistica distribuita dagli operatori, potranno essere meglio valutati anche sulla base della complessiva attività cui dovrà attendere il Garante nei prossimi mesi, con riferimento non solo ai nuovi presupposti equipollenti al consenso ed all´attuazione del principio del cd. bilanciamento di interessi, ma anche all´individuazione di accorgimenti specifici per i trattamenti di dati particolari e all´esercizio dei poteri di verifica preliminare di determinate utilizzazioni delle informazioni.

32. Intermediazione finanziaria
In relazione al settore del credito e della finanza, meritano un cenno a parte le questioni relative alla tutela dei dati personali nell´ambito delle attività di intermediazione finanziaria, incentrate, per diversi aspetti, sulla raccolta, sul trattamento e sullo scambio di informazioni relative sia agli investitori, sia alle società che operano nei mercati finanziari. Tali attività stanno infatti subendo, nel corso di questi ultimi anni, una significativa trasformazione a causa della rapida diffusione anche in Italia delle reti telematiche e delle tecnologie della comunicazione e dell´informazione.

Sotto questo profilo, emerge evidente la preoccupazione dei clienti degli operatori e intermediari finanziari (banche, SIM, ecc.) per i delicati problemi della sicurezza e della riservatezza dei dati trasmessi, registrati o memorizzati elettronicamente, derivanti da servizi che permettono ai clienti di acquisire informazioni o effettuare investimenti tramite Internet (il c.d. trading on-line).

Oltre al descritto caso, nel paragrafo precedente, relativo al c.d. e-banking, il Garante ha esaminato una questione riguardante l´accesso del cliente di una banca ai dati contenuti nelle registrazioni delle telefonate, con le quali l´interessato aveva ordinato l´acquisto o la vendita di titoli e pacchetti azionari (Provv. 19 giugno 2002).

Nel caso sottoposto all´Autorità, il cliente aveva chiesto all´istituto di credito di accedere al contenuto delle registrazioni, laddove ancora conservate, di alcune telefonate effettuate nel corso del 1999, senza, tuttavia, ricevere da questa riscontro alla propria richiesta.

L´istituto bancario, su invito formulato dal Garante, ha fornito le informazioni richieste, dichiarando, però, che le registrazioni magnetiche degli ordini e delle autorizzazioni erano conservate, come previsto dalla vigente normativa, per almeno due anni. Pertanto, ogni registrazione attinente al periodo indicato dall´interessato non era più conservata presso l´istituto di credito, il quale aveva detenuto i dati per il solo periodo temporale previsto e non era più in possesso di tali informazioni.

Un argomento rilevante per il numero di casi segnalati al Garante riguarda il comportamento di promotori o intermediari finanziari per ciò che attiene al trattamento e alla divulgazione dei dati della clientela nell´ambito di servizi di distribuzione di prodotti finanziari bancari o assicurativi.

L´Ufficio del Garante terminerà prossimamente l´esame dei casi rappresentati da alcuni investitori i quali hanno segnalato di non aver ricevuto informazioni o di non aver autorizzato la cessione dei dati che li riguardano a consulenti di fiducia o collaboratori delle banche o delle società di intermediazione mobiliare cui si erano rivolti per i propri investimenti (ad esempio, nuovi promotori in sostituzione dei precedenti).

Va anche ricordato il parere rilasciato dal Garante in merito ad un quesito riguardante alcune proposte di modifiche regolamentari che la società di gestione della Borsa ha introdotto, sulla base delle determinazioni della Commissione di vigilanza, per assicurare una maggiore diffusione di informazioni concernenti operazioni mobiliari compiute da manager di società quotate, relative alle medesime società o a loro controllate. Il Garante ha evidenziato che la comunicazione di informazioni relative al controvalore e alle date degli scambi azionari e finanziari operati dagli amministratori, direttori generali o sindaci delle predette società non contrasta, in termini generali, con i principi stabiliti dalla legge n. 675, mentre spetta alla Consob verificare la loro conformità alla normativa italiana e comunitaria del settore e valutarne l´idoneità ad assicurare la trasparenza del mercato, l´ordinato svolgimento delle negoziazioni e la tutela degli investitori.

Le disposizioni sottoposte al vaglio del Garante prevedevano l´obbligo per le società quotate di comunicare periodicamente o, a seconda della rilevanza, tempestivamente le operazioni finanziarie eseguite da soggetti che, per i loro incarichi societari, hanno accesso a particolari informazioni (dette privilegiate o "price sensitive"), oppure effettuate da loro stretti familiari o per il tramite di fiduciari od interposte persone. Ogni società è tenuta, in proposito, ad adottare un codice di comportamento che identifichi le cosiddette "persone rilevanti" al proprio interno (coloro che le amministrano, dirigono o vigilano) e che richieda loro di comunicare le informazioni relative a tali operazioni, in modo da permettere alle società di divulgarle al pubblico dei risparmiatori attraverso gli strumenti informatici messi a disposizione dalla Borsa.

Le informazioni oggetto di diffusione si riferiscono nominativamente agli amministratori, ai direttori generali, ai sindaci, etc., e non agli eventuali terzi attraverso i quali vengono effettuate le operazioni (che non vengono identificati e che non hanno alcun diretto obbligo informativo nei confronti delle società emittenti). I trattamenti di dati personali che ne deriverebbero -ha chiarito il Garante- sono apparsi, quindi, conformi al principio di pertinenza e non eccedenza dei dati (art. 9 legge n. 675/1996), essendo riferiti soltanto ai dati anagrafici delle "persone rilevanti", nonché alla data, alla tipologia ed al controvalore delle operazioni mobiliari (Provv. 5 giugno 2002).

L´Autorità ha, inoltre, affrontato il delicato problema del ruolo che verranno a svolgere i codici di comportamento nei confronti degli esponenti delle società emittenti, avendo osservato che, qualora le regole di comportamento concretamente adottate non siano lasciate alla spontanea adesione ed osservanza da parte dei destinatari, ma siano per loro nella sostanza cogenti, in quanto rientranti nei più generali doveri, responsabilità ed impegni assunti nei rispettivi rapporti societari, i dati delle "persone rilevanti" potrebbero essere acquisiti e diffusi senza raccogliere il loro consenso, poiché questi trattamenti rientrerebbero tra quelli necessari per l´adempimento di obblighi informativi divenuti giuridicamente vincolanti anche per gli interessati (legge n. 675/1996).

33. Centrali rischi e società finanziarie
Nel 2002 si è registrato un ulteriore, significativo incremento di ricorsi, segnalazioni e reclami presentati da cittadini, imprese ed associazioni di consumatori, nei confronti di banche e società finanziarie, nonché delle c.d. "centrali rischi" private, ossia delle società che gestiscono sistemi informativi di rilevazione dei rischi creditizi, di cui nel corso di questi ultimi anni il Garante si è più volte occupato, come evidenziato nelle precedenti relazioni.

Al riguardo, l´Autorità è fra l´altro intervenuta (Provv. 6 giugno 2002) nell´ambito di un procedimento ai sensi dell´art. 29 della l. n. 675/1996, decidendo sul ricorso di un interessato che lamentava l´inerzia della società alla quale si era rivolto chiedendo di cancellare e di non diffondere ulteriormente, senza il proprio consenso, alcune informazioni che lo riguardavano, relative ad operazioni di finanziamento personale detenute nella banca dati della centrale rischi. Veniva infatti ritenuto dal ricorrente che la diffusione di queste informazioni fosse la causa del rifiuto, senza motivazione, della concessione di altri piccoli prestiti o fidi da parte di alcuni istituti bancari. Con la decisione l´Autorità ha affermato che la centrale rischi privata che conserva e diffonde nel circuito bancario e finanziario informazioni relative a prestiti richiesti e non concessi, oppure oggetto di rinuncia da parte dello stesso richiedente, agisce in violazione delle disposizioni in materia di protezione dei dati personali.

In considerazione della rilevanza assunta da tale tematica, il Garante aveva ritenuto necessario, alla fine del 2001 (Relazione 2001 p. 67 ), avviare un´indagine approfondita anche attraverso richieste di informazioni ed incontri con gli operatori del settore e con le relative associazioni di categoria, così da poter fornire alcune indicazioni e chiarimenti per una corretta applicazione delle norme sulla tutela dei dati personali da parte dei soggetti che gestiscono le centrali rischi, eliminando larga parte del contenzioso esistente con gli interessati.

A conclusione della suddetta indagine il Garante ha adottato un provvedimento di carattere generale (Provv. 31 luglio 2002) che riassume l´orientamento già espresso in materia nei numerosi provvedimenti emessi da questa Autorità, ed individua alcune condizioni per la raccolta, la conservazione e l´uso delle informazioni presenti nei sistemi informativi di rilevazione dei rischi creditizi, anche in vista del codice deontologico la cui sottoscrizione è stata promossa dal Garante con deliberazione del 10 aprile 2002.

Le finanziarie e le banche si rivolgono alle "centrali rischi" per valutare le richieste di finanziamento presentate dai clienti, soprattutto nel settore del credito al consumo e alle famiglie (relativi ai beni di largo consumo, come, ad esempio, elettrodomestici, telefoni cellulari, computer, automobili, etc.), obbligandosi, anche sulla base di regolamenti consortili ed accordi associativi, a comunicare, con sistematicità, i dati relativi a coloro che li richiedono.

Le "centrali rischi" private possono essere connotate come banche dati "negative" (che registrano solo dati personali relativi a morosità, segnalazioni di sofferenze o esistenza di azioni legali, procedure concorsuali o cessioni del credito a terzi), mentre la maggior parte delle "centrali rischi" operanti in Italia gestiscono banche dati di tipo positivo/negativo, cioè raccolgono informazioni sul rapporto di finanziamento a partire dalla richiesta dell´interessato, indipendentemente dall´esistenza di inadempimenti.

A differenza del servizio di centralizzazione dei rischi della Banca d´Italia o dell´archivio di recente istituzione a cura del medesimo Istituto relativo alla rilevazione dei rischi di importo contenuto, nel nostro ordinamento manca una specifica normativa di riferimento che disciplini le attività svolte dai soggetti privati che gestiscono i descritti sistemi informativi.

Al fine di giustificare la comunicazione dei dati relativi al finanziamento da parte dell´istituto bancario o finanziario alle "centrali rischi" private, e la successiva utilizzazione degli stessi dati da parte di queste ultime, gli operatori del settore hanno inserito nella modulistica contrattuale clausole di informativa agli interessati e di richiesta del consenso al trattamento di dati personali. Tuttavia, la questione relativa alla liceità delle prassi contrattuali finora seguite dagli operatori, non è stata affrontata nel predetto provvedimento del 31 luglio 2002, meritando un approfondimento in altra sede, alla luce del quadro normativo introdotto, mentre l´indagine era in corso, dal d.lg. n. 467/2001.

Nel provvedimento generale sono stati invece esaminati diversi profili relativi alle attività di raccolta, conservazione e trattamento di dati personali presenti nei circuiti privati di rilevazione dei rischi creditizi.

In particolare gli operatori sono stati richiamati a fornire ai clienti indicazioni precise sugli estremi identificativi delle "centrali rischi" alle quali i dati vengono trasmessi, nonché sugli scopi e sulle modalità di raccolta, registrazione e circolazione dei dati, in modo da garantire piena comprensione da parte degli interessati di questi diversi aspetti.

È stato poi ricordato che i dati così raccolti possono essere trattati solo in stretta relazione con l´istruttoria di una richiesta di finanziamento e che, pertanto, è illecita l´utilizzazione da parte di banche e finanziarie delle informazioni presenti nelle "centrali rischi" per scopi ulteriori o comunque estranei all´attività di rilascio o gestione dei finanziamenti, ad esempio, per scopi collegati ad attività di marketing.

L´Autorità ha, altresì, ribadito l´esigenza di assicurare riscontro immediato e completo alle richieste di accesso, rettifica e cancellazione dei dati da parte degli interessati, in modo da garantire un maggiore rispetto dei relativi diritti, tenuto conto che alcuni comportamenti "scorretti" espongono sia le "centrali rischi", sia le banche e le finanziarie a responsabilità civile, anche sul piano dei danni non patrimoniali. Al riguardo è stata considerata opportuna la prassi, seguita da alcuni operatori, di sospendere la visualizzazione dei dati per il periodo necessario ad effettuare le verifiche con l´istituto bancario o finanziario al fine di fornire riscontro alle richieste degli interessati.

Riguardo ai problemi, più sentiti dai consumatori, della registrazione e della comunicazione dei dati relativi alle morosità nei pagamenti, il Garante ha chiesto di uniformare i criteri seguiti nei vari circuiti informativi per la segnalazione dei ritardi di pagamento delle rate scadute, tenendo conto della reale gravità degli inadempimenti, in modo tale da non arrecare pregiudizi ingiustificati ai diritti degli interessati.

Le attuali modalità di gestione dei sistemi privati di rilevazione dei rischi creditizi, infatti, non sempre permettono di distinguere adeguatamente tra eventi da considerare fisiologici in un rapporto destinato a svolgersi nel tempo (ma che non incidono sull´affidabilità e solvibilità della clientela) e situazioni più critiche relative a inadempienze gravi e reiterate.

Per ciò che attiene, poi, alla segnalazione delle c.d. morosità alle "centrali rischi", l´Autorità ha segnalato di effettuarle solo in caso di mancato pagamento di somme consistenti, di più rate o di gravi ritardi (specialmente quando si tratta di finanziamenti di basso importo con rate di modesta entità) e a prevedere soglie temporali minime o di più rate cumulate (ad esempio per ritardi di almeno quattro mesi o di quattro rate, secondo la prassi già seguita da alcuni operatori), in modo da evitare che la comunicazione di mancati pagamenti avvenga quando ciò sia causato da anomalie o disguidi postali e bancari, non sempre imputabili agli interessati.

È stato, inoltre, segnalato alle banche ed alle società finanziarie, prima di effettuare la segnalazione della morosità alla centrale rischi, di dare, comunque, un preavviso agli interessati affinché possano eventualmente intervenire.

Particolare attenzione è stata rivolta alla necessità di riconsiderare la congruità del tempo di conservazione delle informazioni di carattere negativo relative ai rapporti di finanziamento. In molti casi sottoposti all´attenzione del Garante tale termine è risultato eccedente rispetto alla finalità perseguita. L´obiettivo è, in sostanza, quello di evitare che l´ingiustificata presenza nelle banche dati delle "centrali rischi" di un´ampia quantità di dati non sempre o non più significativi (lievi morosità successivamente sanate, brevi ritardi nei pagamenti poi regolarmente effettuati ecc.) possa determinare effetti pregiudizievoli per gli interessati, anche in relazione alla possibilità di avere poi accesso a nuovi crediti.

L´Autorità non ha ritenuto poi giustificata la conservazione da parte delle "centrali rischi" dei dati di coloro ai quali non è stato concesso un finanziamento o che vi hanno rinunciato, in considerazione del fatto che il rapporto di finanziamento non si è instaurato o si è comunque interrotto ad uno stadio che non legittima una successiva utilizzazione dei dati, (spesso, peraltro, il rifiuto di concedere finanziamenti deriva da valutazioni discrezionali di banche e finanziarie o da politiche contrattuali piuttosto che dall´inaffidabilità del cliente).

Terminato il periodo necessario per l´istruttoria delle richieste di finanziamento (che può avere, comunque, una durata massima di sei mesi), i dati relativi alla richiesta non accolta o oggetto di rinuncia devono essere cancellati dalla "centrale rischi" entro un mese anziché essere conservati, come avveniva in alcuni casi, per un anno.

Sempre in merito ai tempi di conservazione, è stato, infine, rilevato che è sproporzionata la scelta, già in uso, di conservare per cinque anni tutti i dati acquisiti, anche nel caso in cui la sofferenza sia venuta meno o il finanziamento sia stato estinto, poiché deve essere garantita la piena tutela del cosiddetto "diritto all´oblio" degli interessati, anche in considerazione delle evoluzioni della recente normativa italiana, in tema di correttezza nei pagamenti e nell´adempimento delle obbligazioni pecuniarie (relative, oltre alle esperienze applicative della "centrale rischi" della Banca d´Italia, ai registri informatici dei protesti cambiari ed all´archivio informatico degli assegni e delle carte di pagamento).

Il provvedimento adottato prevede, pertanto, che i dati relativi agli eventuali ritardi nei pagamenti, poi completamente sanati, devono essere cancellati entro un anno dalla data della loro regolarizzazione o comunque dalla data di estinzione del rapporto di finanziamento.

In applicazione, poi, del principio di proporzionalità rispetto alle finalità della raccolta e dell´ulteriore trattamento dei dati, ed in relazione alle conseguenze pregiudizievoli per gli interessati, il provvedimento segnala, anche, la necessità di ridurre in ogni caso i tempi di conservazione dei dati relativi ad inadempimenti o "sofferenze" ancora pendenti o solo parzialmente estinti, ritenendo congrua la loro conservazione per la durata del rapporto di finanziamento e, comunque, non oltre tre anni dalla data dell´ultimo aggiornamento in centrale rischi.

Il provvedimento è stato comunicato ai soggetti che gestiscono sistemi informativi di rilevazione dei rischi creditizi e alle società, banche o istituti finanziari che aderiscono ai relativi circuiti, ai quali è stato chiesto di fornire, entro il termine indicato (15 dicembre 2002) notizie sulle prime misure adottate per tutelare i consumatori in relazione anche al codice deontologico in fase di elaborazione.

Successivamente, sono stati avviati prontamente gli ulteriori lavori preparatori per il codice di deontologia in materia, considerato dall´Autorità prioritario nell´ambito del programma di lavoro per il 2003, con l´obiettivo di giungere ad uno schema consolidato di codice entro il mese di maggio del 2003.

34. Registro dei protesti
Le novità introdotte dalla normativa in materia di conservazione nel tempo dei dati sui protesti (legge n. 235/2000) tengono in qualche modo conto, con soluzioni specifiche, dei diritti delle persone protestate. Accanto, infatti, alla disposizione secondo la quale ogni protesto deve essere conservato per cinque anni nel registro informatico dal momento della sua iscrizione, sono stati disciplinati casi per i quali è invece prevista la cancellazione: si tratta di quelli in cui gli interessati hanno adempiuto ai propri obblighi o sono stati riabilitati, in base alle modalità stabilite dalla legge, o iscritti per errore nel registro.

La predetta legge del 2000 ha fissato le modalità di tenuta del registro informatico con l´obiettivo di assicurare un´informazione completa e tempestiva su tutto il territorio nazionale anche, ed in particolare, per quanto riguarda la durata temporale per la messa a disposizione delle informazioni al pubblico.

Il Garante, accogliendo il ricorso di un cittadino che lamentava di non aver avuto positivo riscontro alla richiesta di cancellazione di dati personali relativamente a un protesto, rivolta ad una società alla quale aveva chiesto un finanziamento, ha statuito che quando è stata sanata tempestivamente la posizione debitoria o è stata dimostrata l´illegittimità o l´erroneità del provvedimento, i dati devono essere cancellati dal registro informatico dei protesti e si deve essere considerati a tutti gli effetti come mai iscritti. Analoga procedura deve essere adottata per i soggetti riabilitati.

Nel caso esaminato, a causa della perdurante iscrizione in un archivio "parallelo", era stato negato al ricorrente il finanziamento. Il protesto, elevato per il mancato pagamento di alcuni effetti cambiari, pur non risultando da visura effettuata presso la camera di commercio, era annotato in un´altra banca dati privata consultata dalla finanziaria.

È stato, pertanto, stabilito che i dati relativi al protesto devono essere cancellati non solo dal registro istituito dalla legge, ma da ogni banca dati parallela, anche privata, consultabile da terzi e in primo luogo dalle società che erogano finanziamenti.

Il ricorso esaminato si inserisce in questo contesto normativo che non può essere eluso immagazzinando i dati in altri archivi. Contesto che è anzi rafforzato dalla legge n. 675/1996, la quale dispone la cancellazione di informazioni, anche esatte, per le quali non è più giustificata la conservazione rispetto alle finalità perseguite. L´interessato ha potuto quindi beneficiare della cancellazione dei dati conservati presso la finanziaria. Una volta riabilitato, infatti, i dati erano stati cancellati dal bollettino dei protesti, ma erano ancora conservati da banche dati private. Banche dati che, peraltro, non avevano neanche indicato, come prescritto, a quale data fossero aggiornate le informazioni in loro possesso (Provv. 7 febbraio 2002).

35. Raccolte di dati in ambito assicurativo e banca dati Isvap
La novità più rilevante nel settore assicurativo, per i suoi effetti in materia di protezione dei dati personali, è costituita dalla recente adozione da parte dell´ISVAP del provvedimento  di attuazione della disciplina delle procedure e delle modalità di funzionamento, nonché delle modalità e dei limiti di accesso alle informazioni raccolte dalla banca dati dei sinistri relativi all´assicurazione obbligatoria della responsabilità civile per i veicoli a motore immatricolati in Italia (Provv. n. 2179 del 10/3/2003, pubblicato sulla G.U. n. 63 del 17 marzo 2003).

Come ricordato nella relazione dello scorso anno (p. 64), in tale banca dati sono inseriti mensilmente, dalle imprese di assicurazioni, i dati relativi a ciascun sinistro avvenuto del quale le stesse ricevono denuncia o richiesta di risarcimento.

In considerazione dei rilevanti effetti che essa produce nella sfera privata e personale di ogni cittadino, la messa in opera della banca dati sinistri ha reso necessaria un´intensa attività di cooperazione istituzionale tra l´ISVAP ed il Garante, per individuare garanzie e soluzioni funzionali, organizzative, procedurali e tecniche idonee per contemperare l´esigenza di assicurare l´efficacia del sistema informativo in relazione al contrasto delle frodi assicurative con la necessità di mantenere un elevato livello di tutela dei diritti fondamentali delle persone coinvolte nei sinistri e le cui informazioni sono registrate in banca dati.

Grazie al positivo rapporto tra le due autorità sono state individuate e stabilite alcune importanti garanzie circa le informazioni che possono essere registrate nella banca dati e i soggetti che possono accedervi. Sono stati, inoltre, definiti alcuni principi relativi ai tempi di conservazione e visibilità dei dati, nonché i limiti, i presupposti e le forme per la consultazione dei dati stessi (con particolare attenzione a quelli sensibili). Sono state altresì disciplinate le attività di verifica da parte dell´ISVAP sulle imprese in relazione al rispetto delle prescrizioni impartite nel provvedimento, le misure di sicurezza e le modalità per assicurare il diritto di accesso agli interessati.

È stato infine stabilito che l´ISVAP chieda il parere del Garante anche per le convenzioni che dovranno determinare le modalità tecniche di accesso alla banca dati da parte di organi giudiziari e forze di polizia per le finalità di giustizia penale.

Nel corso dell´anno sono stati evidenziati all´Autorità, anche da parte dell´ANIA, altri problemi riguardanti l´applicazione della disciplina sulla protezione dei dati personali nell´ambito del settore assicurativo, anche alla luce delle modifiche introdotte dal d.lg. n. 467/2001 e in prospettiva dell´elaborazione del testo unico.

In particolare, è emersa l´esigenza già sottolineata (v. Relazione 2001, p. 64), di predisporre per le assicurazioni un modello semplificato per l´informativa agli interessati e per la raccolta del consenso, che tenga conto della molteplicità di trattamenti di dati personali, anche sanitari, posti in essere da società assicurative e da altre categorie di soggetti (agenti, periti legali, autofficine; società di servizi postali, informatici) partecipanti alla c.d. "catena" assicurativa.

L´esame complessivo del settore rende peraltro opportuno tener conto dello sviluppo di una realtà in continua crescita, relativa alle reti di distribuzione di servizi e prodotti assicurativi integrati a quelli bancari e finanziari, anche attraverso modalità di offerta fuori sede e uso di tecniche di comunicazione a distanza (in relazione ai quali dovrà essere recepita a breve in Italia la specifica direttiva 2002/65/CE del 23 settembre 2002 sulla commercializzazione a distanza dei servizi finanziari).

L´aspetto più problematico delle attività assicurative è collegato, comunque, al trattamento di dati sensibili, al quale il Garante ha sempre dedicato particolare attenzione, anche attraverso le autorizzazioni generali rinnovate il 31 gennaio 2002 (in particolare per le assicurazioni v. autorizzazioni nn. 2/2002, par. 1.2, lett. e), e 5/2002, capo I).

Nel corso dell´anno sono poi pervenute al Garante alcune segnalazioni nelle quali si lamenta che le compagnie di assicurazioni, per procedere al risarcimento di danni o al rimborso di spese mediche, chiedono copia delle cartelle cliniche degli assicurati. Al riguardo è stato evidenziato che le autorizzazioni generali in tema di trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale e di trattamento dei dati sensibili da parte di diverse categorie di titolari, sono state rilasciate anche nei confronti delle società di assicurazioni per il trattamento dei soli dati ed operazioni realmente indispensabili per fornire specifici beni, prestazioni o servizi richiesti dall´interessato (cfr. paragrafo 1), punto 1.1, lett. e), autorizzazione n. 2/2002, e capo I, punto 1), lett. a) e punto 3), autorizzazione n. 5/2002).

Alla luce di tale previsione, l´Autorità ha ritenuto, in passato, che possono risultare giustificati alcuni trattamenti di dati relativi alla salute degli assicurati effettuati da società di assicurazione al fine della gestione e dell´esecuzione di polizze infortuni e malattie. Tra questi trattamenti può rientrare anche la raccolta di dati contenuti nelle cartelle cliniche degli assicurati, quando tali dati sono effettivamente indispensabili in tutto o in parte per fornire le specifiche prestazioni richieste dagli interessati con questa tipologia di contratti (es. attività di accertamento dei sinistri denunciati e di rimborso delle spese mediche sostenute dall´assicurato).

Questo tema sarà, tuttavia, oggetto di un necessario ulteriore approfondimento da parte dell´Autorità al fine di fornire alcune indicazioni più specifiche su presupposti, finalità e modalità della raccolta e del trattamento dei dati sanitari contenuti nelle cartelle cliniche, ed in altri documenti e certificazioni, richieste da compagnie di assicurazioni per il risarcimento di sinistri o il rimborso di spese mediche, ed evitare l´impropria richiesta a tappeto di dati e documenti esuberanti rispetto alle finalità da perseguire.

Nell´ambito del settore delle assicurazioni, rimangono sul tappeto altri problemi interpretativi legati all´accesso, da parte di clienti o di terzi danneggiati, a perizie medico-legali predisposte dai medici di fiducia delle compagnie assicurative, in relazione a richieste di risarcimento dei danni ed alla liquidazione dei sinistri (sia per le assicurazioni auto, sia per le polizze sanitarie).

Il delicato rapporto tra la protezione dei dati personali e le finalità assicurative delle imprese è stato infine oggetto di una raccomandazione del Consiglio d´Europa approvata il 18 settembre 2002 sulla protezione dei dati personali raccolti e trattati per scopi assicurativi. È un documento al quale gli esperti del Consiglio hanno lavorato per quasi 12 anni, a partire dal novembre 1990, e che rappresenta un importante contributo in un settore di grande complessità che tocca direttamente gli interessi della quasi totalità dei cittadini. La Raccomandazione si fonda sui principi fissati dalla Convenzione n. 108/1981 del Consiglio d´Europa, relativa alla protezione delle persone fisiche rispetto al trattamento di dati personali, ma tiene conto anche degli sviluppi nel frattempo intercorsi ed, in particolare, dei principi sanciti dalla direttiva europea in materia di protezione dei dati personali (95/46/CE). La Raccomandazione non riguarda i trattamenti effettuati per scopi di previdenza sociale, oggetto di una specifica raccomandazione che il Consiglio d´Europa aveva elaborato nel 1986 (Raccomandazione R(86) 1); tuttavia, lascia gli Stati membri liberi di decidere se estendere l´applicazione dei principi di questa più recente raccomandazione anche a tali trattamenti.

I principi contenuti nella Raccomandazione non hanno un carattere direttamente vincolante, ma, potrebbero essere oggetto di opportuna considerazione per le future iniziative del legislatore e del Garante, come già avvenuto per le altre Raccomandazioni del Consiglio d´Europa.

36. Perizie medico-legali
Nell´ultimo anno di attività sono stati presentati solo alcuni ricorsi in relazione allo specifico trattamento dei dati personali nel settore assicurativo; si è quindi confermata quella tendenza ad un diverso atteggiamento da parte dei destinatari di tali richieste, con riguardo alle istanze avanzate dall´interessato ai sensi dell´art. 13 l. n. 675/1996, volte a conoscere le informazioni a carattere personale contenute nei documenti redatti dal medico fiduciario delle società assicurative a seguito di un sinistro (cd. perizie medico-legali). A tale diverso atteggiamento sembrano aver contribuito anche gli approfondimenti che l´Autorità ha sviluppato e sta sviluppando sulla definizione di "dato personale" e la Raccomandazione sui dati valutativi dei dipendenti predisposta del Gruppo dei Garanti europei il 22 marzo 2001.

Nelle cd. perizie medico-legali predisposte dal medico fiduciario delle diverse compagnie di assicurazioni, compaiono accanto ai dati personali più "comuni" quali quelli anagrafici, altri dati personali inerenti allo stato di salute e a lesioni riportate che figurano all´interno di valutazioni e giudizi formulati più spesso da un professionista che ha visitato l´interessato o che ha esaminato la relativa documentazione. La posizione espressa dall´Autorità in diverse occasioni riconosce all´interessato il diritto di accedere anche a questo genere di dati personali che lo riguardano, benché contenuti anche all´interno di valutazioni espresse dal medico autore della perizia o dalla società di assicurazione. Al termine di questa prima fase di applicazione dei principi in materia, nella quale non sono mancati fisiologici contrasti anche nella sede giudiziaria ordinaria investita con alcune opposizioni a decisioni del Garante, l´Autorità è impegnata nell´approfondire gli sviluppi che questa esperienza può avere sul piano normativo, per individuare ad esempio eventuali soglie temporali per l´accesso o chiarire il rapporto tra dati di origine valutativa e diritto alla correzione, all´aggiornamento o all´integrazione.

Accade ancora, tuttavia, che il soggetto coinvolto in un sinistro, o comunque interessato ad un risarcimento di danni fisici, adisce l´Autorità per poter accedere ai dati personali che lo riguardano contenuti nella perizia medico-legale redatta dal medico fiduciario della società di assicurazione cui è stata richiesta la liquidazione del danno. Se nel corso del precedente anno le modalità di presentazione e il contenuto delle richieste avanzate al titolare del trattamento e del ricorso successivamente presentato all´Autorità potevano risentire di una conoscenza ancora superficiale dei contenuti della legge, tali problematiche sono nettamente diminuite nel corso del 2002.

La visita eseguita dal medico delle società ha, fra i propri scopi, anche quello di verificare l´effettivo nesso di causalità fra il sinistro e le conseguenze riportate, specie a fini risarcitori. Nel documento è a volte indicata anche la "strategia" che la società dovrebbe seguire per contrastare un eventuale intento fraudolento dell´interessato, evidenziandosi anche eventuali suggerimenti sulla condotta processuale da privilegiare, che quest´ultimo non ha il diritto di conoscere ai sensi della legge n. 675/1996, fatto salvo quanto previsto dalla legge 5 marzo 2001, n. 57 sull´accesso agli atti a conclusione dei procedimenti di valutazione, constatazione e liquidazione dei danni.

Sembra in ogni caso consolidato, al contempo, l´orientamento fondato sull´art. 14, comma 1, lett. e), della legge 675/1996 che consente ai titolari di trattamento di poter in casi particolari differire temporaneamente l´accesso ai dati contenuti nelle perizie, limitatamente al periodo in cui potrebbe derivare, negli stessi, un effettivo pregiudizio per lo svolgimento delle indagini difensive o per far valere o difendere un diritto in sede giudiziaria. L´Autorità si è nuovamente espressa sull´argomento chiarendo che è, tuttavia, necessario dimostrare in concreto e realmente l´effettiva esistenza del pregiudizio, con una valutazione da condurre caso per caso (Provv. 19 giugno 2002, in Bollettino n. 29; Provv. ti 16 ottobre 2002 e 11 dicembre 2002).

Nell´accogliere il ricorso di una persona che aveva segnalato di non aver ricevuto riscontro ad una richiesta di accesso ai propri dati personali, tra i quali vi erano anche dati sanitari contenuti in una perizia redatta dal medico di una società di assicurazioni, il Garante ha ribadito il principio in base al quale le informazioni sulle condizioni di salute contenute in una perizia medica devono essere comunicate, all´interessato che lo richieda, tramite un medico.

La società assicuratrice, chiamata dal Garante a fornire chiarimenti, aveva affermato di voler aderire alle richieste del ricorrente, mettendo a disposizione per la consultazione tutta la documentazione (composta dagli esiti di una visita medica e da un successivo certificato redatto da un medico supervisore), depositata presso il proprio centro liquidazione sinistri, situato in un´altra città.

Entrambe le modalità di adempimento sono state ritenute dal Garante non aderenti alla normativa vigente.

Secondo il principio generale previsto (in particolare, l´art. 23, comma 2, della l. n. 675/1996), l´interessato può accedere ai dati sanitari che lo riguardano solo per il tramite di un medico, designato dall´interessato oppure dalla società che tratta i dati. Altre modalità, quali la semplice messa a disposizione di materiale non selezionato, peraltro presso gli uffici della società che ha raccolto ed utilizzato i dati, siti in altra città, non sono conformi alle norme.

Per i dati personali "comuni", invece, resta ferma la procedura secondo cui il titolare del trattamento deve confermare l´esistenza dei dati richiesti e comunicarli all´interessato, senza ritardo, in forma intelligibile, estrapolandoli, se necessario dai documenti dove sono contenuti. Solo nel caso in cui l´estrazione risulti particolarmente difficoltosa, la documentazione può essere esibita, o se ne può consegnare una copia (Provv. 19 febbraio 2002).

In un altro caso, è stata contestata una sanzione amministrativa ad una società di assicurazioni per aver violato le disposizioni in tema di comunicazioni di dati sullo stato di salute. L´assicurazione è stata "multata" per aver consegnato direttamente ad un suo assistito, che ne aveva fatto richiesta, copia di una perizia medica senza rispettare la disposizione che prevede la comunicazione di dati sanitari solo tramite il medico di fiducia dell´interessato o designato da chi detiene ed usa i dati, cioè da quello che la legge chiama "il titolare del trattamento" (Provv. 15 novembre 2002).