disappunti e postille sulla cancellazione dalla centrale rischi

Verm & Solitair

Legal Opinionist
Registrato
22/5/00
Messaggi
1.624
Punti reazioni
21
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI


NELLA riunione odierna, in presenza del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale;

ESAMINATO il ricorso presentato dalla sig.a XY

nei confronti di

FIDITALIA S.p.A.;

VISTA la documentazione in atti;

VISTI gli articoli 13 e 29 della legge 31 dicembre 1996, n. 675 e gli articoli 18, 19 e 20 del d.P.R. 31 marzo 1998, n. 501;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Stefano Rodotà;


PREMESSO:


1. La ricorrente, già intestataria di un finanziamento estinto anticipatamente, lamenta che FIDITALIA S.p.A. non abbia fornito positivo riscontro ad una richiesta, avanzata ai sensi dell’art. 13 della legge n. 675/1996, con la quale aveva chiesto di accedere ai dati personali che la riguardano e la cancellazione del proprio nominativo dalla banca dati del predetto titolare del trattamento.

Nel ricorso presentato a questa Autorità ai sensi dell’art. 29 della legge n. 675/1996, la ricorrente ha ribadito le proprie richieste sottolineando come la presenza dei dati nel citato archivio avrebbe determinato il rifiuto di un ulteriore finanziamento.

A seguito dell’invito ad aderire formulato da questa Autorità in data 5 aprile 2002, FIDITALIA S.p.A., con nota anticipata via fax il 12 aprile 2002, ha sostenuto:

di aver acquisito, in ordine alla sottoscrizione del contratto di finanziamento, il consenso informato dell’interessata, anche in ordine all’eventuale comunicazione dei dati personali a "società, enti, consorzi ed associazioni aventi finalità di tutela del credito…";
di aver inserito il nominativo dell’interessata nella banca dati di CTC, Consorzio tutela del credito, a seguito di "ritardi nei pagamenti non ottemperati puntualmente alle scadenze convenute";
di aver fornito nel corso degli ultimi anni ripetute spiegazioni in merito ai tre legali che si sono succeduti nel patrocinio dell’interessata;
di non poter tener conto della corrispondenza fatta pervenire dalla ricorrente dalla quale si evincerebbe che la stessa avrebbe svolto il ruolo di mero prestanome per conto di un’altra persona (che non risulta però "né come garante né come coobbligato nella pratica in questione");
di aver comunque dato atto fin dal 1999 che il finanziamento si era concluso in modo regolare, pur non potendo procedere, per gli evidenziati ritardi, alla cancellazione del nominativo dell’interessata;
di aver inoltre informato anche Crif S.p.A. sull’avvenuta estinzione della pratica;
che in ordine ad eventuali, ulteriori richieste di finanziamento va ricordato che "ogni soggetto finanziario in base alle proprie regole interne vaglia quando e come concedere un finanziamento in base ai propri criteri di assunzione del rischio finanziario";
che il nominativo dell’interessata, contrariamente a quanto dalla stessa sostenuto, non sarebbe mai stato oggetto di "cancellazione e successivo reinserimento".

Con nota in data 19 aprile 2002 l’interessata ha ribadito le proprie richieste.



CIÒ PREMESSO IL GARANTE OSSERVA:


2. Il ricorso concerne la conservazione nella banca dati di una finanziaria di alcuni dati personali dell’interessata, relativi ad una operazione di finanziamento estinta anticipatamente, ma rispetto alla quale, nel corso del rapporto, si erano verificati ritardi nel pagamento di alcune rate.

In ordine alla richiesta di accesso ai dati (peraltro formulata solo nella lettera in data 6 dicembre 2000 e non riproposta nella successiva istanza in data 15 febbraio 2002 da cui è scaturito il ricorso in esame) il titolare del trattamento ha inviato copia della documentazione relativa alla vicenda in questione, dalla quale si desumono i dati dell’interessata riferiti sia alla conclusione del contratto, sia ai successivi rapporti epistolari intrattenuti con i legali della stessa.

In proposito può essere pertanto dichiarato non luogo a provvedere sul ricorso, ai sensi dell’art. 20, comma 2, del d.P.R. n. 501/1998, sul presupposto che il titolare del trattamento confermi in modo inequivocabile, entro il 30 settembre 2002, di non detenere altri dati personali dell’interessata oltre quelli già trasmessi in allegato alla nota del 12 aprile 2002.



3. La richiesta volta ad ottenere la cancellazione dei dati é fondata.

Dalla documentazione in atti risulta che il finanziamento in questione (per il cui rimborso risultavano alcuni ritardi nei pagamenti) è stato estinto in data 24 settembre 1998.

In ordine al trattamento dei dati personali dell’interessata attualmente in corso occorre pertanto verificare che lo stesso non risulti eccedente rispetto alle finalità per le quali i dati sono stati raccolti o successivamente trattati (art. 9, comma 1, lett. d)).

Nel caso di specie il finanziamento è stato estinto da circa quattro anni e non risultano debiti residui o pendenze. A differenza di quanto può rilevarsi per la documentazione ai fini interni del pregresso rapporto, la diffusa conoscibilità dei dati da parte di terzi, a tale distanza di tempo dall’estinzione del rapporto, deve ritenersi in contrasto con quanto disposto dall’art. 9 della legge n. 675 (vedi sul punto provv. del 27 dicembre 2001 in Boll. n. 23, pag. 77 ss).

Ciò con particolare riferimento all’inclusione di tali dati in archivi (quali quelli delle c.d. centrali rischi private) consultabili da terzi per finalità di erogazione di altri crediti. La permanenza dei dati in tali archivi non risulta più giustificata. Ciò in riferimento sia all’eccessiva latitudine del tempo di conservazione del dato, sia all’ormai avvenuta estinzione del rapporto stesso.

Deve pertanto ritenersi legittima la richiesta della ricorrente di ottenere la cancellazione delle predette annotazioni pregiudizievoli dagli archivi di CTC e CRIF S.p.A.

Il titolare del trattamento (ferma restando la conservazione "interna", in conformità alla legge, dei dati personali dell’interessata) dovrà pertanto attivarsi al fine di disporre l’eliminazione di tali annotazioni, dando comunicazione alle predette centrali rischi del contenuto del presente provvedimento, entro un termine che appare congruo fissare al 30 settembre 2002.




PER QUESTI MOTIVI IL GARANTE DICHIARA:


a) non luogo a provvedere sul ricorso, ai sensi dell’art. 20, comma 2, del d.P.R. n. 501/1998, nei termini di cui in motivazione, in ordine alla richiesta di accesso ai dati personali sul presupposto che Fiditalia S.p.A. confermi, entro il 30 settembre 2002, di non detenere altri dati personali dell’interessata oltre quelli già consegnati in allegato alla nota del 12 aprile 2002;

b) accoglie il ricorso, nei termini di cui in motivazione, in riferimento alla richiesta di cancellazione dei dati personali dell’interessata dagli archivi di CTC e di CRIF S.p.A. e ordina a Fiditalia S.p.A. di provvedere nei termini di cui in motivazione entro il 30 settembre 2002, dando conferma di tale adempimento all’interessata ed a questa Autorità entro la medesima data.
 
dal sito del garante

BANCHE E FINANZIARIE DEVONO GARANTIRE MAGGIORE PRIVACY SUI PRESTITI NON CONCESSI

Viola la privacy la centrale rischi privata che conserva e diffonde nel circuito bancario e finanziario informazioni relative a prestiti richiesti e non concessi, oppure oggetto di rinuncia da parte dello stesso richiedente.

Lo ha stabilito il Garante accogliendo in parte il ricorso di un interessato che lamentava l’inerzia della società privata alla quale si era rivolto chiedendo di cancellare e di non diffondere ulteriormente, senza il proprio consenso, alcune informazioni che lo riguardavano, relative ad operazioni di finanziamento personale detenute nella banca dati della centrale rischi. Il ricorrente attribuiva alla diffusione di queste informazioni il rifiuto, senza motivazione, della concessione di altri piccoli prestiti o fidi da parte di alcuni istituti bancari.

Nel corso dell’istruttoria il Garante ha accertato che, presso la centrale rischi, al nominativo del ricorrente risultavano annotati non solo due prestiti, uno regolarmente estinto ed un altro in corso, ma anche diversi altri report relativi a prestiti non concessi o a quelli "rinunciati", con l’indicazione delle società e dei periodi in cui erano state effettuate queste operazioni non andate a buon fine.

Nel provvedimento che definisce il ricorso - e che si collega ad una decisione di carattere più generale adottata di recente - l’Autorità ha riconosciuto la liceità del trattamento "interno" limitatamente ai dati relativi ai due prestiti, ma non ha ritenuto giustificata la diffusione a tutti i soggetti aventi accesso alla centrale rischi delle informazioni riferite a rapporti contrattuali mai instaurati per indisponibilità della banca o della finanziaria o per la rinuncia dell’interessato. Anche nel caso in cui la società finanziaria - ha sottolineato il Garante - fosse stata in grado di produrre una documentazione idonea dalla quale risultasse il consenso del ricorrente a mettere in circolazione nell’intero circuito della centrale rischi questi dati, il principio di pertinenza e non eccedenza dei dati personali non avrebbe comunque consentito, nel caso concreto, di ritenere giustificata e proporzionale tale diffusione.

La pluralità di questi dati, pur non facendo riferimento alla puntualità e alla correttezza dei pagamenti, può, ha affermato il Garante, ingenerare un concreto pregiudizio nei confronti del ricorrente poiché lo espone, presso banche o finanziarie, al dubbio che i rifiuti derivino non tanto da valutazioni discrezionali sulla propria capacità patrimoniale o al rischio di un sovraindebitamento, quanto, invece, da scorrettezze o inadempimenti risultanti agli atti delle singole banche, ma non documentati nella centrale rischi.

Il Garante ha quindi ordinato alla centrale rischi l’immediata cancellazione dei dati del ricorrente relativi ai prestiti non concessi o rinunciati.
 
PRIVACY E CREDITO: NUOVE GARANZIE PER I CONSUMATORI SEGNALATI NELLE CENTRALI RISCHI COME "CATTIVI PAGATORI"
(comunicato del 18 ottobre 2002)

Segnalazione alle banche dati delle "centrali rischi" solo per ritardi e morosità di più mesi o più rate; conservazione dei dati dei cosiddetti "cattivi pagatori" per periodi più brevi e ragionevoli; cancellazione delle informazioni relative a richieste di finanziamento non accolte o ritirate dagli interessati; informative dettagliate ai clienti sull’utilizzo dei loro dati; tempestività e completezza dei riscontri forniti alle richieste degli interessati di accesso, modifica o cancellazione dei dati che li riguardano.

Queste, in sintesi, le precise regole che - in vista di una prossima disciplina dell’intero settore sotto il profilo della protezione dei dati - l’Autorità Garante (composta da Stefano Rodotà, Giuseppe Santaniello, Gaetano Rasi, Mauro Paissan) ha stilato in un complesso provvedimento, messo a punto affinché i consumatori vengano maggiormente tutelati nei loro rapporti con banche e finanziarie quando chiedono o ottengono prestiti, mutui, particolari carte di credito e finanziamenti anche per acquisti rateali (relativi a beni di largo consumo, come, ad esempio, elettrodomestici, cellulari, motorini, automobili, computer etc.).

Il provvedimento - che si è reso necessario in considerazione dei numerosi casi portati in questi anni all’attenzione dell’Autorità da singoli e da associazioni di consumatori - riassume la "giurisprudenza" del Garante emersa dall’esame di formali ricorsi, e individua alcune prime condizioni minime per la raccolta, la conservazione e l’uso delle informazioni presenti nei sistemi informativi di rilevazioni dei rischi creditizi, le cosiddette "centrali rischi", utilizzate da banche e finanziarie.

Dagli innumerevoli reclami giunti all’Autorità si è evidenziata, innanzitutto, la necessità di riconsiderare la congruità del periodo di conservazione delle informazioni di carattere negativo relative ai rapporti di finanziamento e di evitare l’ingiustificata presenza, nelle banche dati delle "centrali rischi", di una ampia quantità di dati non sempre o non più significativi (lievi morosità successivamente sanate, brevi ritardi nei pagamenti poi regolarmente effettuati, richieste di finanziamento non concesso etc.), che possono determinare effetti pregiudizievoli per gli interessati, anche per quanto riguarda la possibilità di accesso a nuovi crediti.




Uniformare i criteri per la segnalazione dei dati alle "centrali rischi"
Le attuali modalità di gestione dei sistemi privati di rilevazione dei rischi creditizi, le cosiddette "centrali rischi", non permettono di distinguere adeguatamente gli eventi da considerare fisiologici in un rapporto destinato a svolgersi nel tempo, e che non incidono sull’affidabilità e solvibilità della clientela, da situazioni più critiche relative a gravi e reiterate inadempienze. Per questi motivi, il Garante ha affermato che i criteri seguiti nei vari circuiti informativi per la segnalazione delle morosità o dei ritardi di pagamento delle rate scadute, devono essere uniformati in chiave di maggiore tutela dei consumatori, tenendo conto della reale gravità degli inadempimenti, in modo tale da non recare pregiudizi ingiustificati ai loro diritti.

Le segnalazioni delle morosità alle "centrali rischi" devono essere effettuate solo in caso di mancato pagamento di somme consistenti, di più rate o di gravi ritardi, specialmente quando si tratta di finanziamenti di basso importo con rate di modesta entità.

Devono essere previste soglie temporali minime o di più rate cumulate (ad esempio per ritardi di almeno quattro mesi o di quattro rate, secondo la prassi già seguita da alcuni operatori), ed evitare la comunicazione alle "centrali rischi" private di mancati pagamenti causati da anomalie o disguidi postali e bancari non sempre imputabili agli interessati. Banche e finanziarie, prima di effettuare la segnalazione della morosità alla centrale rischi, devono, comunque, dare un preavviso agli interessati affinché possano eventualmente intervenire.



Conservazione non oltre 1 anno dei dati relativi a morosità regolarizzate
I dati relativi agli eventuali ritardi nei pagamenti, poi completamente sanati, devono essere cancellati entro un anno dalla data della loro regolarizzazione o comunque dalla data di estinzione del rapporto di finanziamento.

All’esito della globale valutazione della prima esperienza applicativa della legge n. 675, e dei contratti di finanziamento stipulati dopo la sua entrata in vigore, il Garante ha rilevato che è sproporzionata la scelta, attualmente in uso, di conservare per cinque anni tutti i dati, anche nel caso in cui la sofferenza è venuta meno o il finanziamento è stato estinto.

Va garantita, insomma, la piena tutela del cosiddetto "diritto all’oblio" degli interessati, anche in considerazione delle evoluzioni della recente normativa italiana, legislativa e regolamentare, in tema di correttezza nei pagamenti e nell’adempimento delle obbligazioni pecuniarie (esperienze applicative della "centrale rischi" della Banca d’Italia; cancellazione dagli elenchi dei protesti cambiari; banca dati in materia di assegni).



Illegittima la comunicazione di dati personali riguardanti richieste di finanziamento non accolte o ritirate
La comunicazione che banche e finanziarie effettuano alla "centrali rischi" per segnalare i dati personali di coloro ai quali non è stato concesso un finanziamento o che vi hanno rinunciato, è ingiustificata, in considerazione del fatto che il rapporto di finanziamento non si è instaurato o si è comunque interrotto ad uno stadio che non legittima una divulgazione dei dati. Spesso, peraltro, il rifiuto di concedere finanziamenti deriva da valutazioni discrezionali di banche e finanziarie o da politiche contrattuali piuttosto che dall’inaffidabilità del cliente. Terminato il periodo necessario per l’istruttoria delle richieste di finanziamento (che può avere, comunque, una durata massima di 6 mesi), i dati relativi alla richiesta non accolta o oggetto di rinuncia dovranno essere cancellati dalla "centrale rischi" entro un mese e non conservati, come avviene in alcuni casi, per un anno.



Illecita la consultazione dei dati se non legata al finanziamento
E’ illecito, ha rilevato l’Autorità, utilizzare i dati personali presenti nelle "centrali rischi" per scopi estranei all’attività di rilascio o di gestione dei finanziamenti, ad esempio per scopi di marketing. L’utilizzazione dei dati personali può, dunque, avvenire soltanto se strettamente connessa all’istruttoria di una richiesta di finanziamento.



Maggiori informazioni ai consumatori
Nei moduli delle richieste di finanziamento, banche e finanziarie devono fornire ai consumatori dettagliate informazioni sulle "centrali rischi" alle quali saranno trasmessi i dati, e assicurare agli interessati una piena comprensione degli scopi e delle modalità di raccolta, registrazione e circolazione dei dati.



Riscontri tempestivi
E’ necessario che i riscontri alle richieste di accesso, rettifica e cancellazione dei dati, presentate dagli interessati, siano tempestivi e completi, in modo tale da garantire un maggior rispetto dei loro diritti, tenuto conto anche che alcuni comportamenti "scorretti" espongono sia le "centrali rischi" sia le banche e le finanziarie a responsabilità civile, anche sul piano dei danni non patrimoniali. Il Garante ritiene, al riguardo, opportuna la prassi, seguita da alcuni operatori, di sospendere la visualizzazione dei dati per il periodo necessario ad effettuare verifiche ed accertamenti. L’accesso dovrà essere garantito anche ai dati espressi in forma di punteggio sul grado di affidabilità o solvibilità degli interessati, ottenuti mediante elaborazioni automatiche ed analisi statistiche.


Nell’inviare il provvedimento a "centrali rischi", banche o istituti finanziari che aderiscono ai diversi circuiti, il Garante ha chiesto di essere informato entro il 15 dicembre sulle misure adottate per tutelare i consumatori in vista del previsto codice di deontologia che disciplini il settore e - in relazione anche alla liceità delle prassi finora seguite dagli operatori - degli altri provvedimenti attuativi delle nuove disposizioni introdotte in materia di privacy a febbraio scorso. Il provvedimento è stato, inoltre, reso noto agli organismi pubblici e privati interessati in ambito bancario e finanziario.


Roma, 18 novembre 2002
 
Indietro