Tutela dei dati personali nel settore creditizio: i codici di condotta come strumento di responsabilizzazione di titolari e responsabili

Il quadro normativo

Come noto, il Regolamento (UE) 2016/679, di seguito indicato anche come GDPR, ha introdotto il principio di responsabilizzazione, che impone al titolare del trattamento la responsabilità di conformarsi al Regolamento e di dimostrarne la conformità (si veda l'art. 5, par. 2 e il Considerando 74 GDPR).

Gli articoli 40 e 41 GDPR, in particolare, contengono la disciplina relativa ai codici di condotta e “rappresentano un metodo pratico, potenzialmente economico e significativo per ottenere maggiori livelli di coerenza nella tutela dei diritti in materia di protezione dei dati. I codici possono fungere da meccanismo attraverso il quale dimostrare la conformità al regolamento” [pag. 5 delle Linee guida 1/2019 sui codici di condotta e sugli organismi di monitoraggio a norma del regolamento (UE) 2016/679].

Nell'art. 40 GDPR si legge che gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano l'elaborazione di codici di condotta destinati a contribuire alla corretta applicazione del Regolamento, in funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese.

Le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o responsabili del trattamento possono elaborare i codici di condotta, modificarli o prorogarli, allo scopo di precisare l'applicazione del Regolamento, ad esempio relativamente a:

a) il trattamento corretto e trasparente dei dati;

b) i legittimi interessi perseguiti dai titolari del trattamento in contesti specifici;

c) la raccolta dei dati personali;

d) la pseudonimizzazione dei dati personali;

e) l'informazione fornita al pubblico e agli interessati;

f) l'esercizio dei diritti degli interessati;

g) l'informazione fornita e la protezione del minore e le modalità con cui è ottenuto il consenso dei titolari della responsabilità genitoriale sul minore;

h) le misure e le procedure di cui agli artt. 24 e 25 e le misure volte a garantire la sicurezza del trattamento di cui all'art. 32;

i) la notifica di una violazione dei dati personali alle autorità di controllo e la comunicazione di tali violazioni dei dati personali all'interessato;

j) il trasferimento di dati personali verso paesi terzi o organizzazioni internazionali; o

k) le procedure stragiudiziali e di altro tipo per comporre le controversie tra titolari del trattamento e interessati in materia di trattamento, fatti salvi i diritti degli interessati ai sensi degli artt. 77 e 79.

I codici, dunque, sono uno strumento potenzialmente molto importante e vantaggioso per le PMI e le microimprese perché permettono loro di rispettare le norme sulla protezione dei dati in modo economico; permettono un certo grado di co-regolazione, di autonomia e controllo nel formulare e concordare le buone prassi per settori specifici. Possono diventare una risorsa fondamentale per le imprese al fine di gestire aspetti critici nelle procedure di trattamento e conseguire una migliore osservanza delle norme in materia di protezione dei dati. Possono generare fiducia e certezza del diritto, offrendo soluzioni pratiche ai problemi in particolari settori (si vedano pagg. 9 e 10 delle citate linee guida EDPB).

Va inoltre rilevato che l'art. 83 GDPR (Condizioni generali per infliggere sanzioni amministrative pecuniarie) stabilisce espressamente che ogni Autorità di controllo provvede affinché le sanzioni amministrative pecuniarie inflitte in relazione alle violazioni del regolamento siano in ogni singolo caso effettive, proporzionate e dissuasive. Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l'ammontare della stessa, però, l'Autorità tiene debito conto dell'adesione ai codici di condotta approvati ai sensi dell'art. 40 o ai meccanismi di certificazione approvati ai sensi dell'art. 42.

Il codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti

L'Associazione Italiana Società di Referenza Creditizia “AISReC”, in qualità di associazione rappresentativa dei gestori di sistemi di informazioni creditizia che ne fanno parte, unitamente all'Associazione Italiana Leasing e al Consorzio per la Tutela del Credito hanno sottoposto al Garante privacy e sottoscritto il Codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti (Doc-Web 9820469) ai sensi dell'art. 40 GDPR, che si applica limitatamente al territorio dello Stato Italiano ed unicamente a livello nazionale.

I partecipanti ai SIC sono, in forza del Codice deontologico previgente (Codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti; Doc-Web 1556693), banche, intermediari finanziari e altri soggetti privati che, nell'esercizio di un'attività commerciale o professionale, concedono una dilazione di pagamento del corrispettivo per la fornitura di beni o servizi e che operano in un quadro di reciprocità nello scambio di dati con gli altri partecipanti.

Il legislatore, nel tempo, ha consentito l'accesso ai dati presenti nel SIC a: fornitori di servizi di comunicazione elettronica e fornitori di servizi interattivi associati o di servizi di accesso condizionato (tra cui, quindi, le società telefoniche); imprese di assicurazione; soggetti autorizzati a svolgere le attività di vendita a clienti finali di energia elettrica e di gas naturale.

Il predetto Codice di condotta non riguarda sistemi informativi di cui sono titolari soggetti pubblici, quale il servizio di centralizzazione dei rischi gestito dalla Banca d'Italia.

L'art. 4 del Codice disciplina i requisiti e categorie dei dati trattati: dati identificativi, anagrafici e sociodemografici; dati relativi alla richiesta/rapporto, descrittivi, in particolare, della tipologia di contratto, dell'importo dovuto, delle modalità di pagamento e dello stato della richiesta o dell'esecuzione del contratto; dati di tipo contabile, relativi, in particolare, agli utilizzi o ai pagamenti, al loro andamento periodico, all'esposizione debitoria anche residua e alla sintesi dello stato contabile del rapporto; dati relativi al contenzioso e ad attività di recupero del credito, alla cessione del credito o a eccezionali vicende che incidono sulla situazione soggettiva o patrimoniale degli interessati. Il gestore di un SIC, direttamente o per il tramite di società controllate o collegate, può effettuare il trattamento di dati provenienti da fonti pubbliche e/o da altre fonti, fermi restando i limiti e le modalità che le leggi stabiliscono per la loro conoscibilità e pubblicità (Articolo 11 Trattamento di dati provenienti da fonti pubbliche e/o da altre fonti).

Non possono essere oggetto di trattamento nell'ambito di un SIC categorie particolari di dati personali di cui all'art. 9 GDPR e i dati personali relativi a condanne penali, ai reati e a connesse misure di sicurezza di cui all'art. 10 GDPR.

Il trattamento dei dati personali da parte del gestore e dei partecipanti al SIC risulta lecito ai sensi dell'art. 6, comma 1, lett. f) GDPR in quanto è necessario per il perseguimento di legittimi interessi dei partecipanti all'utilizzo del SIC per le finalità di cui al Codice di condotta. Pertanto, non è necessario acquisire il consenso dell'interessato. Costituiscono legittimi interessi: la corretta misurazione del merito e del rischio creditizio, la corretta valutazione dell'affidabilità e della puntualità dei pagamenti dell'interessato, la prevenzione del rischio di frode, ivi inclusa la prevenzione del rischio del furto di identità (art. 6 del Codice; Base giuridica e Informazione agli interessati).

Il trattamento dei dati personali da parte dei sistemi di informazione creditizia e il contenzioso con gli interessati

Il Sistema di Informazioni Creditizie o “SIC” possono contenere, in particolare:

i) informazioni di tipo negativo, che riguardano soltanto rapporti per i quali si sono verificati inadempimenti;

ii) informazioni di tipo positivo e negativo, che attengono a richieste/rapporti a prescindere dalla sussistenza di inadempimenti registrati nel SIC al momento del loro verificarsi.

In relazione ai dati personali registrati in un SIC, gli interessati possono esercitare i propri diritti secondo le modalità, i termini e le condizioni stabiliti dal Regolamento, sia presso i partecipanti che li hanno comunicati sia presso il gestore, ad eccezione, riguardo a quest'ultimo, del diritto di cui all'art. 20 GDPR, non sussistendone i presupposti.

Merita attenzione l'art. 5 del Codice: “6. Al verificarsi di ritardi nei pagamenti, il partecipante, anche unitamente all'invio di solleciti o di altre comunicazioni, o eventualmente con le modalità indicate nel contratto, invia all'interessato un preavviso circa l'imminente registrazione dei dati in uno o più SIC. I dati relativi al primo ritardo possono essere resi accessibili ai partecipanti solo decorsi almeno quindici giorni dalla spedizione del preavviso all'interessato. Le modalità, anche digitali e innovative, per garantire la ricezione di detto preavviso sono definite dal partecipante sulla base di quanto previsto dal Garante nel provvedimento del 26 ottobre 2017 e nell'Allegato 1 al presente Codice di condotta. 7. I dati registrati in un SIC sono aggiornati periodicamente, con cadenza mensile, a cura del partecipante che li ha comunicati.”

L'Allegato 2 del Codice disciplina i tempi di conservazione dei dati. Le informazioni creditizie di tipo negativo relative a ritardi nei pagamenti, successivamente regolarizzati, possono essere conservate in un SIC fino a: a) dodici mesi dalla data di registrazione dei dati relativi alla regolarizzazione di ritardi non superiori a due rate o mesi; b) ventiquattro mesi dalla data di registrazione dei dati relativi alla regolarizzazione di ritardi superiori a due rate o mesi. Decorsi i periodi di cui al comma 2, i dati sono eliminati dal SIC se nel corso dei medesimi intervalli di tempo non sono registrati dati relativi ad ulteriori ritardi o inadempimenti.

Le informazioni creditizie di tipo negativo relative a inadempimenti non successivamente regolarizzati possono essere conservate nel SIC non oltre trentasei mesi dalla data di scadenza contrattuale del rapporto oppure, in caso di altre vicende rilevanti in relazione al pagamento, dalla data in cui è risultato necessario il loro ultimo aggiornamento, e comunque, anche in quest'ultimo caso, al massimo fino a sessanta mesi dalla data di scadenza del rapporto, quale risulta dal contratto.

Per semplificare, è immaginabile la conseguenza di una segnalazione/registrazione presso i SIC: può comportare l'impossibilità di aprire un conto bancario, ottenere la concessione di un finanziamento o di una carta di credito.

Per questo motivo gli interessati, oltre ad esercitare i propri diritti dinanzi al Garante per la protezione dei dati personali, presentando un reclamo ai sensi dell'art. 77 GDPR e artt. da 140-bis a 143 Codice privacy) a volte si rivolgono all'ABF Arbitro Bancario Finanziario.

Nel 2020 sono stati presentati all'ABF n. 536 ricorsi per segnalazioni presso i SIC; nel 2021 i ricorsi sono diventati 718. Se si confrontano, poi, i dati del 4° trimestre 2021 con quelli del 4° trimestre del 2022, il risultato è che il 5% dei ricorsi esaminati dall'Arbitro riguarda i SIC.

Può essere interessante leggere il testo della Decisione dell'ABF del 15 maggio 2023, n. 4632  che riassume lo stato della normativa vigente e della relativa interpretazione in materia di preavviso di segnalazione.

Per quanto riguarda gli interventi del Garante privacy, è interessante citare il Provvedimento del 17 maggio 2023 [doc. web n. 9899914], con cui il reclamante ha lamentato di non avere ottenuto compiuto riscontro a un'istanza di accesso ai dati personali avanzata al fine di conoscere le informazioni “in possesso [della Società], compreso le comunicazioni ricevute dalle SIC”, comunicazioni che avrebbero determinato il diniego della richiesta di finanziamento presentata dallo stesso al fine di ottenere un noleggio a lungo termine.

L'Autorità, nel provvedimento, ha ribadito che il diritto di accesso ex art. 15 GDPR è principalmente concepito quale strumento volto a consentire, in linea generale, all'interessato di esercitare il “controllo” sui dati personali che lo riguardano, assicurando allo stesso piena consapevolezza delle informazioni oggetto di trattamento e delle effettive modalità di quest'ultimo.

Ai sensi dell'art. 15 GDPR, pertanto, il titolare, in sede di riscontro a un'istanza di accesso, è tenuto a fornire “l'accesso a tutti i dati personali afferenti all'interessato” effettivamente oggetto di trattamento. Tali informazioni “devono essere complete, corrette e aggiornate, corrispondenti il più possibile allo stato di trattamento dei dati al momento della ricezione della richiesta” e devono essere fornite “in forma concisa, trasparente, intelligibile e facilmente accessibile”. Il peculiare contesto di acquisizione di dati personali da un SIC richiede una particolare attenzione, in ragione della natura particolarmente delicata delle informazioni trattate, afferenti all'affidabilità in termini di puntualità nei pagamenti dell'interessato nonché delle possibili conseguenze pregiudizievoli, sui diritti e sulle libertà dell'individuo, derivanti dal trattamento delle stesse (prima tra tutte, come avvenuto per il reclamante, il diniego della concessione del finanziamento richiesto).

Si rileva altresì – afferma l'Autorità - che proprio il trattamento dei dati personali contenuti nel Report è stato alla base della valutazione di inaffidabilità del reclamante da cui è dipeso il mancato accoglimento della richiesta di finanziamento per un noleggio a lungo termine.

Si legge nel provvedimento che in merito alla tipologia delle informazioni oggetto di violazione è stata considerata la peculiare natura delle informazioni trattate dalla Società per le predette finalità; informazioni che, sebbene non annoverabili nell'ambito dei dati particolari, sono comunque caratterizzate da un elevato livello di sensibilità in quanto atte ad evidenziare ‘l'affidabilità' in termini di puntualità dei pagamenti dei clienti.

In ordine alla gravità della violazione, si è preso atto della natura (concernente l'inosservanza dei principi del trattamento) e della durata della stessa (protrattasi per circa 16 mesi), nonché del livello di danno subito dall'interessato (impossibilità di verificare l'esattezza delle informazioni trattate dalla Società al fine di rifiutare il finanziamento richiesto ed eventualmente richiedere la relativa rettifica/cancellazione); si è altresì tenuto conto a favore del contravventore della circostanza che la condotta sia stata limitata ad un unico evento e abbia riguardato un solo interessato.

Il Garante, quindi, ha ordinato ed ingiunto alla Società di pagare la somma di euro 40.000 (quarantamila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel provvedimento, disponendo la pubblicazione dello stesso sul sito web dell'Autorità.

In conclusione

Il Garante privacy, nel provvedimento citato del 17 maggio 2023, ha chiarito – e ribadito - che non è sufficiente, in sede di riscontro ad una istanza di accesso ai sensi dell'art. 15 GDPR, la mera menzione del ricorso a valutazioni sul merito creditizio e il contestuale invito per l'interessato a rivolgersi al gestore del SIC al fine di reperirle, spettando innanzitutto al titolare, anche in qualità di partecipante al predetto SIC, l'obbligo di fornire le informazioni ivi acquisite ed effettivamente trattate.