L’attività dei sistemi di informazione creditizia (S.I.C.) e la compressione del diritto alla privacy del consumatore
La concessione di un finanziamento (la dilazione di pagamento o qualunque altra forma di credito - al consumo, fondiario, leasing etc.), da parte di Banche, Società Finanziarie e di Leasing (in seguito definiti anche enti creditizi), presuppone lo svolgimento di un’accurata indagine preliminare sul soggetto richiedente circa la sua attitudine al puntuale adempimento e la sua capacità di prestare adeguate garanzie di solvibilità.
Tale indagine viene condotta dagli enti creditizi mediante l’accesso alle banche dati definite “S.I.C. - Sistemi di Informazione Creditizia”, un tempo note come “Centrali Rischi”, gestite da soggetti privati (tra le banche dati più consultate vi sono, ad esempio, quelle gestite dalle società “Crif” ed “Experian”).
Ciascuna banca dati viene alimentata attraverso l’apporto di informazioni provenienti dagli enti creditizi che aderiscono ai circuiti informativi.
Gli enti creditizi comunicano ai S.I.C., con periodicità mensile, non solo ogni singola richiesta di finanziamento, ma anche il loro rifiuto di concedere il credito, la rinuncia alla richiesta da parte del cliente, la situazione di morosità del debitore, le regolarizzazioni dei ritardati pagamenti, i gravi inadempimenti e le sofferenze, ed inoltre i rapporti positivi con il cliente, cioè quelli che non presentano ritardati pagamenti o altri eventi pregiudizievoli per il credito.
Tutte queste informazioni vengono attinte ed elaborate da ciascun ente creditizio per l’ottenimento del “credit scoring”, ossia un punteggio statistico (positivo o negativo) utilizzabile per prevedere il margine di rischio economico, connesso all’erogazione dei finanziamenti, ed eventualmente prevenire le situazioni di insolvenza.
2. I S.I.C. e la necessaria compressione del diritto alla privacy del consumatore Le attività di alimentazione degli archivi, nonché quelle di consultazione, svolte dagli enti creditizi determinano una sensibile interferenza nella sfera dei diritti fondamentali della persona ed in particolare del diritto alla protezione dei dati personali del consumatore (inteso come la persona fisica che, in relazione ad una richiesta/rapporto di credito, agisce per scopi non riferibili all’attività imprenditoriale o professionale eventualmente svolta).
I sistemi contengono molte informazioni tra le quali, in particolare, si possono enumerare i dati anagrafici e fiscali, le tipologie di contratti, gli importi dei crediti, i dati contabili relativi all’andamento periodico dei rimborsi, nonché le informazioni circa il recupero del credito e le relative vicende contenziose proprie di ciascun cliente.
Quando i sistemi evidenziano, in senso positivo, la storia creditizia di un cliente, gli enti creditizi manifestano una maggiore disponibilità a concedere un finanziamento ed a garantire migliori condizioni contrattuali. In questo caso il cliente ha un notevole interesse a mantenere i propri dati all’interno dei data base.
La mancanza di informazioni circa il comportamento del potenziale debitore, invece, impedisce agli enti creditizi di fare qualunque previsione circa la sorte del credito. Insomma il soggetto sconosciuto ai “S.I.C.” può costituire una fonte di rischio non trascurabile, anche se, di certo, non equiparabile al rischio tipico dato da un cliente con una storia creditizia negativa.
Prima dell’introduzione ad opera dell’autorità Garante della Privacy del Codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti ( Provvedimento del Garante n. 8 del 16 novembre 2004, Gazzetta Ufficiale 23 dicembre 2004, n. 300, come modificato dall’errata corrige pubblicata in Gazzetta Ufficiale 9 marzo 2005, n.56), il cliente ritardatario nei pagamenti, poteva vedersi negato l’accesso al credito, per un periodo di tempo indeterminato, il tutto a causa della perenne permanenza della sua posizione negativa (quale cattivo pagatore) all’interno delle “Centrali Rischi”, citate in precedenza.
Le norme generali in materia di tutela della privacy (oggi contenute nel Decreto Legislativo 30 giugno 2003 n.196 - Codice in materia di protezione dei dati personali) mal si conciliavano con la tutela di un altro importante interesse, quello economico, di cui gli enti creditizi sono naturali portatori.
Il Codice di deontologia ha determinato un significativo cambiamento nelle modalità di trattamento dei dati personali. Con la sua introduzione si sono definiti e ristretti i tempi di conservazione delle informazioni positive e negative all’interno dei S.I.C., e ciò ha contribuito a migliorare, almeno in senso formale, la condizione del consumatore.
Attualmente le richieste di finanziamento devono essere conservate per 6 mesi (1 mese in caso di rifiuto o rinuncia al finanziamento) dalla richiesta; le morosità di due rate (o mesi), poi sanate, devono essere visibili per 12 mesi dalla data di regolarizzazione; le morosità superiori a due rate (o mesi), poi sanate, devono essere visibili per 24 mesi dalla data di regolarizzazione; le morosità mai sanate devono rimanere visibili per 36 mesi dalla scadenza contrattuale o dall’ultimo aggiornamento; tutte le altre informazioni positive rimangono visibili per 36 mesi dalla cessazione del rapporto o di scadenza del contratto o dal primo aggiornamento del mese successivo a tali date.
3. La tutela dei diritti del consumatore tra enunciati teorici e applicazione pratica Tra i vari obblighi informativi degli enti creditizi nei riguardi della loro clientela vi è quello di rendere edotto il consumatore circa i suoi diritti in materia di protezione dei dati personali (non solo ai sensi dell’articolo 13 del decreto legislativo n.196/2003 ma anche ai sensi dell’articolo 5 del Codice di deontologia che disciplina specificamente il trattamento per la tutela del credito).
In particolare il consumatore ha il diritto di richiedere, non solo agli enti creditizi ma anche direttamente ai S.I.C., l’accesso ai propri dati personali per conoscere le informazioni presenti negli archivi, così pure di chiedere l’integrazione e la rettifica dei propri dati o addirittura di disconoscere il finanziamento attribuitogli per errore od altre cause (es. omonimia, furto di identità compiuto con la falsificazione dei documenti di identità etc.).
Inoltre il consumatore può chiedere la cancellazione dei propri dati positivi, ma, come si è detto in precedenza, al fine di tutelare gli interessi economici degli enti creditizi, non potrà in alcun modo pretendere la cancellazione dei dati negativi che lo riguardano, sempre che la conservazione di questi ultimi rispetti i citati limiti temporali previsti dal Codice di deontologia.
Gli enti creditizi sono, altresì, obbligati ad avvisare il cliente prima di procedere alla segnalazione dei suoi dati negativi ai S.I.C., ciò consente di garantire un minimo di contraddittorio tra le parti, e di attenuare, seppur parzialmente, il forte potere attribuito agli enti creditizi in materia di trattamento dei dati personali.
Nel caso in cui il consumatore non riesca ad ottenere dai S.I.C. o dagli enti creditizi il rispetto dei propri diritti e la corretta applicazione delle regole di deontologia, egli potrà chiedere l’intervento del Garante della Privacy mediante la proposizione di un ricorso sul quale, dopo aver acquisito la documentazione prodotta da ciascuna delle parti, l’Autorità Garante si dovrà pronunciare emettendo un provvedimento che decide la controversia insorta.
Come appare evidente, negli ultimi tempi, si sono fatti importanti progressi in materia di tutela dei diritti del consumatore, anche nel settore creditizio. Ma come spesso accade il miglioramento è molto più evidente nella teoria piuttosto che nella pratica. Infatti attraverso l’analisi dei provvedimenti emessi dal Garante della Privacy è ancora possibile notare l’adozione di comportamenti da parte di diversi enti (creditizi e non) e dei S.I.C. che si collocano in palese contrasto con le norme sulla privacy e con le regole deontologiche (a titolo esemplificativo si vedano i provvedimenti del 7 dicembre 2006, doc. web n. 1375114 e doc. web n.1375133, provvedimento del 11 ottobre 2006 doc. web n.1357932 - www.garanteprivacy.it ).
Tra le varie fattispecie concrete di violazione, si nota che la conservazione ed il trattamento dei dati negativi, oltre i termini temporali previsti dal codice, costituisce un problema ancora attuale.
Non sono pochi i casi, oggetto di ricorso al Garante, in cui il cliente continua ad essere segnalato ai S.I.C. senza ottenere il dovuto preavviso, quindi senza alcuna garanzia di contraddittorio con l’ente creditizio segnalante. Inoltre è stato dimostrato che l’accesso ai dati viene spesso consentito illecitamente a soggetti diversi dagli enti creditizi, per il perseguimento di finalità del tutto diverse dalla tutela del credito.
Emblematico, al riguardo, è il caso della trasmissione illecita di informazioni effettuata nell’anno 2006 dai S.I.C. in favore dei principali gestori telefonici operanti in Italia.
I provvedimenti del Garante evidenziano che l’accesso ai dati personali è stato consentito ai gestori telefonici, in particolare, per favorire la valutazione, da parte di questi ultimi, del rischio connesso alla sottoscrizione di contratti telefonici in abbonamento (post pagato) con i loro potenziali clienti, quindi in ipotesi ben diverse dalla richiesta di una dilazione del pagamento del costo del servizio erogato (al riguardo si vedano i provvedimenti del Garante 4 maggio 2006 doc. web n.1302311 – 1302339 – 1302373 – 1302385 – 1302395).
Questi comportamenti devono essere repressi e sanzionati non solo perché determinano una grave lesione del diritto alla tutela dei dati personali (peraltro già compresso per le ragioni di tutela del credito sopra esposte), ma soprattutto perché impediscono al consumatore più debole di accedere al credito, esponendolo talvolta ad un ingiusto e ben più grave danno economico.
La concessione di un finanziamento (la dilazione di pagamento o qualunque altra forma di credito - al consumo, fondiario, leasing etc.), da parte di Banche, Società Finanziarie e di Leasing (in seguito definiti anche enti creditizi), presuppone lo svolgimento di un’accurata indagine preliminare sul soggetto richiedente circa la sua attitudine al puntuale adempimento e la sua capacità di prestare adeguate garanzie di solvibilità.
Tale indagine viene condotta dagli enti creditizi mediante l’accesso alle banche dati definite “S.I.C. - Sistemi di Informazione Creditizia”, un tempo note come “Centrali Rischi”, gestite da soggetti privati (tra le banche dati più consultate vi sono, ad esempio, quelle gestite dalle società “Crif” ed “Experian”).
Ciascuna banca dati viene alimentata attraverso l’apporto di informazioni provenienti dagli enti creditizi che aderiscono ai circuiti informativi.
Gli enti creditizi comunicano ai S.I.C., con periodicità mensile, non solo ogni singola richiesta di finanziamento, ma anche il loro rifiuto di concedere il credito, la rinuncia alla richiesta da parte del cliente, la situazione di morosità del debitore, le regolarizzazioni dei ritardati pagamenti, i gravi inadempimenti e le sofferenze, ed inoltre i rapporti positivi con il cliente, cioè quelli che non presentano ritardati pagamenti o altri eventi pregiudizievoli per il credito.
Tutte queste informazioni vengono attinte ed elaborate da ciascun ente creditizio per l’ottenimento del “credit scoring”, ossia un punteggio statistico (positivo o negativo) utilizzabile per prevedere il margine di rischio economico, connesso all’erogazione dei finanziamenti, ed eventualmente prevenire le situazioni di insolvenza.
2. I S.I.C. e la necessaria compressione del diritto alla privacy del consumatore Le attività di alimentazione degli archivi, nonché quelle di consultazione, svolte dagli enti creditizi determinano una sensibile interferenza nella sfera dei diritti fondamentali della persona ed in particolare del diritto alla protezione dei dati personali del consumatore (inteso come la persona fisica che, in relazione ad una richiesta/rapporto di credito, agisce per scopi non riferibili all’attività imprenditoriale o professionale eventualmente svolta).
I sistemi contengono molte informazioni tra le quali, in particolare, si possono enumerare i dati anagrafici e fiscali, le tipologie di contratti, gli importi dei crediti, i dati contabili relativi all’andamento periodico dei rimborsi, nonché le informazioni circa il recupero del credito e le relative vicende contenziose proprie di ciascun cliente.
Quando i sistemi evidenziano, in senso positivo, la storia creditizia di un cliente, gli enti creditizi manifestano una maggiore disponibilità a concedere un finanziamento ed a garantire migliori condizioni contrattuali. In questo caso il cliente ha un notevole interesse a mantenere i propri dati all’interno dei data base.
La mancanza di informazioni circa il comportamento del potenziale debitore, invece, impedisce agli enti creditizi di fare qualunque previsione circa la sorte del credito. Insomma il soggetto sconosciuto ai “S.I.C.” può costituire una fonte di rischio non trascurabile, anche se, di certo, non equiparabile al rischio tipico dato da un cliente con una storia creditizia negativa.
Prima dell’introduzione ad opera dell’autorità Garante della Privacy del Codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti ( Provvedimento del Garante n. 8 del 16 novembre 2004, Gazzetta Ufficiale 23 dicembre 2004, n. 300, come modificato dall’errata corrige pubblicata in Gazzetta Ufficiale 9 marzo 2005, n.56), il cliente ritardatario nei pagamenti, poteva vedersi negato l’accesso al credito, per un periodo di tempo indeterminato, il tutto a causa della perenne permanenza della sua posizione negativa (quale cattivo pagatore) all’interno delle “Centrali Rischi”, citate in precedenza.
Le norme generali in materia di tutela della privacy (oggi contenute nel Decreto Legislativo 30 giugno 2003 n.196 - Codice in materia di protezione dei dati personali) mal si conciliavano con la tutela di un altro importante interesse, quello economico, di cui gli enti creditizi sono naturali portatori.
Il Codice di deontologia ha determinato un significativo cambiamento nelle modalità di trattamento dei dati personali. Con la sua introduzione si sono definiti e ristretti i tempi di conservazione delle informazioni positive e negative all’interno dei S.I.C., e ciò ha contribuito a migliorare, almeno in senso formale, la condizione del consumatore.
Attualmente le richieste di finanziamento devono essere conservate per 6 mesi (1 mese in caso di rifiuto o rinuncia al finanziamento) dalla richiesta; le morosità di due rate (o mesi), poi sanate, devono essere visibili per 12 mesi dalla data di regolarizzazione; le morosità superiori a due rate (o mesi), poi sanate, devono essere visibili per 24 mesi dalla data di regolarizzazione; le morosità mai sanate devono rimanere visibili per 36 mesi dalla scadenza contrattuale o dall’ultimo aggiornamento; tutte le altre informazioni positive rimangono visibili per 36 mesi dalla cessazione del rapporto o di scadenza del contratto o dal primo aggiornamento del mese successivo a tali date.
3. La tutela dei diritti del consumatore tra enunciati teorici e applicazione pratica Tra i vari obblighi informativi degli enti creditizi nei riguardi della loro clientela vi è quello di rendere edotto il consumatore circa i suoi diritti in materia di protezione dei dati personali (non solo ai sensi dell’articolo 13 del decreto legislativo n.196/2003 ma anche ai sensi dell’articolo 5 del Codice di deontologia che disciplina specificamente il trattamento per la tutela del credito).
In particolare il consumatore ha il diritto di richiedere, non solo agli enti creditizi ma anche direttamente ai S.I.C., l’accesso ai propri dati personali per conoscere le informazioni presenti negli archivi, così pure di chiedere l’integrazione e la rettifica dei propri dati o addirittura di disconoscere il finanziamento attribuitogli per errore od altre cause (es. omonimia, furto di identità compiuto con la falsificazione dei documenti di identità etc.).
Inoltre il consumatore può chiedere la cancellazione dei propri dati positivi, ma, come si è detto in precedenza, al fine di tutelare gli interessi economici degli enti creditizi, non potrà in alcun modo pretendere la cancellazione dei dati negativi che lo riguardano, sempre che la conservazione di questi ultimi rispetti i citati limiti temporali previsti dal Codice di deontologia.
Gli enti creditizi sono, altresì, obbligati ad avvisare il cliente prima di procedere alla segnalazione dei suoi dati negativi ai S.I.C., ciò consente di garantire un minimo di contraddittorio tra le parti, e di attenuare, seppur parzialmente, il forte potere attribuito agli enti creditizi in materia di trattamento dei dati personali.
Nel caso in cui il consumatore non riesca ad ottenere dai S.I.C. o dagli enti creditizi il rispetto dei propri diritti e la corretta applicazione delle regole di deontologia, egli potrà chiedere l’intervento del Garante della Privacy mediante la proposizione di un ricorso sul quale, dopo aver acquisito la documentazione prodotta da ciascuna delle parti, l’Autorità Garante si dovrà pronunciare emettendo un provvedimento che decide la controversia insorta.
Come appare evidente, negli ultimi tempi, si sono fatti importanti progressi in materia di tutela dei diritti del consumatore, anche nel settore creditizio. Ma come spesso accade il miglioramento è molto più evidente nella teoria piuttosto che nella pratica. Infatti attraverso l’analisi dei provvedimenti emessi dal Garante della Privacy è ancora possibile notare l’adozione di comportamenti da parte di diversi enti (creditizi e non) e dei S.I.C. che si collocano in palese contrasto con le norme sulla privacy e con le regole deontologiche (a titolo esemplificativo si vedano i provvedimenti del 7 dicembre 2006, doc. web n. 1375114 e doc. web n.1375133, provvedimento del 11 ottobre 2006 doc. web n.1357932 - www.garanteprivacy.it ).
Tra le varie fattispecie concrete di violazione, si nota che la conservazione ed il trattamento dei dati negativi, oltre i termini temporali previsti dal codice, costituisce un problema ancora attuale.
Non sono pochi i casi, oggetto di ricorso al Garante, in cui il cliente continua ad essere segnalato ai S.I.C. senza ottenere il dovuto preavviso, quindi senza alcuna garanzia di contraddittorio con l’ente creditizio segnalante. Inoltre è stato dimostrato che l’accesso ai dati viene spesso consentito illecitamente a soggetti diversi dagli enti creditizi, per il perseguimento di finalità del tutto diverse dalla tutela del credito.
Emblematico, al riguardo, è il caso della trasmissione illecita di informazioni effettuata nell’anno 2006 dai S.I.C. in favore dei principali gestori telefonici operanti in Italia.
I provvedimenti del Garante evidenziano che l’accesso ai dati personali è stato consentito ai gestori telefonici, in particolare, per favorire la valutazione, da parte di questi ultimi, del rischio connesso alla sottoscrizione di contratti telefonici in abbonamento (post pagato) con i loro potenziali clienti, quindi in ipotesi ben diverse dalla richiesta di una dilazione del pagamento del costo del servizio erogato (al riguardo si vedano i provvedimenti del Garante 4 maggio 2006 doc. web n.1302311 – 1302339 – 1302373 – 1302385 – 1302395).
Questi comportamenti devono essere repressi e sanzionati non solo perché determinano una grave lesione del diritto alla tutela dei dati personali (peraltro già compresso per le ragioni di tutela del credito sopra esposte), ma soprattutto perché impediscono al consumatore più debole di accedere al credito, esponendolo talvolta ad un ingiusto e ben più grave danno economico.