PRIVACY - Ipoteca legale e gestore d'informazioni creditizie.
![Provvedimento del 02.03.2011 [doc. web n° 1801567]](/images/cache/b0f2b9646dc788a8969cf86a05bff8b0_w700_h350_cp.jpg)
Può un gestore d'informazioni creditizie tenere lecitamente nel suo database i dati relativi all'ipoteca legale di un privato che si sia opposto al trattamento?
Il 02.03.2011 il Garante privacy si è occupato della fattispecie, concernente un gestore italiano di un sistema di informazioni creditizie molto diffuso tra banche e finanziarie, al quale possono - come noto - attingere anche i soggetti che esercitano attività di recupero crediti, e persino i privati che, nell'esercizio della loro attività commerciale o professionale, concedano ai clienti dilazioni di pagamento del corrispettivo per la fornitura di beni o servizi.
Quali regole governano queste banche dati sui pagamenti e sulla affidabilità del credito?
Dal 01.01.2005 i gestori dei Sic devono adeguarsi alla disciplina stabilita dal Codice di deontologia per i sistemi di informazioni creditizie (cc.dd. SIC), costituente parte integrante del T.U. privacy:
il rispetto delle disposizioni del'"Allegato A.5." al D.L.vo n° 196/03, il “Codice di deontologia e buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti” (Provvedimento del Garante n° 8 del 16.11.2004, pubblicato nel Bollettino n° 55/2004, in G.U. 23.12.2004 n° 300, come modificato dall'errata corrige pubblicata in G.U. il 09.03.2005 n° 56 e come integrato dalla valutazione del Garante privacy [*] formalizzata in G.U. 03.03.2006 n° 54), costituisce condizione essenziale per la liceità e la correttezza del trattamento dei dati personali effettuato da soggetti privati e pubblici.
Il sistema di informazioni creditizie è congegnato in modo tale da raccogliere dati di tipo positivo (puntualità dei pagamenti o domande di finanziamento presentate o rinunciate, ad esempio) e negativo (ritardi e inadempimenti, ad esempio), frutto di segnalazioni fornite direttamente dai soggetti partecipanti e riguardanti l'andamento dei singoli rapporti di credito, occasionati dalla richiesta e/o erogazione ai clienti di mutui, prestiti personali, fidi in conto corrente, carte di credito, finanziamenti per l'acquistar a rate di beni o servizi, esclusivamente per finalità collegate alla tutela del credito e al contenimento dei relativi rischi, inerenti al debitore principale nonché ai soggetti coobbligati, anche in solido. Se é vero che gli enti partecipanti a tale sistema decidono in piena autonomia se accogliere o no le richieste di finanziamento che gli pervengono, attenendosi ai propri criteri interni di valutazione, e inoltre che il sistema d'informazioni creditizie non gestisce alcun archivio protesti, limitandosi ad attingere a quello tenuto dalle Camere di Commercio, è altrettanto innegabile che il "ciclo" di gestione dei vari dati risulta molto complesso e articolato, anche in ragione della natura del rapporto di credito e risulta altresì potenziato dall'ampio arco temporale di conservazione dei dati, atto a consentire a coloro che consultino la banca dati di poter valutare nel tempo il merito di credito di un soggetto, il suo livello di indebitamento e ogni altra notizia attinente all'esistenza di pratiche in istruttoria attivate da altri partecipi al Sic.
Assai rilevanti, infatti, sono i tempi di conservazione dei dati nei sistemi di informazioni creditizie:
- per le richieste di finanziamento = gg. 180, qualora l'istruttoria lo richieda, o gg. 30 in caso di non accoglimento della richiesta o di sua rinuncia;
- per la morosità di due rate o di due mesi poi sanate = 12 mesi, dalla registrazione nel sistema, della regolarizzazione (salvo che, nel periodo, non vengano registrati dati relativi ad altri ritardi o inadempimenti);
- per i ritardi superiori sanati anche su transazione = 24 mesi, dalla registrazione nel sistema, dalla regolarizzazione (salvo che, nel periodo, non vengano registrati dati relativi ad altri ritardi o inadempimenti);
- per gli eventi negativi non sanati (morosità, gravi inadempimenti e sofferenze) = 36 mesi dalla data di scadenza contrattuale del rapporto o dalla data in cui è risultato necessario l'ultimo aggiornamento (in caso di successivi accordi o altri eventi rilevanti in relazione al rimborso);
- per i rapporti svoltisi positivamente (puntualmente) = 24 mesi, attualmente estesi [*] sino a un massimo di 36 mesi nel caso in cui nel sistema siano registrati altri dati di tipo negativo dell'interessato inerenti ad altri rapporti di credito con ritardi o inadempimenti non regolarizzati.
I titolari di tali rapporti di credito - quali interessati al trattamento dei propri dati personali - sono inclusi nella banca dati solo se abbiano previamente accettato la clausola relativa al trattamento dei dati che li riguardano.
Però, mentre la conservazione nel sistema delle informazioni dell'interessato che adempia puntualmente ai pagamenti nel sistema necessita del suo consenso, dal consenso dell'interessato si può prescindere nel caso in cui vi siano ritardi nei pagamenti o insoluti o anche se i rapporti di credito ineriscano alla sua attività imprenditoriale o professionale.
Il trattamento effettuato dal gestore non può riguardare dati sensibili (ad esempio lo stato di malattia del debitore) né dati giudiziari (lo stato di carcerazione dell'obbligato condannato), ma soltanto dati obiettivi riconducibili ai dati anagrafici dell'interessato, al codice fiscale o alla partita via; ai dati relativi alla richiesta/rapporto di credito (tipologia di contratto, importo del credito, modalità di rimborso e stato della richiesta o esecuzione del contratto); dati contabili (pagamenti, andamento periodico, esposizione debitoria residua, sintesi dello stato contabile del rapporto); dati sull'eventuale attività di recupero del credito o contenziose, a cessioni del credito, a vicende incidenti sulla situazione soggettiva o patrimoniale di imprese, persone giuridiche o enti; dati dei partecipanti che hanno comunicato i vari dati personali degli interessati; codifiche e criteri atti a facilitare la lettura delle vicende del rapporto di credito segnalato; per l'istruttoria di una richiesta di credito o per la gestione dei rapporti di credito instaurati possono essere adoperati sistemi automatizzati di credit scoring (giudizi, indicatori, punteggi, metodi di analisi statistica, algoritmi) da elaborare in tempo reale e i cui risultati sono comunicati solo al partecipante che ha ricevuto la richiesta di credito dall'interessato o a quello che inviò i dati, senza conservazione di detti esiti.
Peraltro, i gestori dei Sic possono avvalersi, oltreché delle informazioni fornite dai partecipanti piuttosto che direttamente dagli interessati, anche dei dati personali provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque: siffatti notizie, però, non devono venire "interconnesse" al Sic e, anzi, il gestore deve assicurare la separazione delle banche dati e la distinguibilità (con appositi indici), da parte del partecipante, delle notizie apprese dal sistema ovvero dalla banca dati pubblica (conservatoria dei registri immobiliari, catasto, visure camerali, registro protesti, etc.).
Per tornare alla questione esaminata dal Garante, il caso era stato generato dalla richiesta di cancellazione di un'ipoteca legale, risultante da pubblico registro, a carico di un certo interessato, il quale, ritardato il pagamento d'alcune rate di mutuo, si era opposto all'ulteriore conservazione di altri suoi dati personali da parte del sistema informatico controllato dal gestore.
Il Garante, preso atto dell'eliminazione da parte del gestore di dati di tipo positivo inerenti l'interessato, ha ribadito che il consenso dell'interessato, in linea generale, non occorre per trattare dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, talché il gestore ben può avvalersene, se le informazioni sono riportate in modo conforme alle risultanze dei pubblici registri.
| Decisioni su ricorsi - 02 marzo 2011 | Bollettino del n. 125/marzo 2011 |
 |
|
Provvedimento del 02.03.2011 [doc. web n° 1801567]
Registro dei provvedimenti n° 083 del 02.03.2011
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del prof. Francesco Pizzetti, Presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele De Paoli, Segretario generale;
Visto il ricorso presentato il 4 gennaio 2011 nei confronti KK S.P.A. con il quale XY, ribadendo l'istanza già precedentemente avanzata ai sensi degli artt. 7 e 8 del Codice in materia di protezione dei dati personali, nel manifestare la revoca del consenso all'ulteriore trattamento, ha chiesto la cancellazione dei dati personali che la riguardano inseriti nel sistema di informazioni creditizie gestito da KK S.P.A. in relazione al ritardo nel pagamento di alcune rate di un mutuo, dichiarando di non aver ricevuto, da parte dell'ente partecipante, il preavviso relativo all'imminente segnalazione dei dati personali nel predetto sistema di informazioni creditizie, come previsto dall'art. 4, comma 7, del codice di deontologia e buona condotta per i sistemi informativi gestiti da soggetti privati in tema di credito al consumo, affidabilità e puntualità nei pagamenti (Provv. del Garante n. 8 del 16 novembre 2004, in Gazzetta Ufficiale 23.12.2004, n. 300; d.m. 14.01.2005, in Gazzetta Ufficiale 29.01.2005, n. 23);
Rilevato che la ricorrente ha chiesto altresì la cancellazione dei dati relativi ad un'ipoteca legale iscritta a suo carico da WW S.P.A.;
Visti gli ulteriori atti d'ufficio e, in particolare, la nota del 19.01.2011, con la quale questa Autorità, ai sensi dell'art. 149 del Codice, ha invitato il titolare del trattamento a fornire riscontro alle richieste della ricorrente;
Vista la nota inviata via fax il 07.02.2011 con la quale KK S.P.A., nel comunicare di aver "provveduto, recependo la revoca del consenso comunicata dalla ricorrente (…), a cancellare le informazioni creditizie di tipo positivo presenti nella propria banca dati, dandone tempestivo riscontro con la lettera del 18.11.2010", ha precisato che, "come già indicato alla ricorrente (…) alcuna informazione creditizia di tipo negativo era già a tale data registrata nel Sic di KK e che ad oggi la ricorrente non risulta censita nel Sic di KK, come da report aggiornato" che ha allegato;
Rilevato che, per quanto riguarda l'informazione di fonte pubblica relativa all'ipoteca legale di cui al ricorso, la società ha rappresentato che "i dati riferiti alla ricorrente sono aggiornati e completi rispetto a quanto registrato presso la fonte pubblica, come tra l'altro già segnalato" alla medesima ricorrente in occasione del riscontro fornito a seguito dell'interpello preventivo; considerato che la resistente ha chiesto di porre a carico della controparte le spese sostenute per il procedimento;
Rilevato che il trattamento effettuato allo stato dalla resistente ha per oggetto dati personali tratti da pubblici registri e che tali informazioni, in termini generali, possono essere utilizzate senza il consenso dell'interessato ai sensi dell'art. 24, comma 1, lett. c), del Codice;
Ritenuto, pertanto, di dover dichiarare infondata la richiesta di cancellazione dei dati tuttora presenti nell'archivio di KK S.P.A., avanzata dalla ricorrente in quanto gli stessi, alla luce delle dichiarazioni rese dal titolare del trattamento, non risultano trattati in violazione di legge e vengono riportati in modo conforme alle risultanze dei pubblici registri;
Ritenuta la sussistenza di giusti motivi per compensare le spese del procedimento fra le parti;
Visti gli artt. 145 e s. del Codice in materia di protezione dei dati personali (D.L.vo 30.06.2003 n° 196);
Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore il dott. Mauro Paissan;
tutto ciò premesso,
IL GARANTE
a) dichiara infondato il ricorso; b) dichiara compensate le spese tra le parti.
Roma, 2 marzo 2011
IL PRESIDENTE
, Pizzetti
IL RELATORE
, Paissan
IL SEGRETARIO GENERALE,
De Paoli