IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del prof. Stefano Rodota',
presidente, del prof. Giuseppe Santaniello, vice presidente, del
prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott.
Giovanni Buttarelli, segretario generale;
Visto il provvedimento adottato in data odierna da questa Autorita'
con il quale il Garante ha verificato la conformita' alle leggi e ai
regolamenti ed ha disposto la pubblicazione nella Gazzetta Ufficiale
del codice di deontologia e di buona condotta sottoscritto in tema di
sistemi informativi di cui sono titolari soggetti privati, utilizzati
per la concessione di credito al consumo o comunque riguardanti
l'affidabilita' e la puntualita' nei pagamenti (articolo 20, comma 2,
lettera e), decreto legislativo n. 467/2001; articolo 117 del Codice
in materia di protezione dei dati personali);
Visti i precedenti provvedimenti adottati al riguardo dal Garante
il 10 aprile 2002 (in Gazzetta Ufficiale 8 maggio 2002, n. 106) e il
31 luglio 2002 (in Bollettino del Garante n. 30/2002, p. 47) e
ritenuta la necessita' che questa Autorita', anche in relazione agli
elementi acquisiti durante i lavori propedeutici alla sottoscrizione
del predetto codice di deontologia e di buona condotta, indichi in
materia modalita' di attuazione idonee ed efficaci delle disposizioni
del Codice sui presupposti di liceita' del trattamento;
Viste le osservazioni dell'Ufficio formulate dal segretario
generale ai sensi dell'articolo 15 del regolamento del Garante n.
1/2000;
Relatore il prof. Gaetano Rasi;
Premesso:
1. Sistemi di informazioni creditizie.
I sistemi informativi gestiti da soggetti privati ai fini della
concessione di crediti al consumo o della valutazione
dell'affidabilita' dei richiedenti e della puntualita' nei pagamenti
non sono attualmente oggetto di specifica normativa, a differenza di
quanto avviene per:
a) servizi o sistemi centralizzati di rilevazione dei rischi
creditizi, prevalentemente di rilevante importo, istituiti in base al
testo unico delle leggi in materia bancaria e creditizia con
deliberazioni del Cicr, regolati da istruzioni della Banca d'Italia e
sottoposti alla relativa vigilanza;
b) altri registri, banche di dati e archivi pubblici conoscibili
da chiunque, utilizzati anche ai fini della concessione di crediti e
disciplinati con specifiche normative (es.: registro informatico dei
protesti, conservatorie dei registri immobiliari, ecc.).
In Italia, i sistemi informativi gestiti da privati si sono
sviluppati prima dell'introduzione della normativa sulla protezione
dei dati personali, in assenza di regole e di criteri comuni ed in
forme diverse. Cio', e' avvenuto nell'ambito di associazioni o
consorzi di operatori finanziari o di attivita' o servizi a pagamento
svolti su iniziativa di societa' specializzate, in genere sulla base
di accordi o contratti tra i gestori dei sistemi e i privati che vi
partecipano.
Tali sistemi sono utilizzati da operatori del settore creditizio e
finanziario -banche ed intermediari finanziari come, ad esempio, le
societa' finanziarie e di leasing finanziario - per condividere e
scambiare informazioni su finanziamenti anche di contenuto importo e
su pagamenti ratei. I fini perseguiti sono quelli di tutela del
credito e di contenimento dei relativi rischi, in relazione anche
alla necessita' di accrescere la stabilita' del sistema bancario e
finanziario e all'esigenza rappresentata nel settore volta a
sviluppare le attivita' produttive attraverso il sostegno della
domanda di beni di consumo e di servizi (con particolare riferimento
a contesti come quello del credito al consumo, presi in
considerazione solo indirettamente o parzialmente nell'ambito delle
«centrali rischi» di natura pubblica disciplinate, come detto, a
livello normativo).
I sistemi privati in esame, gia' correntemente denominati come
«centrali rischi» private, sono stati ora disciplinati dal previsto
codice di deontologia e di buona condotta che li ha anche definiti
come «sistemi di informazioni creditizie».
2. Consenso ed altri presupposti di liceita' del trattamento
Con riferimento al trattamento dei dati personali, inclusi quelli
relativi allo svolgimento «positivo» dei rapporti di credito, i
soggetti privati che gestiscono i predetti sistemi informativi devono
acquisire, per l'eventuale tramite degli organismi partecipanti, il
consenso libero ed informato degli interessati, espresso
specificamente in rapporto ai vari trattamenti, in conformita' a
quanto stabilito dal Codice (articolo 23) e dal predetto codice di
deontologia e buona condotta.
Nel quadro di un elevato livello di garanzie per gli interessati
(articolo 2 del Codice), va garantito agli stessi il diritto di
decidere consapevolmente se i propri dati possano essere registrati
nei predetti sistemi informativi (allo scopo, ad esempio, di rendere
piu' agevole il rilascio di futuri finanziamenti), senza
condizionamenti anche di fatto o timori che tale determinazione si
ripercuota negativamente sui propri rapporti, attuali o futuri, con
gli operatori finanziari.
In alternativa al consenso, il titolare del trattamento di dati
effettuato ai fini della concessione di credito al consumo, della
valutazione dell'affidabilita' dei richiedenti e della puntualita'
nei pagamenti, puo' gia' ora avvalersi, in alcuni casi, di altri
presupposti di liceita' previsti dal Codice. Cio', quando il medesimo
trattamento:
a) e' necessario per adempiere, prima della conclusione del
contratto, a specifiche richieste dell'interessato (ad esempio, per
istruire una richiesta di finanziamento rivolta alla banca o alla
societa' finanziaria: articolo 24, comma 1, lettera b), del Codice);
b) riguarda dati relativi allo svolgimento di attivita'
economiche da parte di societa', imprenditori individuali e liberi
professionisti, rispettando i limiti richiamati dal Codice
(articolo 24, comma 1, lettera d));
c) e' necessario per finalita' di difesa giudiziaria e per il
tempo a cio' strettamente necessario, nonche' in relazione a
richieste degli interessati o di competenti autorita' pubbliche, nei
casi previsti dalla legge (articolo 24, comma 1, lettere a) e f));
d) riguarda dati anonimi trattati per finalita' statistiche, per
i quali il Codice non e' applicabile.
Tali presupposti sono utilizzabili dagli operatori entro i predetti
ambiti limitati. Risulta quindi necessario verificare se, in vista
della prossima applicazione del codice di deontologia e di buona
condotta, il trattamento di determinati dati personali relativi a
ritardati o mancati pagamenti effettuati nell'ambito dei predetti
sistemi informativi privati possa essere basato su un ulteriore
presupposto di liceita', utilizzabile anch'esso dagli operatori in
alternativa al consenso libero, espresso e documentato degli
interessati (articolo 23 del Codice).
Un'idonea alternativa al consenso va ravvisata nell'istituto del
bilanciamento di interessi, che il Codice ha confermato nel nostro
ordinamento apportandovi un'opportuna integrazione sulla base
dell'esperienza (articolo 24, comma 1, lettera g)).
Il presente provvedimento intende dare attuazione a tale istituto,
individuando, sulla base dei principi stabiliti dall'articolo 11 del
Codice, i casi in cui il trattamento di alcuni dati personali
relativi ai predetti rapporti di credito potra' avvenire, nell'ambito
dei gia' menzionati sistemi informativi, anche senza il consenso
degli interessati, al solo fine di perseguire i legittimi interessi
del titolare o dei terzi destinatari dei dati e con le modalita'
stabilite dal presente provvedimento e dal predetto codice di
deontologia e di buona condotta.
3. Diritti delle persone e legittimi interessi del settore creditizio
e finanziario.
Nel procedere a tale attuazione, va rilevato che i complessi
trattamenti di dati personali effettuati negli ambiti sopra descritti
presentano alcuni rischi per i diritti e le liberta' fondamentali
degli interessati, potendo spiegare effetti negativi per la vita
privata, per il legittimo accesso all'acquisto di beni e alla
fruizione di servizi, nonche', piu' in generale, per la dignita' e la
reputazione, per le loro relazioni sociali o professionali e per
l'iniziativa privata.
Considerato il rilevante impatto che i sistemi privati di
informazioni creditizie spiega nei rapporti produttivi e commerciali
attraverso le valutazioni effettuate per la concessione di crediti al
consumo o nella valutazione dell'affidabilita' dei richiedenti e
della puntualita' nei pagamenti, occorre evitare duplicazioni e
sovrapposizioni di basi informative e la proliferazione di banche di
dati plurisettoriali, centralizzate o interconnesse, con un eccesso
di informazioni rivolte a vari scopi, che riguardano un numero
elevato di persone e che possono risultare particolarmente invasive a
causa dei diversi incroci di dati possibili.
Per altro verso, va constatato che l'acquisizione e lo scambio di
informazioni significative relative a ritardati o mancati pagamenti
di crediti al consumo, anche attraverso sistemi informativi gestiti
da privati, possono risultare rilevanti per la corretta valutazione
del merito creditizio e della situazione finanziaria dei richiedenti
da parte di banche, societa' finanziarie e altri intermediari (tenuti
ad assicurare una sana e prudente gestione dei finanziamenti) o per
contenere eccessivi indebitamenti degli interessati e
sovraesposizioni rispetto ai redditi dei debitori, nonche' per
prevenire artifizi e raggiri.
4. Bilanciamento degli interessi in caso di trattamento di dati
relativi ad informazioni di tipo negativo
Una conoscenza piu' agevole delle informazioni appena indicate puo'
risultare quindi particolarmente utile per le valutazioni che gli
operatori del settore effettuano per concedere crediti o
finanziamenti. Resta ferma la necessita' che i dati siano trattati
nei predetti sistemi solo per i periodi specificati nel citato codice
di deontologia e di buona condotta, tenendo conto di vari fattori
(evoluzione del settore; funzioni dei menzionati sistemi informativi;
corrispondenti tempi di conservazione previsti per altre rilevazioni
di rischi creditizi disciplinate e sottoposte alla vigilanza della
Banca d'Italia; termini attualmente previsti per conservare i dati
riferiti a comportamenti debitori, registrati presso diversi archivi
pubblici per finalita' diverse da quelle proprie del rischio
creditizio, termini di cui e' prevista a breve l'armonizzazione in
attuazione dell'articolo 119 del Codice).
In base ai richiamati principi di pertinenza, completezza e non
eccedenza dei dati, e tenuto conto del nuovo quadro di regole e
garanzie introdotto dal codice di deontologia e buona condotta, il
Garante ritiene di poter individuare come necessari per perseguire i
legittimi interessi dei titolari del trattamento effettuato
nell'ambito dei menzionati sistemi informativi, i trattamenti di dati
personali relativi a:
a) ritardi nel pagamento di un credito, dati che possono essere
conservati nei predetti sistemi, in caso di ritardi pari a due rate o
mesi, per dodici mesi dalla data di registrazione dei dati relativi
alla loro regolarizzazione e, in caso di ritardi di entita'
superiore, per ventiquattro mesi dalla data medesima;
b) rapporti di credito per i quali si sono verificati ritardi o
inadempimenti non successivamente regolarizzati, dati che possono
essere conservati nei predetti sistemi per non oltre trentasei mesi
dalla data di scadenza contrattuale del rapporto oppure, in caso di
altre vicende rilevanti in relazione al pagamento, dalla data in cui
e' risultato necessario il loro ultimo aggiornamento, o comunque
dalla data di cessazione del rapporto. In quest'ultimo caso, tenendo
conto del requisito della completezza dei dati in rapporto alle
finalita' perseguite (articolo 11, comma 1, lettera d), del Codice),
possono essere conservati ulteriormente anche i dati personali
relativi ad informazioni creditizie di tipo positivo eventualmente
presenti nel sistema informativo, anche se riferiti ad altri rapporti
di credito riguardanti il medesimo interessato.
Nei casi individuati nel presente punto 4, il trattamento dei dati
personali appena indicati e' pertanto lecito per le finalita'
menzionate anche in assenza del consenso degli interessati, ai sensi
dell'articolo 24, comma 1, lettera g), del Codice, con effetto dal
1° gennaio 2005, data in cui il predetto codice di deontologia e
buona condotta entrera' in vigore.
La presente decisione riguarda solo i soggetti definiti come
«gestore» o «partecipante» nell'articolo 1 del predetto codice di
deontologia e buona condotta.
Per questi motivi, il Garante:
1) individua nei termini di cui in motivazione, ai sensi
dell'articolo 24, comma 1, lettera g), del Codice, i casi nei quali
il trattamento dei dati personali nell'ambito dei sistemi informativi
oggetto del codice di deontologia e di buona condotta di cui in
motivazione, puo' essere effettuato dai gestori e dai partecipanti a
tali sistemi nei limiti e alle condizioni sopra indicate, al solo
fine di perseguire i predetti legittimi interessi e senza richiedere
il consenso degli interessati;
2) dispone infine che il presente provvedimento sia pubblicato
nella Gazzetta Ufficiale della Repubblica italiana.
Roma, 16 novembre 2004
Il presidente: Rodota'