Garante per la protezione
    dei dati personali


Scheda informativa

CENTRALI RISCHI

Per rilasciare ad un cliente un finanziamento per l’acquisto di un’autovettura o di un elettrodomestico, un prestito personale o un mutuo per la casa, le banche e le società finanziarie consultano alcuni archivi o banche di dati (le cosiddette "centrali rischi") gestiti da altre società o enti privati che forniscono informazioni sui rapporti di finanziamento, precedenti ed in corso, relativi allo stesso cliente. Esistono varie centrali rischi di natura privata nelle quali possono essere registrate o informazioni riguardanti soltanto ritardati o mancati pagamenti da parte della clientela di diverse finanziarie oppure tutte le informazioni, sia positive che negative, relative allo svolgimento del rapporto di finanziamento.

Per consultare tali archivi gli istituti di credito e finanziari sono a loro volta tenuti a comunicare i dati della clientela che ha chiesto ed ottenuto un finanziamento, segnalando anche eventuali ritardi nei pagamento (le cosiddette "morosità") o situazioni più gravi di mancato rimborso del credito.

Questi dati possono essere conservati nelle centrali rischi  per periodi limitati di tempo, secondo le indicazioni fornite dal Garante nel  provvedimento generale del 31 luglio 2002.

In base alle indicazioni fornite dal Garante in questo provvedimento, i dati relativi alle richieste di finanziamento possono essere conservati in una centrale rischi al massimo per 6 mesi (considerato come un periodo sufficiente per completare la loro istruttoria). Ma se la richiesta non viene accolta o è oggetto di rinuncia da parte del cliente interessato, i dati devono essere cancellati dalla centrale rischi entro 1 mese.

Quando nel corso del rapporto di finanziamento si verificano ritardi nel pagamento delle rate di rimborso, la morosità di un cliente deve essere segnalata o registrata in una centrale rischi soltanto dopo alcuni mesi o nel caso di mancato pagamento di più rate, soprattutto quando si tratta di morosità di modeste entità (alcuni operatori, ad esempio, seguono già la prassi di segnalare ritardi di almeno 4 mesi o di 4 rate mensili).

La principale finalità è quella di evitare che in una centrale rischi privata risultino immediatamente dei mancati pagamenti causati da anomalie o disguidi bancari o postali non sempre imputabili agli interessati.

A tale scopo, le banche e le società finanziarie, prima di effettuare la segnalazione della morosità in una o più centrali rischi, sono tenute a dare un preavviso agli interessati (anche in occasione del sollecito di pagamento).

I dati relativi a morosità completamente sanate, poi, devono essere comunque cancellati entro 1 anno dalla data della loro regolarizzazione o comunque dalla data d’estinzione, anche anticipata, del rapporto di finanziamento (chiaramente senza debiti residui).

Soltanto i dati relativi a ritardi nei pagamenti eventualmente non regolarizzati o a più  gravi situazioni di mancato rimborso del finanziamento possono essere conservati per un periodo di tempo più ampio e, comunque, per tutta la durata del rapporto e al massimo per tre anni dalla data in cui è risultato effettivamente necessario aggiornare la posizione del finanziamento (in relazione a vicende successive riguardanti, ad esempio, il recupero del credito o la chiusura di un'eventuale contenzioso tra la finanziaria ed il cliente).

In caso  di errori nella registrazione dei dati in una centrale rischi, di segnalazioni ingiustificate o di conservazione dei dati relativi a richieste o rapporti di finanziamento per periodi eccedenti, il Codice in materia di protezione di dati personali (d.lgs. n.196/2003) riconosce all’interessato il diritto di rivolgersi direttamente al titolare o al responsabile del trattamento dei dati presso la centrale rischi, per ottenere conferma dell’esistenza o meno dei dati che lo riguardano, nonché, a seconda dei casi, la correzione, l’integrazione o la cancellazione dei dati di cui non è necessaria la conservazione. (Qualora non si conoscano gli estremi identificativi e i recapiti delle centrali rischi, è possibile chiederli alla banca o alla società finanziaria di riferimento).

Nel caso in cui non venga data risposta, ovvero vengano rifiutati l’accesso o l’esercizio di uno degli altri diritti indicati dal Codice (art.7), lo stesso interessato potrà ricorrere all’autorità giudiziaria ordinaria o al Garante per le forme di tutela previste.

Provvedimento generale

Diritto di accesso - Prescrizioni di carattere generale per le "centrali rischi" private - 31 luglio 2002 in Bollettino n. 30 - Luglio/Agosto 2002, p. 47

Altri provvedimenti

* Diritti dell'interessato e consenso - "Centrali rischi" private: revoca del consenso rispetto a dati non pregiudizievoli e sospensione della loro trasmissione - 31 luglio 2002 in Bollettino n. 30 - Luglio/Agosto 2002, p. 23

* Diritti dell'interessato e consenso - "Centrali rischi" private: eccessiva conservazione dei dati e revoca del consenso - 11 luglio 2002 in Bollettino n. 30 - Luglio/Agosto 2002, p. 27

* Diritti dell'interessato e consenso - "Centrali rischi" private: conservazione di dati relativi a ratei saldati solo di recente - 4 luglio 2002 in Bollettino n. 30 - Luglio/Agosto 2002, p. 25

* Diritti dell'interessato e consenso - La banca non può comunicare alla 'centrale rischi' privata di non aver rilasciato una carta di credito - 4 luglio 2002 in Bollettino 30 - Luglio/Agosto 2002, p. 33

* Diritto di accesso - "Centrali rischi" private: dati relativi a persistenti ritardi - 10 luglio 2002 in Bollettino 30 - Luglio/Agosto 2002, p. 43

* Diritto di accesso - "Centrali rischi" private: recente saldo di debito relativo a carta di credito - 25 luglio 2002 in Bollettino 30 - Luglio/Agosto 2002, p. 45

* Procedimento relativo ai ricorsi - "Centrali rischi" private: cancellazione di dati relativi alla richiesta di una carta di credito - 11 luglio 2002 in Bollettino 30 - Luglio/Agosto 2002, p. 76

* Diritto di accesso - Segnalazioni alla Centrale rischi della Banca d'Italia - 25 giugno 2002 in Bollettino n. 29 - Giugno 2002, p. 27

* Diritto di accesso - Riservatezza e comunicazione di dati alla centrale rischi della Banca d'Italia - 25 giugno 2002in Bollettino n. 29 - Giugno 2002, p. 25

* Diritto di accesso - Consenso e cancellazione di dati personali detenuti da una "centrale rischi" - 19 giugno 2002 in Bollettino n. 29 - Giugno 2002, p. 10

* Diritto di accesso - Informazioni commerciali accessibili su Internet - 16 maggio 2002 in Bollettino n. 28 - Maggio 2002, p. 31

* Diritto di accesso - É limitata la conservazione nel tempo dei dati nelle "centrali rischi" private - 2 maggio 2002 in Bollettino n. 28 - Maggio 2002, p. 15

* Procedimento relativo ai ricorsi - Richiesta di cancellazione dei dati da una "centrale rischi" privata e declaratoria di non luogo a provvedere - 10 aprile 2002 in Bollettino n. 27 - Aprile 2002, p. 52

* Procedimento relativo ai ricorsi - É necessario che sussista identità di oggetto fra l'istanza al titolare e il ricorso al Garante - 5 marzo 2002 in Bollettino n. 26 - Marzo 2002, p. 18

* Diritto di accesso - Cancellazione dei dati relativi ai protesti cambiari - 7 febbraio 2002 in Bollettino n. 25 - Febbraio 2002, p. 14

* Diritto di accesso - Trattamento di dati personali lecitamente acquisiti da una "centrale rischi privata" - 31 gennaio 2002 in Bollettino n. 24 - Gennaio 2002, p. 13 e p. 16

* Diritto di accesso - Trattamento di dati personali detenuti da una "centrale rischi" privata - 10 gennaio 2002 in Bollettino n. 24 - Gennaio 2002, p. 11

* Diritto di accesso - Trattamento di dati personali detenuti detenuti  da una "centrale rischi" privata - 27 dicembre 2001 in Bollettino n. 23- Ottobre/Dicembre 2001, p. 80

* Diritto di accesso - Tempo di conservazione dei dati detenuti da una "centrale rischi" privata - 27 dicembre 2001 in Bollettino n. 23 -  Ottobre/Dicembre 2001, p. 77

* Diritto di accesso - Dati personali errati detenuti da una "centrale rischi" privata - 28 novembre 2001 in Bollettino n. 23 - Ottobre/Dicembre 2001, p. 60

* Consenso - Comunicazione dei dati personali alla Centrale rischi della Banca d'Italia - 17 ottobre 2001 in Bollettino n. 23 - Ottobre/Dicembre 2001, p. 29

* Istituti di credito - Trattamento di dati provenienti dalla Centrale rischi della Banca d’Italia - 10 aprile 2001 in Bollettino n. 19 - Aprile 2001, p. 26

* Cancellazione dei dati solo per trattamenti illeciti - 9 dicembre 1999 in Bollettino n. 10 - Ottobre/Dicembre 1999, p. 48

* Trattamento dei dati personali - La cancellazione o la trasformazione in forma anonima dei dati sono dovute nel solo caso in cui i dati sono trattati in violazione di legge - Nota del 12 ottobre 1998 in Bollettino n. 6 - Settembre/Dicembre 1998, p. 115

Newsletter

* 24 - 30 novembre 2003 - Centrali rischi private: le "sofferenze" sanate vanno cancellate, non basta oscurarle

* 3 - 9 marzo 2003 - Finanziarie. La "sofferenza" sanata va cancellata dalla banca dati

* 1 - 7 settembre 2003 - Centrali rischi e privacy

* 31 dicembre - 6 gennaio 2002 - Pagatori inadempienti per errore? La centrale rischi deve immediatamente cancellare il dato

* 2 - 8 settembre 2002 - Banche e finanziarie: maggiore privacy sui prestiti non concessi

* 5 - 11 novembre 2001 - Correntisti insolventi e centrale rischi

Comunicati stampa

* Privacy e credito: nuove garanzie per i consumatori segnalati nelle centrali rischi come "cattivi pagatori" - 18 novembre 2002

Documenti internazionali

* Documento di lavoro elaborato dal Gruppo ex Art. 29 Direttiva 95/46/CE: Elenchi negativi  - 3 ottobre 2002

* Raccomandazione N. R(90)19 del Comitato dei Ministri del Consiglio d’Europa, sulla protezione dei dati personali utilizzati a fini di pagamento e di altre operazioni connesse.

* Proposta di direttiva del Parlamento europeo e del Consiglio relativa all'armonizzazione delle disposizioni legislative, regolamentari e amministrative degli Stati membri in materia di credito ai consumatori.

Roma, marzo 2004