Garante per la protezione
    dei dati personali


vedi anche:

I Sic dopo le verifiche svolte dal Garante
Experian

- Gestori telefonici: informazioni sulla solvibilitł e affidabilitł dei clientiH3G

Telecom

Vodafone

Wind

Trattamento dei dati nei Sic: Crif

PROVVEDIMENTO DEL 4 MAGGIO 2006

 

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

In data odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Giuseppe Fortunato e del dott. Mauro Paissan, componenti, e del dott. Giovanni Buttarelli, segretario generale;

Visti gli accertamenti disposti dal Garante per verificare la liceitł e la correttezza dei trattamenti di dati personali effettuati tramite i sistemi di informazioni creditizie alla luce delle disposizioni vigenti in materia di protezione dei dati personali e di quelle contenute nel codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilitł e puntualitł nei pagamenti (pubblicato in G.U. 23 dicembre 2004, n. 300);

Vista la documentazione in atti e il verbale relativo all'attivitł ispettiva condotta presso Crif S.p.A., con richiesta di informazioni ed esibizione di documenti ai sensi dell'art. 157 del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Mauro Paissan;

PREMESSO

1. Il trattamento di dati personali nei sistemi di informazioni creditizie
In considerazione delle conseguenze derivanti dai trattamenti di dati personali effettuati tramite i sistemi di informazioni creditizie sui soggetti che, in varie forme, accedono a finanziamenti, nonchÄ del carattere strumentale assunto da tali sistemi informativi in ordine alla stessa erogazione del credito, il Garante ha da tempo attribuito ad essi un'attenzione elevata: la materia (gił a partire dal 1999) Ć stata oggetto di una pluralitł di decisioni adottate a seguito della presentazione di ricorsi, oggi disciplinati dagli articoli 145 ss. del Codice e, successivamente, in considerazione dei numerosi reclami e segnalazioni pervenuti, di un provvedimento di carattere generale (Provv. 31 luglio 2002).

A far data dal 1í gennaio 2005, in tale ambito trova applicazione il "codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilitł e puntualitł nei pagamenti" (consultabile in G.U. 23 dicembre 2004, n. 300), adottato in attuazione delle previsioni contenute negli artt. 12 e 117 del Codice. In esso hanno trovato spazio disposizioni la cui conformitł alle leggi e ai regolamenti Ć stata verificata dal Garante che contribuisce, altresô, a garantirne la diffusione e il rispetto.

Il rispetto delle regole deontologiche adottate secondo la particolare procedura descritta all'art. 12 del Codice costituisce condizione essenziale per la liceitł del trattamento: ad esse gli operatori del settore creditizio e finanziario devono attenersi in relazione ai trattamenti di dati personali relativi a contratti di finanziamento (cfr. art. 12 del Codice).

2. L'attivitł di controllo nei confronti del sistema gestito da Crif S.p.A.
Al fine di accertare la liceitł e la correttezza dei trattamenti di dati personali con riguardo alla disciplina rilevante in materia e alle disposizioni contenute nel medesimo codice di deontologia, in data 14 ottobre 2005, nell'ambito degli accertamenti aventi ad oggetto i principali sistemi di informazioni creditizie, Ć stata effettuata un'ispezione presso Crif S.p.A. (di seguito Crif), gestore di un sistema di informazioni creditizie.

Il presente provvedimento tiene conto sia della comunicazione e della relativa documentazione inerente alle modalitł di funzionamento del proprio sistema di informazione creditizia inviate da Crif in data 30 giugno 2005 (in ossequio alla disposizione contenuta nell'art. 13, comma 5, del codice deontologico), sia delle risultanze dell'attivitł ispettiva svolta.

OSSERVA

3. Struttura del sistema di informazioni creditizie e finalitł del trattamento

3.1. Dalla documentazione acquisita presso Crif risulta che i trattamenti posti in essere per la finalitł di tutela del credito e di valutazione del rischio creditizio sono resi dalla societł avvalendosi dell'archivio denominato Eurisc, nel quale "confluiscono tutti i dati conferiti dalle societł partecipanti relativi alla richiesta di un rapporto di credito e alla sua successiva gestione". Sussistono altresô ulteriori banche di dati, alimentate da elenchi pubblici, e contenenti "dati telefonici" (ricavati dagli elenchi telefonici), come pure dati tratti dalle liste elettorali utilizzate per un'applicazione denominata "allarme antifrode".

Nell'archivio Eurisc sono censite informazioni relative a richieste e rapporti di finanziamento, anche di importo superiore alla soglia del credito al consumo, conferite da soggetti "partecipanti" (meglio individuati alla luce delle disposizioni contenute all'art. 1, comma 1, lett. a) ed e) del codice deontologico), svolgenti attivitł di intermediazione bancaria e finanziaria, o da altri soggetti privati che, nell'esercizio di un'attivitł commerciale o professionale, concedono una dilazione di pagamento del corrispettivo per la fornitura di beni e servizi ai sensi del testo unico delle leggi in materia bancaria (d.lg. n. 385/1993).

Nel corso dell'ispezione Ć emerso che anche altri soggetti privi della qualitł appena indicata (e che pure non pongono in essere dilazioni di pagamento), hanno accesso, nelle forme di seguito precisate, al sistema di informazioni creditizie.

Si tratta, in particolare, di alcuni fornitori di servizi di comunicazione elettronica che, "pur non contribuendo dati al Sic, sono ammess[i] a consultarlo ad eccezione dei dati relativi agli affidamenti in conto"; tali soggetti, "a partire dal 30 aprile 2005, non contribuiscono dati al SIC se non quelli relativi alle richieste di servizio", registrate e conservate nel sistema per sei mesi, salva la possibilitł di revocare il consenso, e visibili ai soli gestori di servizi telefonici (cfr. verbale di ispezione, p. 2). Inoltre, "successivamente al 30 aprile 2005, tutti i dati conferiti in passato da queste categorie di societł, relativi anche allo sviluppo del rapporto, sono stati cancellati" (cfr. p. 3 del citato verbale).

3.2. I trattamenti posti in essere da Crif si pongono, nei termini di seguito descritti, in contrasto con la disciplina di protezione dei dati personali, ivi incluse le disposizioni attualmente contenute nel codice di deontologia (il cui rispetto, come ricordato, costituisce condizione essenziale per la liceitł del trattamento).

Aspetto qualificante dei trattamenti posti in essere dai sistemi di informazioni creditizie Ć rappresentato, infatti, dalla specifica finalitł che i medesimi possono, allo stato, perseguire legittimamente (da cui discende altresô la tipologia dei soggetti che possono oggi accedervi): come gił affermato in passato dal Garante tutti gli operatori devono rispettare il principio di finalitł consistente, in base alla vigente disciplina, "nella tutela del credito e nel contenimento del relativo rischio, in virtŁ del quale la consultazione dei dati personali riguardanti gli interessati puś avvenire soltanto se strettamente connessa all'istruttoria di una richiesta di finanziamento" (cfr. punto 4 del citato provvedimento del  31 luglio 2002).

Tale principio, enunciato, peraltro, con riferimento ad altri sistemi di informazioni creditizie che perseguono analoga finalitł (cfr. per la Centrale rischi della Banca d'Italia, il cap. 1, punto 2 delle "Istruzioni degli intermediari creditizi", Circ. n. 139, 11 febbraio 1991–9í aggiornamento del 22 giugno 2004, e per il sistema di rilevazione dei rischi di importo contenuto il punto 3 della delibera Cicr del 3 maggio 1999 in G.U. dell'8 luglio 1999, n. 158), trova ulteriore riscontro nella collocazione sistematica dell'art. 117 del Codice, inserito all'interno del titolo IX del medesimo Codice che riguarda il sistema bancario e finanziario.

Il predetto principio Ć sviluppato nel codice di deontologia e di buona condotta adottato ai sensi del medesimo art. 117 del Codice, in virtŁ del quale le informazioni relative all'affidabilitł e puntualitł nei pagamenti della clientela possono essere trattate ai fini della "concessione, nell'esercizio di un'attivitł commerciale o professionale, di credito sotto forma di dilazione di pagamento, di finanziamento o di altra analoga facilitazione finanziaria ai sensi del testo unico delle leggi in materia bancaria e creditizia (d.lg. 1í settembre 1993, n. 385)" [cfr. art. 1, comma 1, lett. a) del codice di deontologia].

In questo ambito non rientrano le tipologie contrattuali ascrivibili ai contratti ad esecuzione continuata o periodica (quali sono i contratti di somministrazione di servizi di comunicazione elettronica o di locazione di apparecchi terminali), nei quali la scadenza pattuita delle singole rate non Ć riconducibile alla diversa figura della dilazione del pagamento; le scadenze periodiche non rappresentano, infatti, alcun differimento del pagamento della somma dovuta, ma (semplicemente) i termini nei quali deve essere pagato dall'utente il corrispettivo delle prestazioni godute per le correlative rate temporali (qui connesse all'erogazione di servizi di telefonia o al godimento di beni).

In tal senso, peraltro, il Garante si Ć gił pronunciato, disponendo la cancellazione dei dati comunicati da operatori telefonici in sistemi di informazioni creditizie, in quanto reputati non pertinenti per la commisurazione del rischio creditizio (cfr. decisioni su ricorso del 16 settembre 2004 e 5 novembre 2004).

Peraltro, anche il verbale di sottoscrizione del codice di deontologia del 26 ottobre 2004 esclude espressamente dall'ambito di applicazione di quest'ultimo, rimettendola ad una distinta ed autonoma trattazione, "la tematica della ricognizione dell'affidabilitł e della puntualitł dei pagamenti in altri contesti, con specifico riferimento ad inadempimenti nel settore della telefonia, individuando idonee soluzioni circa la questione del se e come determinati operatori possano anche consultare, per alcune categorie di interessati, taluni dati di sintesi relativi ai suddetti inadempimenti presenti nei sistemi di informazioni creditizie, ferma restando la diversitł degli ambiti ora considerati".

Come evidenziato dalle risultanze ispettive, invece, Crif ha centralizzato alcune informazioni relative a contratti di somministrazione dei servizi di telefonia (con modalitł che formeranno oggetto di separata e autonoma valutazione); in pari tempo, consente ai fornitori di servizi di comunicazione elettronica di accedere ad informazioni personali che sono invece trattate nel proprio sistema di informazioni per la distinta finalitł della referenziazione creditizia. Di tale circostanza, peraltro, non Ć stata data alcuna notizia al Garante nella comunicazione del 30 giugno 2005, posto che nella medesima si fa riferimento a "tipi di operazioni" censite diverse dai contratti di somministrazione di servizi telefonici (cfr. Crif, "Informazioni comunicate al Garante in ottemperanza a quanto previsto all'art. 13 comma 5 lettera c del codice deontologico", p. 5; All. A, Specifiche tecniche, p. 2, relativamente alle "operazioni gestite su Eurisc dal cliente").

In tal modo –contravvenendo al principio di pertinenza rispetto alla finalitł legittimamente perseguibile e al principio di liceitł del trattamento, avendo anche violato le regole deontologiche (ex artt. 12 e 117 del Codice)– la societł ha effettuato trattamenti illeciti di dati personali.

Tale circostanza risulta ulteriormente confermata dalle risultanze delle attivitł ispettive svolte presso alcuni gestori telefonici (cfr. comunicazione del 13 marzo 2006 inviata da Vodafone Omnitel N.V. a seguito dell'ispezione effettuata il 2 marzo 2006; v. altresô verbale delle operazioni compiute nei confronti di H3G S.p.A. del 5 aprile 2006).

Alla luce delle considerazioni sopra esposte, ai sensi dell'art. 154, comma 1, lett. d), del Codice, il Garante vieta a Crif di porre in essere le operazioni di trattamento appena descritte, consistenti nella comunicazione di dati personali contenuti nel sistema di informazione creditizia a soggetti non autorizzati, nel caso di specie, i fornitori di servizi di comunicazione elettronica.

3.3. Come anticipato, presso Crif formano oggetto di trattamento anche dati ricavati da elenchi telefonici e dati tratti dalle liste elettorali "utilizzati da un'applicazione di allarme antifrode". Ú previsto, inoltre, un collegamento alla banca dati del Ministero dell'interno per la verifica degli estremi dei documenti smarriti e rubati eventualmente utilizzati per effettuare una richiesta di credito (cfr. verbale d'ispezione p. 2).

Se l'accesso a tale banca dati non risulta allo stato illecito, in quanto la stessa, costituita per la verifica di documenti smarriti o rubati, Ć consultabile con alcune modalitł (salvo verificarne in sede autonoma le modalitł stesse con le quali il collegamento viene attuato), va invece rilevato che i dati estratti dalle liste elettorali sono utilizzati da Crif per finalitł diverse da quelle previste dal legislatore per tali elenchi all'art. 51, comma 5, del decreto del Presidente della Repubblica 20 marzo 1967, n. 223 (come modificato dall'art. 177, comma 5, del Codice), secondo cui "[l]e liste elettorali possono essere rilasciate in copia per finalitł di applicazione della disciplina in materia di elettorato attivo e passivo, di studio, di ricerca statistica, scientifica o storica, o carattere socio-assistenziale o per il perseguimento di un interesse collettivo o diffuso".

Quest'ultima disciplina cosô innovata preclude l'utilizzazione delle menzionate informazioni per finalitł diverse da quelle ivi espressamente indicate, come accade relativamente "all'applicazione di allarme antifrode" utilizzata da Crif.

Il trattamento di dati personali effettuato utilizzando i dati provenienti da tali liste, si pone pertanto in violazione del principio di liceitł del trattamento (art. 11 del Codice).

4. Informativa agli interessati
Dall'esame dell'informativa resa da Crif agli interessati (allegata alla comunicazione 30 giugno 2005 in atti e pubblicata sul sito web della societł), si rileva l'incompletezza della medesima rispetto ai trattamenti gił effettuati atteso che nessun riferimento viene fatto, rispetto ai dati trattati, a quelli relativi ai contratti di somministrazione di servizi di telefonia. L'informativa prevede infatti che formano oggetto di trattamento i "dati relativi alla richiesta/rapporto di credito, descrittivi della tipologia del contratto (es. prestito personale, mutuo ipotecario, carte rateali e a saldo, affidamento revolving, etc.)"; nÄ si fa cenno alla comunicazione di dati personali trattati nel sistema di informazione creditizia a favore delle menzionate societł di telefonia. Precisato che i partecipanti al sistema informativo sono "banche; intermediari finanziari; altri soggetti privati che, nell'esercizio di attivitł commerciale o professionale, concedono dilazioni di pagamento", l'informativa prevede che "i dati sono comunicati ai partecipanti che accedono al Sic Eurisc mediante consultazione della relativa banca dati".

Del pari, non viene fornita alcuna informazione in ordine al trattamento di dati personali tratti da elenchi telefonici e liste elettorali, nÄ alla finalitł perseguita attraverso i medesimi.

A tal riguardo, questa Autoritł si riserva di procedere, nell'ambito di un autonomo procedimento ai sensi dell'art. 161 del Codice, alla contestazione della violazione amministrativa connessa all'informativa inidonea.

5. Consenso degli interessati
Al di lł della violazione della disciplina di protezione dei dati personali per i profili sopra individuati, relativi all'osservanza dei principi di finalitł e pertinenza (art. 11 del Codice) e in ragione dell'inidoneitł dell'informativa resa agli interessati (art. 13 del Codice), deve rilevarsi un ulteriore profilo di violazione del Codice.

In relazione alla comunicazione di dati personali (anche solo in forma di score) nei confronti di operatori economici che forniscono prestazioni dedotte in contratti di somministrazione di servizi (nel caso di specie di comunicazione elettronica) o di locazione di beni, le considerazioni appena svolte con riguardo all'informativa resa –anche attraverso la modulistica contrattuale messa a disposizione dei partecipanti nella fase precontrattuale–, si riflettono anche sul diverso profilo della validitł dell'eventuale consenso manifestato dagli interessati. Posto, infatti, che quest'ultimo, per produrre i propri effetti, deve essere "informato" (artt. 13 e 23, comma 3, del Codice), il rilevato difetto nell'informativa resa determina per ciś solo l'inefficacia del consenso, quando Ć raccolto, da parte del titolare del trattamento (in questa sede, il gestore del sistema di informazioni creditizie) e la conseguente illiceitł, anche sotto questo aspetto, del trattamento effettuato (artt. 11 e 23 del Codice).

6. Dati contenuti nel sistema d'informazioni creditizie

6.1. Nel corso dell'attivitł ispettiva ha formato altresô oggetto di verifica la posizione di una segnalante rispetto alla quale nel report informativo veniva indicata, in relazione ad una carta di credito a saldo resa inattiva (apparentemente a far data dal 1999), la dizione "fraudolenza". A tale proposito Ć emerso che, in conformitł al manuale di fornitura periodica delle informazioni al sistema di informazione creditizie Eurisc (p. 32), tale dizione "Ć comunemente intesa come utilizzo improprio della carta con lo scopo di commettere un'operazione fraudolenta" (cfr. verbale p. 4).

Tale tipologia di informazioni (e piŁ in generale quelle relative all'utilizzo di carte di credito per ciascun mese, oltre all'ammontare degli importi relativi all'utilizzo) non rientra nel novero delle informazioni indicate all'art. 3, comma 3, del predetto codice di deontologia e di buona condotta, sô da doversene disporre, allo stato, il blocco ai sensi dell'art. 154, comma 1, lett. d) del Codice, considerata anche l'esigenza di ulteriori accertamenti.

6.2. Dalle dichiarazioni rese risulta altresô che Crif, a partire dal 30 aprile 2005, registra nel sistema di informazioni creditizie anche dati "relativi alle richieste di servizio (telefonico) [╔] conservati per sei mesi, salvo revoca del consenso, e [╔] visibili solo alle societł telefoniche". La centralizzazione di tali informazioni, che per gli accorgimenti adottati non sono a disposizione dei soggetti indicati nel codice di deontologia e di buona condotta per finalitł di referenziazione creditizia, formerł, come detto, oggetto di separata valutazione da parte dell'Autoritł.

7. Riscontro in caso di esercizio del diritto d'accesso degli interessati
Altra circostanza oggetto di verifica presso Crif ha riguardato le modalitł con le quali viene reso il riscontro all'esercizio del diritto d'accesso ai sensi dell'art. 7 del Codice da parte degli interessati. Dalla documentazione acquisita, oltre che dalle verifiche effettuate nell'ambito della complessa attivitł ispettiva, si Ć rilevato che le informazioni trattate (e condivise con i partecipanti) sono significativamente piŁ ricche e di maggior dettaglio rispetto a quelle comunicate agli interessati. Ad esempio, non formano oggetto di comunicazione agli interessati, tra l'altro, il numero di rate non pagate, i mesi (o altra scadenza) di riferimento, il termine nel quale Ć intervenuto il tardivo adempimento (c.d. regolarizzazione del pagamento, espresso dalla locuzione sintetica "pagamento tardivo regolarizzato").

Nell'ambito dell'ispezione Ć stato rappresentato che "la societł ha fatto la scelta di comunicare in modo sintetico e comprensibile tutte le informazioni relative all'interessato, nella convinzione che la riproduzione integrale e fedele delle informazioni cosô come fornite ai partecipanti non fosse idonea e funzionale a soddisfare le esigenze di accesso".

7.1. Tale comportamento e la scelta aziendale operata da Crif non sono conformi alla disciplina di protezione dei dati personali, con specifico riferimento ai precetti contenuti nell'art. 10 del Codice. In piŁ occasioni il Garante ha precisato che il riscontro in sede di diritto d'accesso deve essere compiuto ed analitico in ordine a tutte le informazioni di carattere personale che riguardano l'interessato (Provv. 28 settembre 2001, in Boll. n. 22, p. 42; Provv. 8 novembre 2001, in Boll. n. 23, p. 74; Provv. 15 novembre 2001, in Boll. n. 23, p. 62): tale orientamento trova chiaro fondamento nell'art. 10, comma 3, del Codice secondo il quale "il riscontro all'interessato comprende tutti i dati personali" che lo riguardano "comunque trattati dal titolare".

Inoltre, in conformitł all'art. 10, commi 1 e 6, del Codice, tali informazioni devono essere comunicate in forma agevolmente comprensibile (cfr. Provv. 23 maggio 2000, in Boll. n. 13, p. 21), adottando le misure opportune per agevolare l'esercizio dei diritti dell'interessato, ad esempio chiarendo il significato di alcuni codici (o dizioni) utilizzati (cfr. Provv. 26 marzo 2001, in Boll. n. 18, p. 9).

Nel caso di specie, la comunicazione effettuata da Crif agli interessati non mette in condizione gli stessi di controllare l'esattezza dei dati trattati, non potendosi, ad esempio, conoscere a quali rate si riferiscono gli inadempimenti che vengono loro ascritti; di riflesso si preclude ai medesimi di verificare agevolmente se la conservazione dei dati sia legittima.

In considerazione di quanto esposto, questa Autoritł prescrive a Crif, ai sensi dell'art. 154, comma 1, lett. c), del Codice, l'adozione di modalitł comunicative tali da rendere edotto l'interessato che eserciti il diritto di accesso di cui all'art. 7 del Codice dell'integralitł delle informazioni che lo riguardano; ciś, nel termine massimo di 120 giorni a decorrere dalla data di ricezione del presente provvedimento (termine che tiene in debito conto anche la necessitł dei tempi di implementazione delle relative procedure tecnologiche).

TUTTO CI˝ PREMESSO IL GARANTE

a) ai sensi dell'articolo 154, comma 1, lett. d), del Codice vieta a Crif S.p.A. l'ulteriore trattamento di dati personali consistente nella comunicazione di dati contenuti nel sistema di informazioni creditizie a favore di soggetti non autorizzati e, in particolare, ai fornitori di servizi di comunicazione elettronica, trattamento da interrompere senza ritardo, e comunque entro e non oltre quindici giorni dalla data di ricezione del presente provvedimento, dandone conferma a questa Autoritł entro la medesima data;

b) ai sensi dell'articolo 154, comma 1, lett. d), del Codice dispone nei confronti di Crif S.p.A. il blocco del trattamento dei dati eccedenti rispetto alla finalitł perseguita ai fini della commisurazione del rischio creditizio, con particolare riguardo all'utilizzo irregolare di carte di pagamento, blocco da effettuare senza ritardo, e comunque entro e non oltre quindici giorni dalla data di ricezione del presente provvedimento, dandone conferma a questa Autoritł entro la medesima data;

c) ai sensi dell'articolo 154, comma 1, lett. d), del Codice vieta a Crif S.p.A. di trattare i dati ricavati dalle liste elettorali per la finalitł connessa alla c.d. "applicazione di allarme antifrode", trattamento da interrompere senza ritardo, e comunque entro e non oltre quindici giorni dalla data di ricezione del presente provvedimento, dandone conferma a questa Autoritł entro la medesima data;

d) ai sensi dell'art. 154, comma 1, lett. c), del Codice prescrive a Crif S.p.A. di adottare senza ritardo, e comunque entro e non oltre centoventi giorni dalla data di ricezione del presente provvedimento, le misure e gli accorgimenti necessari a fornire un idoneo riscontro alle istanze di accesso degli interessati, dandone conferma a questa Autoritł entro la medesima data.

Roma, 4 maggio 2006

IL PRESIDENTE
Pizzetti

IL RELATORE
Paissan

IL SEGRETARIO GENERALE
Buttarelli