Garante per la protezione
    dei dati personali


vedi anche:


I Sic dopo le verifiche svolte dal Garante
 Crif

- Gestori telefonici: informazioni sulla solvibilitł e affidabilitł dei clientiH3G

Telecom

Vodafone

Wind

Trattamento dei dati nei Sic: Experian

PROVVEDIMENTO DEL 4 MAGGIO 2006

 

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

In data odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Giuseppe Fortunato e del dott. Mauro Paissan, componenti, e del dott. Giovanni Buttarelli, segretario generale;

Visti gli accertamenti disposti dal Garante per verificare la liceitł e la correttezza dei trattamenti di dati personali effettuati tramite i sistemi di informazione creditizia alla luce delle disposizioni vigenti in materia di protezione dei dati personali e di quelle contenute nel codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilitł e puntualitł nei pagamenti (pubblicato in G.U. 23 dicembre 2004, n. 300);

Vista la documentazione in atti e, in particolare, il verbale relativo all'attivitł ispettiva condotta presso Experian Information Services S.p.A., con richiesta di informazioni ed esibizione di documenti ai sensi dell'art. 157 del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003 n. 196);

Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Mauro Paissan;

PREMESSO

1. Il trattamento di dati personali nei sistemi di informazioni creditizie
In considerazione delle conseguenze derivanti dai trattamenti di dati personali effettuati tramite i sistemi di informazioni creditizie sui soggetti che, in varie forme, accedono a finanziamenti, nonchÄ del carattere strumentale assunto da tali sistemi informativi in ordine alla stessa erogazione del credito, il Garante ha da tempo attribuito ad essi un'attenzione elevata: la materia (gił a partire dal 1999) Ć stata oggetto di una pluralitł di decisioni adottate a seguito della presentazione di ricorsi oggi disciplinati dagli articoli 145 ss. del Codice e, successivamente, in considerazione dei numerosi reclami e segnalazioni pervenuti, di un provvedimento di carattere generale (Provv. 31 luglio 2002).

A far data dal 1í gennaio 2005, in tale ambito trova applicazione il "codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilitł e puntualitł nei pagamenti" (in G.U. 23 dicembre 2004, n. 300), adottato in attuazione delle previsioni contenute negli artt. 12 e 117 del Codice. In esso hanno trovato spazio disposizioni la cui conformitł alle leggi e ai regolamenti Ć stata verificata dal Garante che contribuisce altresô a garantirne la diffusione e il rispetto.

Il rispetto delle regole deontologiche adottate secondo la particolare procedura descritta all'art. 12 del Codice costituisce condizione essenziale per la liceitł del trattamento: ad esse gli operatori del settore creditizio e finanziario devono attenersi in relazione ai trattamenti di dati personali relativi a contratti di finanziamento (cfr. art. 12 del Codice).

2. L'attivitł di controllo nei confronti del sistema gestito da Experian Information Services S.p.A.
Al fine di accertare la liceitł e la correttezza dei trattamenti di dati personali con riguardo alla disciplina rilevante in materia e alle disposizioni contenute nel medesimo codice di deontologia, in data 11 ottobre 2005 –nell'ambito degli accertamenti aventi ad oggetto i principali sistemi di informazioni creditizie– Ć stata effettuata un'ispezione presso Experian Information Services S.p.A. (di seguito Experian), gestore di un sistema di informazioni creditizie.

Il presente provvedimento tiene conto sia della comunicazione e della relativa documentazione inerente alle modalitł di funzionamento di tale sistema di informazioni creditizie inviate da Experian in data 30 giugno 2005 (in ossequio alla disposizione contenuta nell'art. 13, comma 5, del predetto codice deontologico), sia delle risultanze dell'attivitł ispettiva svolta, come pure della documentazione integrativa inviata dalla societł al Garante il 18 ottobre 2005.

OSSERVA

3. Struttura del sistema di informazioni creditizie e finalitł del trattamento

3.1. Dalla documentazione acquisita presso Experian risulta che i trattamenti per finalitł di tutela del credito e valutazione del rischio creditizio sono effettuati da tale societł avvalendosi di differenti archivi "la cui struttura informatica si basa su un mainframe fisicamente ubicato in Nottingham, Inghilterra". Il trattamento Ć effettuato per mezzo di un archivio relativo alle richieste di finanziamento, denominato "credit application previous search" (Caps), e di un archivio relativo ai finanziamenti concessi e alla storia dei relativi pagamenti, denominato "credit account information sharing" (Cais); possono formare altresô oggetto di trattamento ulteriori dati personali (anagrafici, attivitł professionale svolta dai soggetti censiti, recapiti telefonici dei medesimi) (cfr. comunicazione 30 giugno 2005 All. 2, Credit bureau –Contenuto dei campi) ed altri provenienti da banche-dati pubbliche, comunque separati dagli archivi Cais e Caps.

In tale articolato sistema informativo, e in particolare negli archivi Cais e Caps, sono censite informazioni relative a richieste e a rapporti di finanziamento, anche di importo superiore alla soglia del credito al consumo, conferite da soggetti "partecipanti" (meglio individuati alla luce delle disposizioni contenute all'art. 1, comma 1, lett. a) ed e), del codice deontologico), svolgenti attivitł di intermediazione bancaria e finanziaria, o da altri soggetti privati che, nell'esercizio di un'attivitł commerciale o professionale, concedono una dilazione di pagamento del corrispettivo per la fornitura di beni o servizi ai sensi del testo unico delle leggi in materia bancaria (d.lg. 1í settembre 1993, n. 385).

Oltre ad essi, tuttavia, solo in sede di ispezione –atteso che nessun riferimento a tale circostanza si evince dalla comunicazione del 30 giugno 2005, nÄ dai testi ad essa allegati (tra le tipologie contrattuali oggetto di comunicazione a Experian da parte dei partecipanti risultano, infatti, solo contratti di finanziamento: cfr. comunicazione 30 giugno 2005, All. 2, Credit Bureau, All. C, Contenuto dei campi, p. 4, punto 7; All. 3 bis, Contribuzione archivio Cais, p. 4, punto 2.3. e p. 12, n. 6)– Ć emerso che alcuni soggetti privi della qualifica appena indicata (e che pure di norma non pongono in essere dilazioni di pagamento, ma esigono il pagamento del corrispettivo dovuto per il godimento di prestazioni ad esecuzione continuata o periodica), hanno accesso al sistema di informazioni creditizie, nelle forme di seguito precisate. Si tratta, in particolare, di alcuni fornitori di servizi di comunicazione elettronica che con riferimento, ad esempio, a contratti di fornitura di servizi o di locazione di apparecchi terminali, hanno "accesso al Sic o a porzioni limitate dello stesso " (cfr. verbale d'ispezione p. 2).

A questo proposito, nel corso dell'ispezione dell'11 ottobre 2005, il direttore generale di Experian, riservandosi di integrare quanto affermato, ha dichiarato che "i gestori di telefonia mobile hanno accesso al Sic, ma possono visualizzare solo un set di informazioni sintetiche", concernenti i "dati relativi al numero di contratti in sofferenza, al numero di insoluti lievi e gravi oltre allo scoring " (cfr. verbale di ispezione p. 2). Invero, il set di informazioni che forma oggetto di trattamento da parte dei predetti fornitori consiste in un novero piŁ ampio di dati contenuti nei sistemi di informazioni creditizie, come risulta dalla stessa comunicazione di Experian del 18 ottobre 2005.

Nel corso delle attivitł ispettive Ć stato altresô dichiarato che "i gestori di telefonia sopra indicati non contribuiscono informazioni al Sic e i dati contribuiti in passato dai predetti soggetti sono stati, nell'ambito delle operazioni di adeguamento al Codice deontologico, trasposti in un altro sistema informativo attualmente operativo, anche esso residente a Nottingham, nel quale gli operatori telefonici sono partecipanti in quanto vi accedono e vi contribuiscono " (cfr. verbale di ispezione p. 2).

3.2. Alla luce di quanto sopra esposto, i trattamenti posti in essere da Experian si pongono, nei termini di seguito descritti, in contrasto con la disciplina di protezione dei dati personali e le disposizioni attualmente contenute nel codice di deontologia (il cui rispetto, come ricordato, costituisce condizione essenziale per la liceitł del trattamento).

Aspetto qualificante dei trattamenti posti in essere dai sistemi di informazioni creditizie Ć rappresentato, infatti, dalla specifica finalitł che i medesimi possono, allo stato, perseguire legittimamente (da cui discende, altresô, la tipologia dei soggetti che possono oggi accedervi): come gił affermato in passato dal Garante, tutti gli operatori devono rispettare il principio di finalitł, consistente in base alla vigente disciplina "nella tutela del credito e nel contenimento del relativo rischio, in virtŁ del quale la consultazione dei dati personali riguardanti gli interessati puś avvenire soltanto se strettamente connessa all'istruttoria di una richiesta di finanziamento " (cfr. punto 4 del citato provvedimento del 31 luglio 2002).

Tale principio, enunciato, peraltro, con riferimento ad altri sistemi di informazione creditizia che perseguono analoga finalitł (cfr. per la Centrale rischi della Banca d'Italia, il cap. 1, punto 2 delle "Istruzioni degli intermediari creditizi", Circ. n. 139, 11 febbraio 1991–9í aggiornamento del 22 giugno 2004, e per il sistema di rilevazione dei rischi di importo contenuto il punto 3 della delibera Cicr del 3 maggio 1999 in G.U. 8 luglio 1999, n. 158), trova ulteriore riscontro nella collocazione sistematica dell'art. 117 del Codice, inserito all'interno del titolo IX del medesimo Codice che riguarda il sistema bancario e finanziario.

Il predetto principio Ć sviluppato nel codice di deontologia e di buona condotta adottato ai sensi del medesimo art. 117 del Codice, in virtŁ del quale le informazioni relative all'affidabilitł e puntualitł nei pagamenti della clientela possono essere trattate ai fini della "concessione, nell'esercizio di un'attivitł commerciale o professionale, di credito sotto forma di dilazione di pagamento, di finanziamento o di altra analoga facilitazione finanziaria ai sensi del testo unico delle leggi in materia bancaria e creditizia (d.lg. 1í settembre 1993, n. 385) " [cfr. art. 1, comma 1, lett. a) del codice di deontologia].

In tale ambito non rientrano le tipologie contrattuali ascrivibili ai contratti ad esecuzione continuata o periodica (quali sono i contratti di somministrazione di servizi di comunicazione elettronica o di locazione di apparecchi terminali), nei quali la scadenza pattuita delle singole rate non Ć riconducibile alla diversa figura della dilazione del pagamento; le scadenze periodiche non rappresentano, infatti, alcun differimento del pagamento della somma dovuta, ma (semplicemente) i termini nei quali deve essere pagato dall'utente il corrispettivo delle prestazioni godute per le correlative rate temporali (qui connesse all'erogazione di servizi di telefonia o al godimento di beni).

In tal senso, peraltro, il Garante si Ć gił pronunciato, disponendo la cancellazione dei dati comunicati da operatori telefonici in sistemi di informazioni creditizie, in quanto reputati non pertinenti per la commisurazione del rischio creditizio (cfr. decisioni su ricorso del 16 settembre 2004 e 5 novembre 2004).

Peraltro, anche il verbale di sottoscrizione del codice di deontologia del 26 ottobre 2004 esclude espressamente dall'ambito di applicazione di quest'ultimo, rimettendola ad una distinta ed autonoma trattazione, "la tematica della ricognizione dell'affidabilitł e della puntualitł dei pagamenti in altri contesti, con specifico riferimento ad inadempimenti nel settore della telefonia, individuando idonee soluzioni circa la questione del se e come determinati operatori possano anche consultare, per alcune categorie di interessati, taluni dati di sintesi relativi ai suddetti inadempimenti presenti nei sistemi di informazioni creditizie, ferma restando la diversitł degli ambiti ora considerati ".

Come evidenziato dalle risultanze ispettive, invece, Experian ha centralizzato, trasponendoli, come gił rilevato nel punto 3.1., in un archivio distinto rispetto al sistema di informazioni creditizie, le  informazioni relative a contratti di somministrazione dei servizi di telefonia (con modalitł che formeranno oggetto di separata ed autonoma valutazione), senza menzionare tali tipologie contrattuali nella propria comunicazione del 30 giugno 2005; in pari tempo, consente ai fornitori di servizi di comunicazione elettronica di telefonia di accedere ad un numero consistente di informazioni personali che sono invece trattate per la distinta finalitł della referenziazione creditizia (come si Ć visto al punto 3). In tal modo –contravvenendo al principio di pertinenza rispetto alla finalitł legittimamente perseguibile e al principio di liceitł del trattamento, avendo anche violato le regole deontologiche (ex artt. 12 e 117 del Codice)– la societł ha effettuato trattamenti illeciti di dati personali.

Tale circostanza risulta ulteriormente confermata dalle risultanze delle attivitł ispettive svolte presso alcuni gestori telefonici (cfr. verbale delle operazioni compiute nei confronti di Vodafone Omnitel N.V. del 2 marzo 2006; v. verbale delle operazioni compiute nei confronti di Telecom Italia S.p.A. dell'11 aprile 2006; v., altresô, verbale delle operazioni compiute nei confronti di Wind telecomunicazioni S.p.A. del 7 aprile 2006).

Alla luce delle considerazioni sopra esposte, ai sensi dell'art. 154, comma 1, lett. d), del Codice, il Garante vieta ad Experian di porre in essere le operazioni di trattamento appena descritte, consistenti nella comunicazione di dati personali contenuti nel sistema di informazione creditizia a favore di soggetti non autorizzati, nel caso di specie, i fornitori di servizi di comunicazione elettronica.

4. Informativa agli interessati
Dall'esame dell'informativa resa da Experian agli interessati (comunicazione 30 giugno 2005, All. 7, pubblicata sul sito web della societł), si rileva l'incompletezza della medesima rispetto ai trattamenti gił effettuati, atteso che nessun riferimento viene fatto alla comunicazione di dati a favore delle menzionate societł di telefonia, non rientrando queste ultime nel novero dei soggetti contemplati dall'informativa. Quest'ultima prevede infatti che i "dati presenti nel sistema possono essere comunicati ai relativi partecipanti, quali banche, intermediari finanziari ed altri soggetti privati che, nell'esercizio di un'attivitł commerciale o professionale, concedono una dilazione di pagamento del corrispettivo per la fornitura di beni o servizi ".

L'informativa, peraltro, risulta incompleta anche con riguardo alla tipologia dei contratti censiti, menzionando la medesima soltanto dati relativi a richieste o rapporti di credito, senza alcun riferimento a contratti di somministrazione (cfr. All. 7 cit.).

A tal riguardo, questa Autoritł si riserva di procedere, nell'ambito di un autonomo procedimento ai sensi dell'art. 161 del Codice, alla contestazione della violazione amministrativa connessa dell'inidonea informativa.

5. Consenso degli interessati
Al di lł della violazione della disciplina di protezione dei dati personali per i profili sopra individuati, relativi all'osservanza dei principi di finalitł e pertinenza (art. 11 del Codice) e in ragione dell'inidoneitł dell'informativa resa agli interessati (art. 13 del Codice), deve rilevarsi un ulteriore profilo di violazione del Codice.

In relazione alla comunicazione di dati personali (in forma di score e di dati analitici) nei confronti di operatori economici che forniscono prestazioni dedotte in contratti di somministrazione di servizi (nel caso di specie, di comunicazione elettronica) o di locazione di beni, le considerazioni appena svolte con riguardo all'informativa resa –anche attraverso la modulistica contrattuale messa a disposizione dei partecipanti nella fase precontrattuale–, si riflettono anche sul diverso profilo della validitł del consenso degli interessati, quando Ć manifestato. Posto, infatti, che quest'ultimo, per produrre i propri effetti, deve essere "informato" (artt. 13 e 23, comma 3 del Codice), il rilevato difetto nell'informativa resa determina per ciś solo l'inefficacia dell'eventuale consenso raccolto da parte del titolare del trattamento (in questa sede, il gestore del sistema di informazioni creditizie) e la conseguente illiceitł, anche sotto questo aspetto, del trattamento effettuato (artt. 11 e 23 del Codice).

6. Dati contenuti nel sistema d'informazioni creditizie
Dalla documentazione inviata con la comunicazione del 30 giugno 2005 (cfr. All. 2, Credit bureau, Contenuto dei campi) risulta che sono suscettibili di trattamento nel sistema di informazioni creditizie di Experian dati ulteriori rispetto a quelli necessari al fine di verificare la puntualitł dei pagamenti (ed analiticamente individuati all'art. 3, comma 3, del codice deontologico): si tratta, in particolare, di informazioni personali relative allo stato civile, all'abitazione, all'attivitł lavorativa svolta dall'interessato.

Alla luce di tali considerazioni, ponendosi tale trattamento in violazione dei principi di necessitł e pertinenza (artt. 3 e 11 del Codice), oltre che delle regole deontologiche sopra richiamate, il medesimo Ć illecito e, pertanto, deve essere vietato ai sensi dell'art. 154, comma 1, lett. d) del Codice.

7. Riscontro in caso di esercizio del diritto d'accesso degli interessati
Altra circostanza oggetto di verifica presso Experian ha riguardato le modalitł con le quali viene reso il riscontro all'esercizio del diritto di accesso ai sensi dell'art. 7 del Codice da parte degli interessati. Dalla documentazione acquisita, oltre che dalle verifiche effettuate nell'ambito della complessa attivitł ispettiva, si Ć rilevato che le informazioni trattate (e condivise con i partecipanti) sono significativamente piŁ ricche e di maggior dettaglio rispetto a quelle comunicate agli interessati. Ad esempio, non formano oggetto di comunicazione agli interessati, tra l'altro, il numero di rate non pagate, i mesi (o altra scadenza) di riferimento, il termine nel quale Ć intervenuto il tardivo adempimento (c.d. regolarizzazione del pagamento).

Al riguardo, Experian, fornendo a titolo esemplificativo due report analoghi a quelli rilasciati agli interessati, ha dichiarato che le informazioni comunicate in sede di riscontro all'esercizio dei diritti previsti dall'art. 7 del Codice sarebbero comunque "sufficientemente analitic[he]" e che non sarebbe "opportuno integrare il predetto report con l'indicazione del numero delle rate non pagate e dei mesi di riferimento a causa del rischio di errore nel riportare tali informazioni". Ciś in quanto, non essendo stata posta in essere una procedura automatizzata per la formazione dei citati report, le informazioni di dettaglio dovrebbero essere inserite "manualmente dall'operatore ".

7.1. Tale comportamento e la scelta aziendale operata da Experian non sono conformi alla disciplina di protezione dei dati personali, con specifico riferimento ai precetti contenuti nell'art. 10 del Codice. In piŁ occasioni il Garante ha precisato che il riscontro in sede di diritto di accesso deve essere compiuto ed analitico in ordine a tutte le informazioni di carattere personale che riguardano l'interessato (Provv. 28 settembre 2001, in Boll. n. 22, p. 42; Provv. 8 novembre 2001, in Boll. n. 23, p. 74; Provv. 15 novembre 2001, in Boll. n. 23, p. 62): tale orientamento trova chiaro fondamento nell'art. 10, comma 3, del Codice secondo il quale "il riscontro all'interessato comprende tutti i dati personali" che lo riguardano "comunque trattati dal titolare".

Inoltre, in conformitł all'art. 10, commi 1 e 6, del Codice, tali informazioni devono essere comunicate in forma agevolmente comprensibile (cfr. Provv. 23 maggio 2000, in Boll. n. 13, p. 21), adottando le misure opportune per agevolare l'esercizio dei diritti dell'interessato, ad esempio chiarendo il significato di alcuni codici (o dizioni) utilizzati (cfr. Provv. 26 marzo 2001, in Boll. n. 18, p. 9).

Nel caso di specie, la comunicazione effettuata da Experian agli interessati non mette gli stessi in condizione di controllare l'esattezza dei dati trattati, non potendosi, ad esempio, conoscere a quali rate si riferiscono gli inadempimenti che vengono loro ascritti; di riflesso, viene preclusa ai medesimi anche la possibilitł di verificare agevolmente se la conservazione dei dati sia lecita.

In considerazione di quanto esposto, questa Autoritł prescrive ad Experian, ai sensi dell'art. 154, comma 1, lett. c), del Codice l'adozione di modalitł comunicative tali da rendere edotto l'interessato che eserciti il diritto di accesso di cui all'art. 7 del Codice, dell'integralitł delle informazioni che lo riguardano; ciś, nel termine massimo di centoventi giorni, a decorrere dalla data di ricezione del presente provvedimento (termine che tiene in debito conto anche la necessitł dei tempi di implementazione delle relative procedure tecnologiche).

TUTTO CI˝ PREMESSO IL GARANTE

a) ai sensi dell'art. 154, comma 1, lett. d), del Codice vieta ad Experian Information Service S.p.A. l'ulteriore trattamento di dati personali consistente nella comunicazione di dati contenuti nel sistema di informazioni creditizie a favore di soggetti non autorizzati e, in particolare, ai fornitori di servizi di comunicazione elettronica, trattamento da interrompere senza ritardo e comunque entro e non oltre quindici giorni dalla data di ricezione del presente provvedimento, dandone conferma a questa Autoritł entro la medesima data;

b) ai sensi dell'art. 154, comma 1, lett. d), del Codice dispone nei confronti di Experian Information Service S.p.A. il blocco del trattamento dei dati eccedenti rispetto alla finalitł perseguita ai fini della commisurazione del rischio creditizio, con particolare riguardo ai dati individuati al punto 6 del presente provvedimento, blocco da effettuare senza ritardo e comunque entro e non oltre quindici giorni dalla data di ricezione del presente provvedimento, dandone conferma a questa Autoritł entro la medesima data;

c) ai sensi dell'art. 154, comma 1, lett. c), del Codice prescrive ad Experian Information Service S.p.A. di adottare senza ritardo, e comunque entro e non oltre centoventi giorni dalla data di ricezione del presente provvedimento, le misure e gli accorgimenti necessari a fornire un idoneo riscontro alle istanze di accesso degli interessati, dandone conferma a questa Autoritł entro la medesima data.

Roma, 4 maggio 2006

IL PRESIDENTE
Pizzetti

IL RELATORE
Paissan

IL SEGRETARIO GENERALE
Buttarelli