Garante per la protezione
    dei dati personali

DELIBERAZIONE 16 novembre 2004

Bilanciamento di interessi. (Deliberazione n. 9).

(GU n. 300 del 23-12-2004)

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale;

Visto il provvedimento adottato in data odierna da questa Autorità con il quale il Garante ha verificato la conformità alle leggi e ai regolamenti ed ha disposto la pubblicazione nella Gazzetta Ufficiale del codice di deontologia e di buona condotta sottoscritto in tema di sistemi informativi di cui sono titolari soggetti privati, utilizzati per la concessione di credito al consumo o comunque riguardanti l'affidabilità e la puntualità nei pagamenti (articolo 20, comma 2, lettera e), decreto legislativo n. 467/2001; articolo 117 del Codice in materia di protezione dei dati personali);

Visti i precedenti provvedimenti adottati al riguardo dal Garante il 10 aprile 2002 (in Gazzetta Ufficiale 8 maggio 2002, n. 106) e il 31 luglio 2002 (in Bollettino del Garante n. 30/2002, p. 47) e ritenuta la necessità che questa Autorità, anche in relazione agli elementi acquisiti durante i lavori propedeutici alla sottoscrizione del predetto codice di deontologia e di buona condotta, indichi in materia modalità di attuazione idonee ed efficaci delle disposizioni del Codice sui presupposti di liceità del trattamento;

Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'articolo 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Gaetano Rasi;

Premesso:

1. Sistemi di informazioni creditizie.

I sistemi informativi gestiti da soggetti privati ai fini della concessione di crediti al consumo o della valutazione dell'affidabilità dei richiedenti e della puntualità nei pagamenti non sono attualmente oggetto di specifica normativa, a differenza di quanto avviene per:

a) servizi o sistemi centralizzati di rilevazione dei rischi creditizi, prevalentemente di rilevante importo, istituiti in base al testo unico delle leggi in materia bancaria e creditizia con deliberazioni del Cicr, regolati da istruzioni della Banca d'Italia e sottoposti alla relativa vigilanza;

b) altri registri, banche di dati e archivi pubblici conoscibili da chiunque, utilizzati anche ai fini della concessione di crediti e disciplinati con specifiche normative (es.: registro informatico dei protesti, conservatorie dei registri immobiliari, ecc.).

In Italia, i sistemi informativi gestiti da privati si sono sviluppati prima dell'introduzione della normativa sulla protezione dei dati personali, in assenza di regole e di criteri comuni ed in forme diverse. Ciò, è avvenuto nell'ambito di associazioni o consorzi di operatori finanziari o di attività o servizi a pagamento svolti su iniziativa di società specializzate, in genere sulla base di accordi o contratti tra i gestori dei sistemi e i privati che vi partecipano.

Tali sistemi sono utilizzati da operatori del settore creditizio e finanziario -banche ed intermediari finanziari come, ad esempio, le società finanziarie e di leasing finanziario - per condividere e scambiare informazioni su finanziamenti anche di contenuto importo e su pagamenti ratei. I fini perseguiti sono quelli di tutela del credito e di contenimento dei relativi rischi, in relazione anche alla necessità di accrescere la stabilità del sistema bancario e finanziario e all'esigenza rappresentata nel settore volta a sviluppare le attività produttive attraverso il sostegno della domanda di beni di consumo e di servizi (con particolare riferimento a contesti come quello del credito al consumo, presi in considerazione solo indirettamente o parzialmente nell'ambito delle "centrali rischi" di natura pubblica disciplinate, come detto, a livello normativo).

I sistemi privati in esame, già correntemente denominati come "centrali rischi" private, sono stati ora disciplinati dal previstocodice di deontologia e di buona condotta che li ha anche definiti come "sistemi di informazioni creditizie".

2. Consenso ed altri presupposti di liceità del trattamento

Con riferimento al trattamento dei dati personali, inclusi quelli relativi allo svolgimento "positivo" dei rapporti di credito, i soggetti privati che gestiscono i predetti sistemi informativi devono acquisire, per l'eventuale tramite degli organismi partecipanti, il consenso libero ed informato degli interessati, espresso specificamente in rapporto ai vari trattamenti, in conformità a quanto stabilito dal Codice (articolo 23) e dal predetto codice di deontologia e buona condotta.

Nel quadro di un elevato livello di garanzie per gli interessati (articolo 2 del Codice), va garantito agli stessi il diritto di decidere consapevolmente se i propri dati possano essere registrati nei predetti sistemi informativi (allo scopo, ad esempio, di rendere più agevole il rilascio di futuri finanziamenti), senza condizionamenti anche di fatto o timori che tale determinazione si ripercuota negativamente sui propri rapporti, attuali o futuri, con gli operatori finanziari.

In alternativa al consenso, il titolare del trattamento di dati effettuato ai fini della concessione di credito al consumo, della valutazione dell'affidabilità dei richiedenti e della puntualità nei pagamenti, può già ora avvalersi, in alcuni casi, di altri presupposti di liceità previsti dal Codice. Ciò, quando il medesimo trattamento:

a) è necessario per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato (ad esempio, per istruire una richiesta di finanziamento rivolta alla banca o alla società finanziaria: articolo 24, comma 1, lettera b), del Codice);

b) riguarda dati relativi allo svolgimento di attività economiche da parte di società, imprenditori individuali e liberi professionisti, rispettando i limiti richiamati dal Codice (articolo 24, comma 1, lettera d));

c) è necessario per finalità di difesa giudiziaria e per il tempo a ciò strettamente necessario, nonchè in relazione a richieste degli interessati o di competenti autorità pubbliche, nei casi previsti dalla legge (articolo 24, comma 1, lettere a) e f));

d) riguarda dati anonimi trattati per finalità statistiche, per i quali il Codice non è applicabile.

Tali presupposti sono utilizzabili dagli operatori entro i predetti ambiti limitati. Risulta quindi necessario verificare se, in vista della prossima applicazione del codice di deontologia e di buona condotta, il trattamento di determinati dati personali relativi a ritardati o mancati pagamenti effettuati nell'ambito dei predetti sistemi informativi privati possa essere basato su un ulteriore presupposto di liceità, utilizzabile anch'esso dagli operatori in alternativa al consenso libero, espresso e documentato degli interessati (articolo 23 del Codice).

Un'idonea alternativa al consenso va ravvisata nell'istituto del bilanciamento di interessi, che il Codice ha confermato nel nostro ordinamento apportandovi un'opportuna integrazione sulla base dell'esperienza (articolo 24, comma 1, lettera g)).

Il presente provvedimento intende dare attuazione a tale istituto, individuando, sulla base dei principi stabiliti dall'articolo 11 del Codice, i casi in cui il trattamento di alcuni dati personali relativi ai predetti rapporti di credito potrà avvenire, nell'ambito dei già menzionati sistemi informativi, anche senza il consenso degli interessati, al solo fine di perseguire i legittimi interessi del titolare o dei terzi destinatari dei dati e con le modalità stabilite dal presente provvedimento e dal predetto codice di deontologia e di buona condotta.

3. Diritti delle persone e legittimi interessi del settore creditizio e finanziario.

Nel procedere a tale attuazione, va rilevato che i complessi trattamenti di dati personali effettuati negli ambiti sopra descritti presentano alcuni rischi per i diritti e le libertà fondamentali degli interessati, potendo spiegare effetti negativi per la vita privata, per il legittimo accesso all'acquisto di beni e alla fruizione di servizi, nonchè, più in generale, per la dignità e la reputazione, per le loro relazioni sociali o professionali e per l'iniziativa privata.

Considerato il rilevante impatto che i sistemi privati di informazioni creditizie spiega nei rapporti produttivi e commerciali attraverso le valutazioni effettuate per la concessione di crediti al consumo o nella valutazione dell'affidabilità dei richiedenti e della puntualità nei pagamenti, occorre evitare duplicazioni e sovrapposizioni di basi informative e la proliferazione di banche di dati plurisettoriali, centralizzate o interconnesse, con un eccesso di informazioni rivolte a vari scopi, che riguardano un numero elevato di persone e che possono risultare particolarmente invasive a causa dei diversi incroci di dati possibili.

Per altro verso, va constatato che l'acquisizione e lo scambio di informazioni significative relative a ritardati o mancati pagamenti di crediti al consumo, anche attraverso sistemi informativi gestiti da privati, possono risultare rilevanti per la corretta valutazione del merito creditizio e della situazione finanziaria dei richiedenti da parte di banche, società finanziarie e altri intermediari (tenuti ad assicurare una sana e prudente gestione dei finanziamenti) o per contenere eccessivi indebitamenti degli interessati e sovraesposizioni rispetto ai redditi dei debitori, nonchè per prevenire artifizi e raggiri.

4. Bilanciamento degli interessi in caso di trattamento di dati relativi ad informazioni di tipo negativo

Una conoscenza più agevole delle informazioni appena indicate può risultare quindi particolarmente utile per le valutazioni che gli operatori del settore effettuano per concedere crediti o finanziamenti. Resta ferma la necessità che i dati siano trattati nei predetti sistemi solo per i periodi specificati nel citato codice di deontologia e di buona condotta, tenendo conto di vari fattori (evoluzione del settore; funzioni dei menzionati sistemi informativi; corrispondenti tempi di conservazione previsti per altre rilevazioni di rischi creditizi disciplinate e sottoposte alla vigilanza della Banca d'Italia; termini attualmente previsti per conservare i dati riferiti a comportamenti debitori, registrati presso diversi archivi pubblici per finalità diverse da quelle proprie del rischio creditizio, termini di cui è prevista a breve l'armonizzazione in attuazione dell'articolo 119 del Codice).

In base ai richiamati principi di pertinenza, completezza e non eccedenza dei dati, e tenuto conto del nuovo quadro di regole e garanzie introdotto dal codice di deontologia e buona condotta, il Garante ritiene di poter individuare come necessari per perseguire i legittimi interessi dei titolari del trattamento effettuato nell'ambito dei menzionati sistemi informativi, i trattamenti di dati personali relativi a:

a) ritardi nel pagamento di un credito, dati che possono essere conservati nei predetti sistemi, in caso di ritardi pari a due rate o mesi, per dodici mesi dalla data di registrazione dei dati relativi alla loro regolarizzazione e, in caso di ritardi di entità superiore, per ventiquattro mesi dalla data medesima;

b) rapporti di credito per i quali si sono verificati ritardi o inadempimenti non successivamente regolarizzati, dati che possono essere conservati nei predetti sistemi per non oltre trentasei mesi dalla data di scadenza contrattuale del rapporto oppure, in caso di altre vicende rilevanti in relazione al pagamento, dalla data in cui è risultato necessario il loro ultimo aggiornamento, o comunque dalla data di cessazione del rapporto. In quest'ultimo caso, tenendo conto del requisito della completezza dei dati in rapporto alle finalità perseguite (articolo 11, comma 1, lettera d), del Codice), possono essere conservati ulteriormente anche i dati personali relativi ad informazioni creditizie di tipo positivo eventualmente presenti nel sistema informativo, anche se riferiti ad altri rapporti di credito riguardanti il medesimo interessato.

Nei casi individuati nel presente punto 4, il trattamento dei dati personali appena indicati è pertanto lecito per le finalità menzionate anche in assenza del consenso degli interessati, ai sensi dell'articolo 24, comma 1, lettera g), del Codice, con effetto dal 1° gennaio 2005, data in cui il predetto codice di deontologia e di buona condotta entrerà in vigore.

La presente decisione riguarda solo i soggetti definiti come "gestore" o "partecipante" nell'articolo 1 del predetto codice di deontologia e buona condotta.

Per questi motivi, il Garante:

1) individua nei termini di cui in motivazione, ai sensi dell'articolo 24, comma 1, lettera g), del Codice, i casi nei quali il trattamento dei dati personali nell'ambito dei sistemi informativi oggetto del codice di deontologia e di buona condotta di cui in motivazione, può essere effettuato dai gestori e dai partecipanti a tali sistemi nei limiti e alle condizioni sopra indicate, al solo fine di perseguire i predetti legittimi interessi e senza richiedere il consenso degli interessati;

2) dispone infine che il presente provvedimento sia pubblicato nella Gazzetta Ufficiale della Repubblica italiana.

Roma, 16 novembre 2004

Il presidente: Rodotà