Per utilizzare questa funzionalità di condivisione sui social network è necessario accettare i cookie della categoria 'Marketing'
Per visualizzare questo banner informativo è necessario accettare i cookie della categoria 'Marketing'
Privacy e credito
Negli ultimi anni sono numerose le segnalazioni di cittadini e associazioni di consumatori che lamentano violazioni in materia di privacy nella gestione, da parte di banche e finanziarie, dei dati relativi a prestiti o finanziamenti. (Si veda PuntoSicuro n.445, n.617).
In attesa dell'emanazione di un codice deontologico di buona condotta relativo ai trattamenti di dati personali effettuati da istituzioni bancarie e finanziarie, il Garante della privacy ha presentato un provvedimento che intende tutelare i consumatori nei loro rapporti con banche e finanziarie quando chiedono o ottengono prestiti, mutui, particolari carte di credito e finanziamenti anche per acquisti rateali (relativi a beni di largo consumo, come, ad esempio, elettrodomestici, cellulari, automobili, computer …).
Il documento individua alcune prime condizioni minime per la raccolta, la conservazione e l'uso delle informazioni presenti nei sistemi informativi di rilevazioni dei rischi creditizi, le cosiddette ''centrali rischi'', utilizzate da banche e finanziarie.
In particolare l'analisi dei ricorsi presentati all'Autorità ha evidenziato la necessità di riconsiderare la congruità del periodo di conservazione delle informazioni di carattere negativo relative ai rapporti di finanziamento e di evitare l'ingiustificata presenza, nelle banche dati delle 'centrali rischi', di dati non sempre o non più significativi che possono determinare effetti pregiudizievoli per gli interessati, anche per quanto riguarda la possibilità di accesso a nuovi crediti. Ad esempio non devono essere conservati i dati relativi a lievi morosità successivamente sanate o richieste di finanziamento non concesso (Si veda PuntoSicuro n.617).
Di seguito presentiamo la sintesi del provvedimento diffusa in un comunicato stampa del Garante.
Uniformare i criteri per la segnalazione dei dati alle 'centrali rischi'
Le attuali modalità di gestione dei sistemi privati di rilevazione dei rischi creditizi, le cosiddette 'centrali rischi', non permettono di distinguere adeguatamente gli eventi da considerare fisiologici in un rapporto destinato a svolgersi nel tempo, e che non incidono sull'affidabilità e solvibilità della clientela, da situazioni più critiche relative a gravi e reiterate inadempienze. Per questi motivi, il Garante ha affermato che i criteri seguiti nei vari circuiti informativi per la segnalazione delle morosità o dei ritardi di pagamento delle rate scadute, devono essere uniformati in chiave di maggiore tutela dei consumatori, tenendo conto della reale gravità degli inadempimenti, in modo tale da non recare pregiudizi ingiustificati ai loro diritti.
Le segnalazioni delle morosità alle 'centrali rischi' devono essere effettuate solo in caso di mancato pagamento di somme consistenti, di più rate o di gravi ritardi, specialmente quando si tratta di finanziamenti di basso importo con rate di modesta entità.
Devono essere previste soglie temporali minime o di più rate cumulate (ad esempio per ritardi di almeno quattro mesi o di quattro rate, secondo la prassi già seguita da alcuni operatori), ed evitare la comunicazione alle 'centrali rischi' private di mancati pagamenti causati da anomalie o disguidi postali e bancari non sempre imputabili agli interessati. Banche e finanziarie, prima di effettuare la segnalazione della morosità alla centrale rischi, devono, comunque, dare un preavviso agli interessati affinché possano eventualmente intervenire.
Conservazione non oltre 1 anno dei dati relativi a morosità regolarizzate
I dati relativi agli eventuali ritardi nei pagamenti, poi completamente sanati, devono essere cancellati entro un anno dalla data della loro regolarizzazione o comunque dalla data di estinzione del rapporto di finanziamento.
All'esito della globale valutazione della prima esperienza applicativa della legge n. 675, e dei contratti di finanziamento stipulati dopo la sua entrata in vigore, il Garante ha rilevato che è sproporzionata la scelta, attualmente in uso, di conservare per cinque anni tutti i dati, anche nel caso in cui la sofferenza è venuta meno o il finanziamento è stato estinto.
Va garantita, insomma, la piena tutela del cosiddetto 'diritto all'oblio' degli interessati, anche in considerazione delle evoluzioni della recente normativa italiana, legislativa e regolamentare, in tema di correttezza nei pagamenti e nell'adempimento delle obbligazioni pecuniarie (esperienze applicative della 'centrale rischi' della Banca d'Italia; cancellazione dagli elenchi dei protesti cambiari; banca dati in materia di assegni).
Illegittima la comunicazione di dati personali riguardanti richieste di finanziamento non accolte o ritirate
La comunicazione che banche e finanziarie effettuano alla 'centrali rischi' per segnalare i dati personali di coloro ai quali non è stato concesso un finanziamento o che vi hanno rinunciato, è ingiustificata, in considerazione del fatto che il rapporto di finanziamento non si è instaurato o si è comunque interrotto ad uno stadio che non legittima una divulgazione dei dati. Spesso, peraltro, il rifiuto di concedere finanziamenti deriva da valutazioni discrezionali di banche e finanziarie o da politiche contrattuali piuttosto che dall'inaffidabilità del cliente. Terminato il periodo necessario per l'istruttoria delle richieste di finanziamento (che può avere, comunque, una durata massima di 6 mesi), i dati relativi alla richiesta non accolta o oggetto di rinuncia dovranno essere cancellati dalla 'centrale rischi' entro un mese e non conservati, come avviene in alcuni casi, per un anno.
Illecita la consultazione dei dati se non legata al finanziamento
E' illecito, ha rilevato l'Autorità, utilizzare i dati personali presenti nelle 'centrali rischi' per scopi estranei all'attività di rilascio o di gestione dei finanziamenti, ad esempio per scopi di marketing. L'utilizzazione dei dati personali può, dunque, avvenire soltanto se strettamente connessa all'istruttoria di una richiesta di finanziamento.
Maggiori informazioni ai consumatori
Nei moduli delle richieste di finanziamento, banche e finanziarie devono fornire ai consumatori dettagliate informazioni sulle 'centrali rischi' alle quali saranno trasmessi i dati, e assicurare agli interessati una piena comprensione degli scopi e delle modalità di raccolta, registrazione e circolazione dei dati.
Riscontri tempestivi
E' necessario che i riscontri alle richieste di accesso, rettifica e cancellazione dei dati, presentate dagli interessati, siano tempestivi e completi, in modo tale da garantire un maggior rispetto dei loro diritti, tenuto conto anche che alcuni comportamenti 'scorretti' espongono sia le 'centrali rischi' sia le banche e le finanziarie a responsabilità civile, anche sul piano dei danni non patrimoniali. Il Garante ritiene, al riguardo, opportuna la prassi, seguita da alcuni operatori, di sospendere la visualizzazione dei dati per il periodo necessario ad effettuare verifiche ed accertamenti. L'accesso dovrà essere garantito anche ai dati espressi in forma di punteggio sul grado di affidabilità o solvibilità degli interessati, ottenuti mediante elaborazioni automatiche ed analisi statistiche.
In attesa dell'emanazione di un codice deontologico di buona condotta relativo ai trattamenti di dati personali effettuati da istituzioni bancarie e finanziarie, il Garante della privacy ha presentato un provvedimento che intende tutelare i consumatori nei loro rapporti con banche e finanziarie quando chiedono o ottengono prestiti, mutui, particolari carte di credito e finanziamenti anche per acquisti rateali (relativi a beni di largo consumo, come, ad esempio, elettrodomestici, cellulari, automobili, computer …).
Il documento individua alcune prime condizioni minime per la raccolta, la conservazione e l'uso delle informazioni presenti nei sistemi informativi di rilevazioni dei rischi creditizi, le cosiddette ''centrali rischi'', utilizzate da banche e finanziarie.
In particolare l'analisi dei ricorsi presentati all'Autorità ha evidenziato la necessità di riconsiderare la congruità del periodo di conservazione delle informazioni di carattere negativo relative ai rapporti di finanziamento e di evitare l'ingiustificata presenza, nelle banche dati delle 'centrali rischi', di dati non sempre o non più significativi che possono determinare effetti pregiudizievoli per gli interessati, anche per quanto riguarda la possibilità di accesso a nuovi crediti. Ad esempio non devono essere conservati i dati relativi a lievi morosità successivamente sanate o richieste di finanziamento non concesso (Si veda PuntoSicuro n.617).
Di seguito presentiamo la sintesi del provvedimento diffusa in un comunicato stampa del Garante.
Uniformare i criteri per la segnalazione dei dati alle 'centrali rischi'
Le attuali modalità di gestione dei sistemi privati di rilevazione dei rischi creditizi, le cosiddette 'centrali rischi', non permettono di distinguere adeguatamente gli eventi da considerare fisiologici in un rapporto destinato a svolgersi nel tempo, e che non incidono sull'affidabilità e solvibilità della clientela, da situazioni più critiche relative a gravi e reiterate inadempienze. Per questi motivi, il Garante ha affermato che i criteri seguiti nei vari circuiti informativi per la segnalazione delle morosità o dei ritardi di pagamento delle rate scadute, devono essere uniformati in chiave di maggiore tutela dei consumatori, tenendo conto della reale gravità degli inadempimenti, in modo tale da non recare pregiudizi ingiustificati ai loro diritti.
Le segnalazioni delle morosità alle 'centrali rischi' devono essere effettuate solo in caso di mancato pagamento di somme consistenti, di più rate o di gravi ritardi, specialmente quando si tratta di finanziamenti di basso importo con rate di modesta entità.
Devono essere previste soglie temporali minime o di più rate cumulate (ad esempio per ritardi di almeno quattro mesi o di quattro rate, secondo la prassi già seguita da alcuni operatori), ed evitare la comunicazione alle 'centrali rischi' private di mancati pagamenti causati da anomalie o disguidi postali e bancari non sempre imputabili agli interessati. Banche e finanziarie, prima di effettuare la segnalazione della morosità alla centrale rischi, devono, comunque, dare un preavviso agli interessati affinché possano eventualmente intervenire.
Conservazione non oltre 1 anno dei dati relativi a morosità regolarizzate
I dati relativi agli eventuali ritardi nei pagamenti, poi completamente sanati, devono essere cancellati entro un anno dalla data della loro regolarizzazione o comunque dalla data di estinzione del rapporto di finanziamento.
All'esito della globale valutazione della prima esperienza applicativa della legge n. 675, e dei contratti di finanziamento stipulati dopo la sua entrata in vigore, il Garante ha rilevato che è sproporzionata la scelta, attualmente in uso, di conservare per cinque anni tutti i dati, anche nel caso in cui la sofferenza è venuta meno o il finanziamento è stato estinto.
Va garantita, insomma, la piena tutela del cosiddetto 'diritto all'oblio' degli interessati, anche in considerazione delle evoluzioni della recente normativa italiana, legislativa e regolamentare, in tema di correttezza nei pagamenti e nell'adempimento delle obbligazioni pecuniarie (esperienze applicative della 'centrale rischi' della Banca d'Italia; cancellazione dagli elenchi dei protesti cambiari; banca dati in materia di assegni).
Illegittima la comunicazione di dati personali riguardanti richieste di finanziamento non accolte o ritirate
La comunicazione che banche e finanziarie effettuano alla 'centrali rischi' per segnalare i dati personali di coloro ai quali non è stato concesso un finanziamento o che vi hanno rinunciato, è ingiustificata, in considerazione del fatto che il rapporto di finanziamento non si è instaurato o si è comunque interrotto ad uno stadio che non legittima una divulgazione dei dati. Spesso, peraltro, il rifiuto di concedere finanziamenti deriva da valutazioni discrezionali di banche e finanziarie o da politiche contrattuali piuttosto che dall'inaffidabilità del cliente. Terminato il periodo necessario per l'istruttoria delle richieste di finanziamento (che può avere, comunque, una durata massima di 6 mesi), i dati relativi alla richiesta non accolta o oggetto di rinuncia dovranno essere cancellati dalla 'centrale rischi' entro un mese e non conservati, come avviene in alcuni casi, per un anno.
Illecita la consultazione dei dati se non legata al finanziamento
E' illecito, ha rilevato l'Autorità, utilizzare i dati personali presenti nelle 'centrali rischi' per scopi estranei all'attività di rilascio o di gestione dei finanziamenti, ad esempio per scopi di marketing. L'utilizzazione dei dati personali può, dunque, avvenire soltanto se strettamente connessa all'istruttoria di una richiesta di finanziamento.
Maggiori informazioni ai consumatori
Nei moduli delle richieste di finanziamento, banche e finanziarie devono fornire ai consumatori dettagliate informazioni sulle 'centrali rischi' alle quali saranno trasmessi i dati, e assicurare agli interessati una piena comprensione degli scopi e delle modalità di raccolta, registrazione e circolazione dei dati.
Riscontri tempestivi
E' necessario che i riscontri alle richieste di accesso, rettifica e cancellazione dei dati, presentate dagli interessati, siano tempestivi e completi, in modo tale da garantire un maggior rispetto dei loro diritti, tenuto conto anche che alcuni comportamenti 'scorretti' espongono sia le 'centrali rischi' sia le banche e le finanziarie a responsabilità civile, anche sul piano dei danni non patrimoniali. Il Garante ritiene, al riguardo, opportuna la prassi, seguita da alcuni operatori, di sospendere la visualizzazione dei dati per il periodo necessario ad effettuare verifiche ed accertamenti. L'accesso dovrà essere garantito anche ai dati espressi in forma di punteggio sul grado di affidabilità o solvibilità degli interessati, ottenuti mediante elaborazioni automatiche ed analisi statistiche.
I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.