IL GARANTE PER LA PROTEZIONE
DEI DATI PERSONALI
Nella riunione odierna, in presenza del dott. Antonello Soro,
presidente, della dott.ssa Augusta Iannini, vicepresidente, della
dott.ssa Giovanna Bianchi Clerici, componente, e del dott. Giuseppe
Busia, segretario generale;
Visti gli articoli 12 e 154, comma 1, lettera e), del decreto
legislativo 30 giugno 2003, n. 196 - Codice in materia di protezione
dei dati personali - (di seguito, «Codice»), i quali attribuiscono al
Garante il compito di promuovere nell'ambito delle categorie
interessate, nell'osservanza del principio di rappresentativita' e
tenendo conto dei criteri direttivi delle raccomandazioni del
Consiglio d'Europa sul trattamento dei dati personali, la
sottoscrizione di codici di deontologia e di buona condotta per
determinati settori, verificarne la conformita' alle leggi e ai
regolamenti anche attraverso l'esame di osservazioni di soggetti
interessati e contribuire a garantirne la diffusione e il rispetto;
Visto in particolare l'art. 117 del Codice, con il quale e' stato
demandato al Garante il compito di promuovere la sottoscrizione di un
codice di deontologia e di buona condotta per il trattamento dei dati
personali effettuato nell'ambito di sistemi informativi di cui sono
titolari soggetti privati, utilizzati a fini di concessione di
crediti al consumo, nonche' riguardanti l'affidabilita' e la
puntualita' nei pagamenti da parte degli interessati;
Visto il «codice di deontologia e di buona condotta per i sistemi
informativi gestiti da soggetti privati in tema di crediti al
consumo, affidabilita' e puntualita' nei pagamenti» (di seguito,
«codice deontologico») adottato con provvedimento del Garante del 16
novembre 2004, n. 8, pubblicato nella Gazzetta Ufficiale del 23
dicembre 2004, n. 300, come modificato dall'errata corrige pubblicata
nella Gazzetta Ufficiale del 9 marzo 2005, n. 56;
Visto l'art. 13, comma 10, del «codice deontologico», che
stabilisce il «periodico riesame e [l']eventuale adeguamento alla
luce del progresso tecnologico, dell'esperienza acquisita nella sua
applicazione o di novita' normative»;
Visto il provvedimento n. 203 del 17 aprile 2014, che il Garante ha
adottato in applicazione di tale disposizione (doc web n. 3070048) e
con il quale e' stata disposta l'apertura dei lavori di revisione del
«codice deontologico»;
Ritenuto opportuno e non ulteriormente procrastinabile, sia in
considerazione del protrarsi dei lavori di revisione - e nelle more
di una eventuale conclusione dei medesimi, sia alla luce delle
numerose istanze (segnalazioni, reclami, richieste di parere e
ricorsi) pervenute nel tempo, fornire chiarimenti e indicazioni di
carattere generale su talune disposizioni del «codice deontologico»
particolarmente controverse, che hanno generato dubbi interpretativi,
incertezze e difficolta' applicative sia per gli operatori (gestori e
altri soggetti titolari del trattamento dei dati contenuti nei
sistemi di informazioni creditizie), sia per gli interessati;
Viste le osservazioni formulate dal Segretario generale ai sensi
dell'art. 15 del Regolamento del Garante n. 1/2000;
Relatore la dott.ssa Giovanna Bianchi Clerici;
Premesso che
1. Il preavviso di imminente registrazione.
1.1. L'art. 4, comma 7, del codice deontologico.
La norma in epigrafe prevede «l'invio» agli interessati, da parte
degli operatori, di una comunicazione contenente il preavviso di
imminente registrazione nei «Sic» dei dati agli stessi riferiti al
verificarsi di ritardi nei pagamenti. La ratio della disposizione e'
evidentemente quella di rendere edotti gli interessati delle
conseguenze di un perdurante inadempimento, dando cosi' loro la
possibilita' di sanarlo prima di procedere all'effettiva iscrizione
dei nominativi nei «Sic». L'interpretazione che della medesima e'
stata data e l'applicazione pratica che ne e' conseguita, hanno
generato un fitto contenzioso che, nel corso degli anni, si e'
risolto, con pronunce, spesso contrastanti, da parte degli organismi
a vario titolo chiamati a pronunciarsi (Autorita' giudiziaria,
Garante, Arbitro bancario finanziario).
1.2. Le recenti pronunce giurisprudenziali e dell'Arbitro bancario
finanziario.
Solo in tempi recenti, la giurisprudenza si e' univocamente
orientata nel senso che, benche' non siano previste forme particolari
per la comunicazione del preavviso, incomba sul creditore l'onere di
provare l'effettivo adempimento all'obbligo di invio di tale
comunicazione, ritenendo non sufficienti elementi solo presuntivi,
quali, ad esempio, la produzione della copia delle missive
asseritamente inviate con modalita' inidonee a provarne sia
l'avvenuta spedizione sia il ricevimento da parte del debitore (cosi'
in tribunale Verona, I Sez. Civ., sentenza n. 163 del 6 febbraio
2016). Ancora piu' puntuale risulta, sul punto, il pronunciamento
della Corte di cassazione Sez. I Civ. che, con ordinanza del 13
giugno 2017, n. 14685, ha stabilito che «[...] l'atto di
«avvertimento con preavviso» ovvero di «avviso» - di cui [l']art. 4,
comma 7, fa onere all'intermediario - integra una dichiarazione
recettizia, in quanto specificamente diretta alla persona
dell'interessato e intesa a manifestare la decisione
dell'intermediario medesimo di provvedere alla classificazione di
«cattivo debitore» del destinatario interessato, con tutti gli
effetti che ne conseguono, nel perdurante difetto di regolarizzazione
della propria posizione da parte di quest'ultimo entro il periodo di
preavviso. In quanto «dichiarazione a determinata persona», quella
prescritta dalla norma dell'art. 4, comma 7, risulta soggetta alle
prescrizioni generali di cui agli articoli 1334 e 1335 codice civile.
Percio', l'efficacia della dichiarazione di «avviso» si produce
quando la stessa giunge a conoscenza del destinatario interessato,
con la presunzione relativa che la conoscenza si abbia nel momento in
cui la dichiarazione raggiunge l'indirizzo del destinatario.».
Lo stesso Arbitro bancario finanziario, che si era espresso in
passato in termini contrastanti (v. per tutte, Collegio di Napoli del
23 gennaio 2012, n. 234 e Collegio di Milano del 14 ottobre 2016, n.
9150), si e', da ultimo, orientato nel senso che il mezzo adoperato
per l'invio debba integrare i requisiti necessari per poter
conseguire la prova legale non solo dell'invio, ma anche della
relativa ricezione, e pertanto che la comunicazione debba essere
pervenuta a conoscenza del destinatario (v. Collegio di Roma dell'11
novembre 2016, n. 10012 e Collegio di Bari del 6 aprile 2017, n.
3740).
1.3. La posizione del Garante.
Preso atto del consolidarsi dell'orientamento del quale si e' dato
conto nel precedente paragrafo e alla luce del rilevante contenzioso
che l'applicazione dell'art. 4, comma 7, del codice deontologico
continua a generare, anche presso il Garante, si ritiene necessario
un intervento chiarificatore da parte dell'Autorita'.
Al riguardo, condividendo le motivazioni addotte dalla
giurisprudenza di merito e di legittimita' della quale si e' gia'
dato conto, anche il Garante ritiene che, al fine di rispondere alla
ratio della norma, sia imprescindibile considerare il preavviso di
imminente segnalazione un atto recettizio ai sensi degli articoli
1334 e 1335 codice civile, con la conseguenza che, per la
legittimita' della segnalazione nei «Sic», i titolari del trattamento
(cioe' gli operatori bancari e finanziari) debbano essere in grado di
dimostrare l'effettiva ricezione della comunicazione scritta
contenente il preavviso.
Tale lettura e' infatti da condividere anche sotto lo specifico
profilo della normativa in materia di protezione dei dati personali,
considerato, in particolare che:
trattandosi di uno dei profili oggetto di maggiore contenzioso
tra le parti, e' necessario, anche in ragione delle conseguenze che
l'iscrizione nei «Sic» comporta per l'interessato, che gli operatori
creditizi si avvalgano di mezzi di invio che garantiscano la certezza
e l'effettivita' della ricezione;
il preavviso di segnalazione, espressione del principio di
correttezza nel trattamento dei dati personali ai sensi dell'art. 11
del Codice, ha lo scopo di consentire all'interessato - venuto a
conoscenza dell'imminente segnalazione del suo nominativo nei «Sic» -
di adempiere al proprio obbligo creditizio prima che la segnalazione
sia effettuata.
In alternativa all'invio delle comunicazioni a mezzo posta di uso
tradizionale (quali la raccomandata con ricevuta di ritorno e il
telegramma, strumenti espressamente previsti dall'art. 9-bis della
legge 12 dicembre 1990, n. 386 per il preavviso di iscrizione nella
Centrale di Allarme Interbancaria - CAI in caso di emissione di
assegni in mancanza di provvista), gli operatori si potranno avvalere
dei mezzi considerati legalmente equivalenti, come la posta
elettronica certificata. Ovviamente saranno anche considerati
correttamente ricevuti i preavvisi che risulteranno noti
all'interessato in virtu' di successivi comportamenti significativi
di quest'ultimo.
2. Tempi di conservazione dei dati in caso di inadempimenti non
regolarizzati.
2.1. Art. 6, comma 5, del codice deontologico.
La disposizione stabilisce che le informazioni relative a
inadempimenti non successivamente regolarizzati possono essere
conservate nei «Sic» «[...] non oltre trentasei mesi dalla data di
scadenza contrattuale del rapporto oppure, in caso di altre vicende
rilevanti in relazione al pagamento, dalla data in cui e' risultato
necessario il loro ultimo aggiornamento, o comunque dalla data di
cessazione del rapporto».
Detta norma rende incerta l'individuazione della data di decorrenza
del termine di conservazione dei dati relativi a inadempimenti non
regolarizzati. Infatti, se, da un lato, si vuole evitare che il
termine di trentasei mesi dalla prevista cessazione degli effetti del
rapporto contrattuale comporti automaticamente la cancellazione di
informazioni relative a inadempimenti non (ancora) regolarizzati,
dall'altro la genericita' del testo che, a tal fine, considera
rilevanti una pluralita' di accadimenti, rischia di rendere
difficilmente determinabile ex ante il momento in cui i dati
personali verranno cancellati, con conseguente incertezza per gli
interessati e per gli operatori del settore. Di fatto, l'esperienza
di questi anni ha palesato l'esistenza di prassi operative
diversificate fra i vari «Sic», a conferma dell'opportunita' di un
intervento chiarificatore del Garante.
2.2. La posizione del Garante.
In ossequio ai principi generali stabiliti in materia di
trattamento dei dati personali (art. 11 del Codice), appare congruo
ritenere che il termine massimo di conservazione dei dati relativi a
inadempimenti non successivamente regolarizzati - fermo restando il
termine «normale» di riferimento di trentasei mesi dalla scadenza
contrattuale o dalla cessazione del rapporto di cui all'art. 6, comma
5, del «codice deontologico» -, non possa comunque mai superare -
all'eventuale verificarsi delle altre ipotesi previste dal citato
art. 6, comma 5 - i cinque anni dalla data di scadenza del rapporto,
quale risulta dal contratto di finanziamento. Tale termine tiene
conto dei tempi massimi di conservazione dei dati «negativi» fissati
in relazione ad altre banche dati assimilabili a quelle in questione
(ad esempio, archivio CAI, banca dati protesti). Cio' corrisponde
alla necessita' di non rendere aleatorio e indefinito il termine
finale di conservazione dei dati. Nel senso di una determinazione
meno discrezionale di tale termine, si pone anche la nuova disciplina
in materia di protezione dei dati personali contenuta nel regolamento
(UE) n. 2016/679 del Parlamento europeo e del Consiglio del 27 aprile
2016, la quale, in materia di informativa da fornire all'interessato,
prevede che «[...] per garantire un trattamento corretto e
trasparente [...]», il titolare indichi, tra l'altro, «[...] il
periodo di conservazione dei dati personali oppure, se non e'
possibile, i criteri utilizzati per determinare tale periodo» (art.
13, paragrafo 2, lettera a)).
3. Informativa personalizzata (SECCI).
3.1. Informativa personalizzata (SECCI) prevista dalle modifiche
apportate all'art. 124 del decreto legislativo del 1° settembre
1993, n. 385 - Testo unico bancario.
L'art. 5 del «codice deontologico» prescrive che «[a]l momento
della raccolta dei dati personali relativi a richieste/rapporti di
credito, il partecipante informa l'interessato ai sensi dell'art. 13
del Codice anche con riguardo al trattamento dei dati personali
effettuato nell'ambito di un sistema di informazioni creditizie» e
che tale informativa deve essere resa obbligatoriamente per iscritto
secondo il modello allegato al «codice deontologico» e, «[...] se
inserita in un modulo utilizzato dal partecipante, [deve essere]
adeguatamente evidenziata e collocata in modo autonomo ed unitario,
in parti o riquadri distinti da quelli relativi ad eventuali altre
finalita' del trattamento effettuato dal medesimo partecipante».
L'informativa personalizzata SECCI (denominata anche IEBCC -
Informazioni europee di base sul credito ai consumatori, informativa
precontrattuale o documento conforme) e' un modello di informativa,
proposto e fornito dal finanziatore al cliente prima che lo stesso
sia vincolato da un contratto e recante tutte le informazioni
necessarie per avere completa chiarezza delle condizioni economiche e
delle caratteristiche principali del finanziamento. Essa viene
predisposta conformemente a quanto disposto dalla Banca d'Italia (v.
provvedimento del 9 febbraio 2011 «Trasparenza delle operazioni e dei
servizi bancari e finanziari. Correttezza delle relazioni tra
intermediari e clienti») in attuazione dell'art. 124 decreto
legislativo 1° settembre 1993, n. 385 recante il «Testo unico delle
leggi in materia bancaria e creditizia» nel testo novellato in sede
di recepimento della direttiva 2008/48/CE relativa ai contratti di
credito ai consumatori - in vigore dal 1° giugno 2011. Detta norma
prevede che «[i]l finanziatore o l'intermediario del credito, sulla
base delle condizioni offerte dal finanziatore e, se del caso, delle
preferenze espresse e delle informazioni fornite dal consumatore,
forniscono al consumatore, prima che egli sia vincolato da un
contratto o da un'offerta di credito, le informazioni necessarie per
consentire il confronto delle diverse offerte di credito sul mercato,
al fine di prendere una decisione informata e consapevole in merito
alla conclusione di un contratto di credito» (articolo cosi'
sostituito dall'art. 1 del decreto legislativo 13 agosto 2010, n.
141, come modificato dall'art. 1 del decreto legislativo 14 dicembre
2010, n. 218 e dall'art. 1, comma 1, lettera c), decreto legislativo
19 settembre 2012, n. 169).
3.2. La posizione del Garante.
Tenuto conto che il «codice deontologico» si applica solo in
presenza di una richiesta/rapporto di credito e non nella fase
propedeutica alla formulazione di una richiesta di finanziamento, si
ritiene che, nella predisposizione dell'informativa personalizzata
SECCI, si debba tener conto esclusivamente delle informazioni
eventualmente rese, direttamente e spontaneamente, dal consumatore
senza possibilita', in questa fase, di accedere ai sistemi di
informazioni creditizie.
Tanto premesso, il Garante:
ai sensi degli articoli 154, comma 1, lettera h) e 12, comma 1, del
Codice, stabilisce che nell'interpretazione e applicazione del
«codice di deontologia e di buona condotta per i sistemi informativi
gestiti da soggetti privati in tema di crediti al consumo,
affidabilita' e puntualita' nei pagamenti», i titolari del
trattamento tengano conto delle indicazioni fornite con il presente
provvedimento (punti 1.3.; 2.2.; 3.2.).
Si dispone che copia del presente provvedimento sia trasmessa al
Ministero della giustizia - ufficio pubblicazione leggi e decreti,
per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica
italiana e sia resa disponibile nel sito web dell'Autorita'
www.garanteprivacy.it
Roma, 26 ottobre 2017
Il Presidente
Soro
Il relatore
Bianchi Clerici
Il segretario generale
Busia