Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Trattamento dei dati nei Sic: Experian - 4 maggio 2006 [1302326]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
1302326
Data:
04/05/06
Argomenti:
Comunicazioni elettroniche , Centrali rischi , SIC
Tipologia:
Blocco del trattamento

[doc. web n. 1302326]

vedi anche
I Sic dopo le verifiche svolte dal Garante
Crif n. 1302311


Gestori telefonici: informazioni sulla solvibilità e affidabilità dei clienti
H3G n. 1302339 - Telecom n. 1302373
Vodafone n. 1302385 - Wind n. 1302395

Trattamento dei dati nei Sic: Experian - 4 maggio 2006

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

In data odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Giuseppe Fortunato e del dott. Mauro Paissan, componenti, e del dott. Giovanni Buttarelli, segretario generale;

Visti gli accertamenti disposti dal Garante per verificare la liceità e la correttezza dei trattamenti di dati personali effettuati tramite i sistemi di informazione creditizia alla luce delle disposizioni vigenti in materia di protezione dei dati personali e di quelle contenute nel codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti (pubblicato in G.U. 23 dicembre 2004, n. 300);

Vista la documentazione in atti e, in particolare, il verbale relativo all´attività ispettiva condotta presso Experian Information Services S.p.A., con richiesta di informazioni ed esibizione di documenti ai sensi dell´art. 157 del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003 n. 196);

Viste le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Mauro Paissan;

PREMESSO

1. Il trattamento di dati personali nei sistemi di informazioni creditizie
In considerazione delle conseguenze derivanti dai trattamenti di dati personali effettuati tramite i sistemi di informazioni creditizie sui soggetti che, in varie forme, accedono a finanziamenti, nonché del carattere strumentale assunto da tali sistemi informativi in ordine alla stessa erogazione del credito, il Garante ha da tempo attribuito ad essi un´attenzione elevata: la materia (già a partire dal 1999) è stata oggetto di una pluralità di decisioni adottate a seguito della presentazione di ricorsi oggi disciplinati dagli articoli 145 ss. del Codice e, successivamente, in considerazione dei numerosi reclami e segnalazioni pervenuti, di un provvedimento di carattere generale (Provv. 31 luglio 2002, in , doc. web n. 
30000).

A far data dal 1° gennaio 2005, in tale ambito trova applicazione il "codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti" (in G.U. 23 dicembre 2004, n. 300), adottato in attuazione delle previsioni contenute negli artt. 12 e 117 del Codice. In esso hanno trovato spazio disposizioni la cui conformità alle leggi e ai regolamenti è stata verificata dal Garante che contribuisce altresì a garantirne la diffusione e il rispetto.

Il rispetto delle regole deontologiche adottate secondo la particolare procedura descritta all´art. 12 del Codice costituisce condizione essenziale per la liceità del trattamento: ad esse gli operatori del settore creditizio e finanziario devono attenersi in relazione ai trattamenti di dati personali relativi a contratti di finanziamento (cfr. art. 12 del Codice).


2. L´attività di controllo nei confronti del sistema gestito da Experian Information Services S.p.A.
Al fine di accertare la liceità e la correttezza dei trattamenti di dati personali con riguardo alla disciplina rilevante in materia e alle disposizioni contenute nel medesimo codice di deontologia, in data 11 ottobre 2005 –nell´ambito degli accertamenti aventi ad oggetto i principali sistemi di informazioni creditizie– è stata effettuata un´ispezione presso Experian Information Services S.p.A. (di seguito Experian), gestore di un sistema di informazioni creditizie.

Il presente provvedimento tiene conto sia della comunicazione e della relativa documentazione inerente alle modalità di funzionamento di tale sistema di informazioni creditizie inviate da Experian in data 30 giugno 2005 (in ossequio alla disposizione contenuta nell´art. 13, comma 5, del predetto codice deontologico), sia delle risultanze dell´attività ispettiva svolta, come pure della documentazione integrativa inviata dalla società al Garante il 18 ottobre 2005.


OSSERVA

3. Struttura del sistema di informazioni creditizie e finalità del trattamento

3.1. Dalla documentazione acquisita presso Experian risulta che i trattamenti per finalità di tutela del credito e valutazione del rischio creditizio sono effettuati da tale società avvalendosi di differenti archivi "la cui struttura informatica si basa su un mainframe fisicamente ubicato in Nottingham, Inghilterra". Il trattamento è effettuato per mezzo di un archivio relativo alle richieste di finanziamento, denominato "credit application previous search" (Caps), e di un archivio relativo ai finanziamenti concessi e alla storia dei relativi pagamenti, denominato "credit account information sharing" (Cais); possono formare altresì oggetto di trattamento ulteriori dati personali (anagrafici, attività professionale svolta dai soggetti censiti, recapiti telefonici dei medesimi) (cfr. comunicazione 30 giugno 2005 All. 2, Credit bureau –Contenuto dei campi) ed altri provenienti da banche-dati pubbliche, comunque separati dagli archivi Cais e Caps.

In tale articolato sistema informativo, e in particolare negli archivi Cais e Caps, sono censite informazioni relative a richieste e a rapporti di finanziamento, anche di importo superiore alla soglia del credito al consumo, conferite da soggetti "partecipanti" (meglio individuati alla luce delle disposizioni contenute all´art. 1, comma 1, lett. a) ed e), del codice deontologico), svolgenti attività di intermediazione bancaria e finanziaria, o da altri soggetti privati che, nell´esercizio di un´attività commerciale o professionale, concedono una dilazione di pagamento del corrispettivo per la fornitura di beni o servizi ai sensi del testo unico delle leggi in materia bancaria (d.lg. 1° settembre 1993, n. 385).

Oltre ad essi, tuttavia, solo in sede di ispezione –atteso che nessun riferimento a tale circostanza si evince dalla comunicazione del 30 giugno 2005, né dai testi ad essa allegati (tra le tipologie contrattuali oggetto di comunicazione a Experian da parte dei partecipanti risultano, infatti, solo contratti di finanziamento: cfr. comunicazione 30 giugno 2005, All. 2, Credit Bureau, All. C, Contenuto dei campi, p. 4, punto 7; All. 3 bis, Contribuzione archivio Cais, p. 4, punto 2.3. e p. 12, n. 6)– è emerso che alcuni soggetti privi della qualifica appena indicata (e che pure di norma non pongono in essere dilazioni di pagamento, ma esigono il pagamento del corrispettivo dovuto per il godimento di prestazioni ad esecuzione continuata o periodica), hanno accesso al sistema di informazioni creditizie, nelle forme di seguito precisate. Si tratta, in particolare, di alcuni fornitori di servizi di comunicazione elettronica che con riferimento, ad esempio, a contratti di fornitura di servizi o di locazione di apparecchi terminali, hanno "accesso al Sic o a porzioni limitate dello stesso " (cfr. verbale d´ispezione p. 2).

A questo proposito, nel corso dell´ispezione dell´11 ottobre 2005, il direttore generale di Experian, riservandosi di integrare quanto affermato, ha dichiarato che "i gestori di telefonia mobile hanno accesso al Sic, ma possono visualizzare solo un set di informazioni sintetiche", concernenti i "dati relativi al numero di contratti in sofferenza, al numero di insoluti lievi e gravi oltre allo scoring " (cfr. verbale di ispezione p. 2). Invero, il set di informazioni che forma oggetto di trattamento da parte dei predetti fornitori consiste in un novero più ampio di dati contenuti nei sistemi di informazioni creditizie, come risulta dalla stessa comunicazione di Experian del 18 ottobre 2005.

Nel corso delle attività ispettive è stato altresì dichiarato che "i gestori di telefonia sopra indicati non contribuiscono informazioni al Sic e i dati contribuiti in passato dai predetti soggetti sono stati, nell´ambito delle operazioni di adeguamento al Codice deontologico, trasposti in un altro sistema informativo attualmente operativo, anche esso residente a Nottingham, nel quale gli operatori telefonici sono partecipanti in quanto vi accedono e vi contribuiscono " (cfr. verbale di ispezione p. 2).

3.2. Alla luce di quanto sopra esposto, i trattamenti posti in essere da Experian si pongono, nei termini di seguito descritti, in contrasto con la disciplina di protezione dei dati personali e le disposizioni attualmente contenute nel codice di deontologia (il cui rispetto, come ricordato, costituisce condizione essenziale per la liceità del trattamento).

Aspetto qualificante dei trattamenti posti in essere dai sistemi di informazioni creditizie è rappresentato, infatti, dalla specifica finalità che i medesimi possono, allo stato, perseguire legittimamente (da cui discende, altresì, la tipologia dei soggetti che possono oggi accedervi): come già affermato in passato dal Garante, tutti gli operatori devono rispettare il principio di finalità, consistente in base alla vigente disciplina "nella tutela del credito e nel contenimento del relativo rischio, in virtù del quale la consultazione dei dati personali riguardanti gli interessati può avvenire soltanto se strettamente connessa all´istruttoria di una richiesta di finanziamento " (cfr. punto 4 del citato provvedimento del 31 luglio 2002).

Tale principio, enunciato, peraltro, con riferimento ad altri sistemi di informazione creditizia che perseguono analoga finalità (cfr. per la Centrale rischi della Banca d´Italia, il cap. 1, punto 2 delle "Istruzioni degli intermediari creditizi", Circ. n. 139, 11 febbraio 1991–9° aggiornamento del 22 giugno 2004, e per il sistema di rilevazione dei rischi di importo contenuto il punto 3 della delibera Cicr del 3 maggio 1999 in G.U. 8 luglio 1999, n. 158), trova ulteriore riscontro nella collocazione sistematica dell´art. 117 del Codice, inserito all´interno del titolo IX del medesimo Codice che riguarda il sistema bancario e finanziario.

Il predetto principio è sviluppato nel codice di deontologia e di buona condotta adottato ai sensi del medesimo art. 117 del Codice, in virtù del quale le informazioni relative all´affidabilità e puntualità nei pagamenti della clientela possono essere trattate ai fini della "concessione, nell´esercizio di un´attività commerciale o professionale, di credito sotto forma di dilazione di pagamento, di finanziamento o di altra analoga facilitazione finanziaria ai sensi del testo unico delle leggi in materia bancaria e creditizia (d.lg. 1° settembre 1993, n. 385) " [cfr. art. 1, comma 1, lett. a) del codice di deontologia].

In tale ambito non rientrano le tipologie contrattuali ascrivibili ai contratti ad esecuzione continuata o periodica (quali sono i contratti di somministrazione di servizi di comunicazione elettronica o di locazione di apparecchi terminali), nei quali la scadenza pattuita delle singole rate non è riconducibile alla diversa figura della dilazione del pagamento; le scadenze periodiche non rappresentano, infatti, alcun differimento del pagamento della somma dovuta, ma (semplicemente) i termini nei quali deve essere pagato dall´utente il corrispettivo delle prestazioni godute per le correlative rate temporali (qui connesse all´erogazione di servizi di telefonia o al godimento di beni).

In tal senso, peraltro, il Garante si è già pronunciato, disponendo la cancellazione dei dati comunicati da operatori telefonici in sistemi di informazioni creditizie, in quanto reputati non pertinenti per la commisurazione del rischio creditizio (cfr. decisioni su ricorso del 16 settembre 2004 e del 5 novembre 2004).

Peraltro, anche il verbale di sottoscrizione del codice di deontologia del 26 ottobre 2004 esclude espressamente dall´ambito di applicazione di quest´ultimo, rimettendola ad una distinta ed autonoma trattazione, "la tematica della ricognizione dell´affidabilità e della puntualità dei pagamenti in altri contesti, con specifico riferimento ad inadempimenti nel settore della telefonia, individuando idonee soluzioni circa la questione del se e come determinati operatori possano anche consultare, per alcune categorie di interessati, taluni dati di sintesi relativi ai suddetti inadempimenti presenti nei sistemi di informazioni creditizie, ferma restando la diversità degli ambiti ora considerati ".

Come evidenziato dalle risultanze ispettive, invece, Experian ha centralizzato, trasponendoli, come già rilevato nel punto 3.1., in un archivio distinto rispetto al sistema di informazioni creditizie, le  informazioni relative a contratti di somministrazione dei servizi di telefonia (con modalità che formeranno oggetto di separata ed autonoma valutazione), senza menzionare tali tipologie contrattuali nella propria comunicazione del 30 giugno 2005; in pari tempo, consente ai fornitori di servizi di comunicazione elettronica di telefonia di accedere ad un numero consistente di informazioni personali che sono invece trattate per la distinta finalità della referenziazione creditizia (come si è visto al punto 3). In tal modo –contravvenendo al principio di pertinenza rispetto alla finalità legittimamente perseguibile e al principio di liceità del trattamento, avendo anche violato le regole deontologiche (ex artt. 12 e 117 del Codice)– la società ha effettuato trattamenti illeciti di dati personali.

Tale circostanza risulta ulteriormente confermata dalle risultanze delle attività ispettive svolte presso alcuni gestori telefonici (cfr. verbale delle operazioni compiute nei confronti di Vodafone Omnitel N.V. del 2 marzo 2006; v. verbale delle operazioni compiute nei confronti di Telecom Italia S.p.A. dell´11 aprile 2006; v., altresì, verbale delle operazioni compiute nei confronti di Wind telecomunicazioni S.p.A. del 7 aprile 2006).

Alla luce delle considerazioni sopra esposte, ai sensi dell´art. 154, comma 1, lett. d), del Codice, il Garante vieta ad Experian di porre in essere le operazioni di trattamento appena descritte, consistenti nella comunicazione di dati personali contenuti nel sistema di informazione creditizia a favore di soggetti non autorizzati, nel caso di specie, i fornitori di servizi di comunicazione elettronica.

4. Informativa agli interessati
Dall´esame dell´informativa resa da Experian agli interessati (comunicazione 30 giugno 2005, All. 7, pubblicata sul sito web della società), si rileva l´incompletezza della medesima rispetto ai trattamenti già effettuati, atteso che nessun riferimento viene fatto alla comunicazione di dati a favore delle menzionate società di telefonia, non rientrando queste ultime nel novero dei soggetti contemplati dall´informativa. Quest´ultima prevede infatti che i "dati presenti nel sistema possono essere comunicati ai relativi partecipanti, quali banche, intermediari finanziari ed altri soggetti privati che, nell´esercizio di un´attività commerciale o professionale, concedono una dilazione di pagamento del corrispettivo per la fornitura di beni o servizi ".

L´informativa, peraltro, risulta incompleta anche con riguardo alla tipologia dei contratti censiti, menzionando la medesima soltanto dati relativi a richieste o rapporti di credito, senza alcun riferimento a contratti di somministrazione (cfr. All. 7 cit.).

A tal riguardo, questa Autorità si riserva di procedere, nell´ambito di un autonomo procedimento ai sensi dell´art. 161 del Codice, alla contestazione della violazione amministrativa connessa dell´inidonea informativa.

5. Consenso degli interessati
Al di là della violazione della disciplina di protezione dei dati personali per i profili sopra individuati, relativi all´osservanza dei principi di finalità e pertinenza (art. 11 del Codice) e in ragione dell´inidoneità dell´informativa resa agli interessati (art. 13 del Codice), deve rilevarsi un ulteriore profilo di violazione del Codice.

In relazione alla comunicazione di dati personali (in forma di score e di dati analitici) nei confronti di operatori economici che forniscono prestazioni dedotte in contratti di somministrazione di servizi (nel caso di specie, di comunicazione elettronica) o di locazione di beni, le considerazioni appena svolte con riguardo all´informativa resa –anche attraverso la modulistica contrattuale messa a disposizione dei partecipanti nella fase precontrattuale–, si riflettono anche sul diverso profilo della validità del consenso degli interessati, quando è manifestato. Posto, infatti, che quest´ultimo, per produrre i propri effetti, deve essere "informato" (artt. 13 e 23, comma 3 del Codice), il rilevato difetto nell´informativa resa determina per ciò solo l´inefficacia dell´eventuale consenso raccolto da parte del titolare del trattamento (in questa sede, il gestore del sistema di informazioni creditizie) e la conseguente illiceità, anche sotto questo aspetto, del trattamento effettuato (artt. 11 e 23 del Codice).

6. Dati contenuti nel sistema d´informazioni creditizie
Dalla documentazione inviata con la comunicazione del 30 giugno 2005 (cfr. All. 2, Credit bureau, Contenuto dei campi) risulta che sono suscettibili di trattamento nel sistema di informazioni creditizie di Experian dati ulteriori rispetto a quelli necessari al fine di verificare la puntualità dei pagamenti (ed analiticamente individuati all´art. 3, comma 3, del codice deontologico): si tratta, in particolare, di informazioni personali relative allo stato civile, all´abitazione, all´attività lavorativa svolta dall´interessato.

Alla luce di tali considerazioni, ponendosi tale trattamento in violazione dei principi di necessità e pertinenza (artt. 3 e 11 del Codice), oltre che delle regole deontologiche sopra richiamate, il medesimo è illecito e, pertanto, deve essere vietato ai sensi dell´art. 154, comma 1, lett. d) del Codice.

7. Riscontro in caso di esercizio del diritto d´accesso degli interessati
Altra circostanza oggetto di verifica presso Experian ha riguardato le modalità con le quali viene reso il riscontro all´esercizio del diritto di accesso ai sensi dell´art. 7 del Codice da parte degli interessati. Dalla documentazione acquisita, oltre che dalle verifiche effettuate nell´ambito della complessa attività ispettiva, si è rilevato che le informazioni trattate (e condivise con i partecipanti) sono significativamente più ricche e di maggior dettaglio rispetto a quelle comunicate agli interessati. Ad esempio, non formano oggetto di comunicazione agli interessati, tra l´altro, il numero di rate non pagate, i mesi (o altra scadenza) di riferimento, il termine nel quale è intervenuto il tardivo adempimento (c.d. regolarizzazione del pagamento).

Al riguardo, Experian, fornendo a titolo esemplificativo due report analoghi a quelli rilasciati agli interessati, ha dichiarato che le informazioni comunicate in sede di riscontro all´esercizio dei diritti previsti dall´art. 7 del Codice sarebbero comunque "sufficientemente analitic[he]" e che non sarebbe "opportuno integrare il predetto report con l´indicazione del numero delle rate non pagate e dei mesi di riferimento a causa del rischio di errore nel riportare tali informazioni". Ciò in quanto, non essendo stata posta in essere una procedura automatizzata per la formazione dei citati report, le informazioni di dettaglio dovrebbero essere inserite "manualmente dall´operatore ".

7.1. Tale comportamento e la scelta aziendale operata da Experian non sono conformi alla disciplina di protezione dei dati personali, con specifico riferimento ai precetti contenuti nell´art. 10 del Codice. In più occasioni il Garante ha precisato che il riscontro in sede di diritto di accesso deve essere compiuto ed analitico in ordine a tutte le informazioni di carattere personale che riguardano l´interessato (Provv. 28 settembre 2001, in Boll. n. 22, p. 42; Provv. 8 novembre 2001, in Boll. n. 23, p. 74; Provv. 15 novembre 2001, in Boll. n. 23, p. 62): tale orientamento trova chiaro fondamento nell´art. 10, comma 3, del Codice secondo il quale "il riscontro all´interessato comprende tutti i dati personali" che lo riguardano "comunque trattati dal titolare ".

Inoltre, in conformità all´art. 10, commi 1 e 6, del Codice, tali informazioni devono essere comunicate in forma agevolmente comprensibile (cfr. Provv. 23 maggio 2000, in Boll. n. 13, p. 21), adottando le misure opportune per agevolare l´esercizio dei diritti dell´interessato, ad esempio chiarendo il significato di alcuni codici (o dizioni) utilizzati (cfr. Provv. 26 marzo 2001, in Boll. n. 18, p. 9).

Nel caso di specie, la comunicazione effettuata da Experian agli interessati non mette gli stessi in condizione di controllare l´esattezza dei dati trattati, non potendosi, ad esempio, conoscere a quali rate si riferiscono gli inadempimenti che vengono loro ascritti; di riflesso, viene preclusa ai medesimi anche la possibilità di verificare agevolmente se la conservazione dei dati sia lecita.

In considerazione di quanto esposto, questa Autorità prescrive ad Experian, ai sensi dell´art. 154, comma 1, lett. c), del Codice l´adozione di modalità comunicative tali da rendere edotto l´interessato che eserciti il diritto di accesso di cui all´art. 7 del Codice, dell´integralità delle informazioni che lo riguardano; ciò, nel termine massimo di centoventi giorni, a decorrere dalla data di ricezione del presente provvedimento (termine che tiene in debito conto anche la necessità dei tempi di implementazione delle relative procedure tecnologiche).

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell´art. 154, comma 1, lett. d), del Codice vieta ad Experian Information Service S.p.A. l´ulteriore trattamento di dati personali consistente nella comunicazione di dati contenuti nel sistema di informazioni creditizie a favore di soggetti non autorizzati e, in particolare, ai fornitori di servizi di comunicazione elettronica, trattamento da interrompere senza ritardo e comunque entro e non oltre quindici giorni dalla data di ricezione del presente provvedimento, dandone conferma a questa Autorità entro la medesima data;

b) ai sensi dell´art. 154, comma 1, lett. d), del Codice dispone nei confronti di Experian Information Service S.p.A. il blocco del trattamento dei dati eccedenti rispetto alla finalità perseguita ai fini della commisurazione del rischio creditizio, con particolare riguardo ai dati individuati al punto 6 del presente provvedimento, blocco da effettuare senza ritardo e comunque entro e non oltre quindici giorni dalla data di ricezione del presente provvedimento, dandone conferma a questa Autorità entro la medesima data;

c) ai sensi dell´art. 154, comma 1, lett. c), del Codice prescrive ad Experian Information Service S.p.A. di adottare senza ritardo, e comunque entro e non oltre centoventi giorni dalla data di ricezione del presente provvedimento, le misure e gli accorgimenti necessari a fornire un idoneo riscontro alle istanze di accesso degli interessati, dandone conferma a questa Autorità entro la medesima data.

Roma, 4 maggio 2006

IL PRESIDENTE
Pizzetti

IL RELATORE
Paissan

IL SEGRETARIO GENERALE
Buttarelli