Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Provvedimento del 27 gennaio 2021 [9547248]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
9547248
Data:
27/01/21
Argomenti:
Banche credito e finanza , Centrali rischi , SIC , Centrale rischi Banca d'Italia
Tipologia:
Prescrizioni del Garante

[doc. web n. 9547248]

Provvedimento del 27 gennaio 2021

Registro dei provvedimenti
n.  27 del 27 gennaio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito il “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO il reclamo presentato al Garante ai sensi dell’art. 77 del Regolamento e regolarizzato in data 27 novembre 2018 nei confronti di Barclays Bank Plc (di seguito, la “Società”), rappresentata e difesa dall’avv. Massimiliano Masnada, con il quale XX e XX hanno rappresentato di aver avanzato istanza al fine di ottenere la cancellazione delle informazioni creditizie negative che li riguardano comunicate dalla Società al sistema di informazioni creditizie (di seguito, s.i.c.) di Crif S.p.A.;

VISTO che la Società ha fornito un riscontro negativo all’istanza ribadendo la liceità del trattamento delle informazioni in base ai tempi di conservazione dei dati previsti dal “Codice di deontologia e di buona condotta gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti” -Allegato 5 del Codice (di seguito, “codice deontologico”)

VISTO che l’Ufficio, con nota del 31 gennaio 2019 ha invitato la Società a fornire riscontro sui fatti oggetto di reclamo, nonché a valutare la possibilità di aderire alle richieste degli interessati;

VISTA la nota di riscontro trasmessa in data 28 febbraio 2019 con la quale il titolare del trattamento ha dichiarato che:

- in data 17 dicembre 2010 i reclamanti stipulavano con la Società un contratto di mutuo fondiario nel corso del quale si verificavano numerosi inadempimenti da parte dei mutuatari in relazione all’originario piano di ammortamento;

- “la pratica passava a sofferenza in data 28 gennaio 2015 e veniva definita estragiudizialmente in data 14 aprile 2016, attraverso chiusura a saldo e stralcio della posizione debitoria”;

- con note del 9 e 19 ottobre 2018 i reclamanti, per il tramite del loro legale, contestando la segnalazione del loro nominativo presso il s.i.c. di Crif S.p.A., effettuata dalla Società “a seguito della classificazione della pratica a sofferenza”, hanno chiesto la cancellazione delle informazioni creditizie di tipo negativo riferite al rapporto in questione;

- a tali richieste la Società ha fornito “tempestivo riscontro (…) evidenziando la piena legittimità e correttezza della condotta perpetrata e, di conseguenza, denegando il diritto alla cancellazione del dato in quanto non ancora spirato il termine previsto dalla normativa di riferimento” dettata dal citato codice deontologico;

- tenuto conto non solo della “particolare gravità dell’inadempimento” (come emerge dalle comunicazioni della Società che hanno preceduto le segnalazioni), ma soprattutto del fatto che la definizione della posizione debitoria con accordo transattivo a saldo e stralcio, pur comportando l’estinzione del debito “con parziale soddisfo della parte creditrice (…) non può ritenersi pienamente satisfattivo del diritto di credito”, al caso di specie, si applicherebbe, a parere della Società, il termine di conservazione dei dati previsto dall’art. 6, comma 5, del citato codice deontologico e non il più breve termine previsto dall’art. 6, comma 2, lett. b);

- alla luce di tali considerazioni, non essendo ancora decorso il termine per la cancellazione, vale a dire 36 mesi dalla data di cessazione del rapporto (da identificarsi nel pagamento), allo stato, a parere della Società, i reclamanti non vanterebbero alcun diritto di cancellazione in ordine alle informazioni oggetto di contestazione che risulterebbero ancora necessarie rispetto alle finalità per cui sono trattate (art. 17, par. 1, lett. a) del Regolamento);

VISTA la nota dell’11 settembre 2019 con cui l’Ufficio ha notificato alle parti la proroga del termine per la decisione del reclamo ai sensi dell’art. 143, comma 3 del Codice;

VISTA la nota trasmessa in data 11 ottobre 2019 con cui la Società ha dichiarato;

- di aver ricevuto conferma da Crif S.p.A. dell’avvenuta cancellazione delle informazioni creditizie oggetto di contestazione, non risultando presso il s.i.c. ulteriori segnalazioni effettuate dalla Società in associazione al nominativo dei reclamanti;

- che la cancellazione è “avvenuta a far data dal giorno 1 maggio 2019, per decorrenza del termine di 36 mesi dall’ultimo aggiornamento”, circostanza questa che confermerebbe, ad avviso della Società, l’applicabilità al caso di specie del termine di conservazione previsto dall’art. 6, comma 5, del citato codice deontologico;

RILEVATO che, a seguito di verifiche esperite dall’Ufficio nel corso dell’istruttoria, Crif S.p.A., in risposta a specifica richiesta di informazioni, ha dichiarato che:

- a seguito dell’ultimo aggiornamento sul rapporto contribuito da Barclays Bank PLC in data 30 giugno 2016 vennero rimosse dalla posizione in questione le segnalazioni di ritardi nei pagamenti (da ultimo contraddistinte dal numero “0”) ma fu contestualmente inserita, alla voce “altre segnalazioni”, la segnalazione negativa di passaggio a perdita (contraddistinta dal segno grafico “P”);

- avendo la posizione in questione mantenuto le informazioni creditizie di tipo negativo, non ha operato l’istituto della cancellazione dei dati positivi per revoca del consenso cosicché la posizione è stata definitivamente cancellata dal s.i.c. solo nel giugno 2019 ai sensi dell’art. 6, comma 5, del citato codice deontologico;

VISTA la nota datata 27 novembre 2019 con cui l’Ufficio, sulla base degli elementi acquisiti nel corso dell’attività istruttoria e delle successive valutazioni, ha notificato alla Società, ai sensi dell’art. 166, comma 5, del Codice, le presunte violazioni del Regolamento riscontrate comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, paragrafo 2, del Regolamento;

VISTO quanto rappresentato nella memoria difensiva trasmessa in data 15 gennaio 2020 e ribadito in occasione dell’audizione svoltasi presso gli Uffici del Garante il 16 gennaio 2020 nel corso della quale la Società, nel richiamarsi integralmente agli scritti difensivi, ha sostenuto che:

- l’inadempienza dei reclamanti, considerata particolarmente grave, e il passaggio a perdita per la Società -di oltre 2/3 del credito vantato- hanno comportato che la posizione debitoria dei reclamanti, nonostante l’intervenuto accordo transattivo, fosse qualificata come “sofferenza” che la Società, in virtù degli obblighi gravanti sugli intermediari vigilati, ha debitamente segnalato alla Centrale dei Rischi della Banca d’Italia;

- la Circolare della Banca d’Italia n. 139 dell’11 febbraio 1991 – 18° aggiornamento di gennaio 2019 (Istruzioni per gli intermediari partecipanti alla Centrale dei Rischi ) prevede che fra le “sofferenze-crediti passati a perdita” debbano essere segnalate alla Centrale dei Rischi anche “le frazioni non recuperate dei crediti in sofferenza che hanno formato oggetto di accordi transattivi con la clientela”, ed anzi “stabilisce che in caso di rimborsi parziali del credito, anche a seguito di un accordo transattivo, la segnalazione debba permanere comportando solo una riduzione dell’importo segnalato”;

- la citata Circolare prevede inoltre, in caso di passaggio a perdita di parte o dell’intero credito appostato “a sofferenza”, che “il periodo interrogabile da parte degli intermediari tramite il servizio di prima informazione […] può estendersi a trentasei rilevazioni [segnalazioni mensili comunicate dall’istituto di credito a Banca d’Italia, N.d.R.]”;

- stante la concomitante segnalazione di sofferenza nella Centrale dei Rischi e nel s.i.c. di Crif S.p.A., la Società, commettendo “l’errore in buona fede” […] “ha interpretato in maniera uniforme il manuale di CRIF e la circolare della Banca d’Italia nel contesto del quadro regolamentare applicabile alla controversia in oggetto, laddove ha ritenuto che il periodo di conservazione delle informazioni applicabile al caso dei reclamanti fosse di 36 mesi, invece che di 24 mesi”;

- quanto alle misure rimediali, a seguito della notifica ex art. 166 comma 5 ricevuta dall’Ufficio, la Società “ha immediatamente avviato l’attività di revisione e aggiornato tutte le sue procedure interne” portando da 36 a 24 mesi dall’ultimo aggiornamento il periodo di mantenimento nei s.i.c. delle informazioni creditizie di tipo negativo riferite a crediti in sofferenza estinti per effetto di un accordo transattivo, indipendentemente dalla perdita subita;

- infine, la Società ha stabilito un piano di interventi correttivi volto ad impedire, fin da subito, attraverso l’analisi dei flussi informatici fra i sistemi interni e Crif S.p.A., il ripetersi di situazioni analoghe a quella in esame che ha comunque rappresentato un caso isolato;

RILEVATO che la valutazione sulla liceità dei trattamenti effettuati dalla Società deve essere svolta in relazione alle disposizioni del previgente “Codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti" tenuto conto che il reclamo deve considerarsi utilmente proposto al Garante in data 27 novembre 2018 e che i fatti oggetto dello stesso sono avvenuti nella vigenza del codice deontologico; peraltro lo stesso “Codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti” (di seguito, “codice di condotta”) approvato dal Garante in data 12 settembre 2019 ed attualmente applicabile prevede, in relazione ai termini di conservazione dei dati riferiti ai ritardi nei pagamenti regolarizzati, disposizioni del tutto analoghe a quelle del previgente codice deontologico;

RILEVATO che l’art. 5, par. 1, lett. a) ed e) del Regolamento enuncia i principi di liceità, correttezza e trasparenza del trattamento dei dati dell’interessato, prevedendo che la conservazione dei dati del medesimo avvenga per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;

CONSIDERATO che lo stesso Considerando 39 del Regolamento pone in capo al titolare “l’obbligo di assicurare […] che il periodo di conservazione dei dati personali sia limitato al minimo necessario” per le finalità del trattamento” e da ciò discende, come previsto dall’art. 17, par. 1, lett. a) del Regolamento, l’obbligo per il titolare di cancellare i dati che non siano più necessari in relazione agli scopi per i quali gli stessi sono stati raccolti o successivamente trattati qualora l’interessato eserciti con riferimento agli stessi il proprio diritto di cancellazione attraverso apposita istanza;

CONSIDERATO che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”;

RILEVATO che, in base alle risultanze dell’istruttoria, è emerso che la Società:

- nonostante la definizione del rapporto creditizio mediante accordo transattivo a saldo e stralcio con conseguente estinzione delle obbligazioni debitorie derivanti dal contratto, ha ritenuto, stanti la gravità dell’inadempimento, la circostanza che tali modalità di chiusura del rapporto comportavano una perdita rilevante per la banca, e la concomitante segnalazione di sofferenza presso la Centrale dei Rischi della Banca d’Italia, di applicare al caso di specie il termine di conservazione previsto dall’art. 6, comma 5, del citato codice deontologico e non il più breve termine previsto dall’art. 6, comma 2, lett. b), mantenendo la permanenza delle informazioni creditizie negative oggetto di contestazione nel s.i.c. gestito da Crif S.p.A. per 36 mesi dall’intervenuto accordo transattivo;

CONSIDERATO che

- la definizione di posizioni debitorie per effetto di un accordo transattivo a saldo e stralcio, come quello sottoscritto fra le parti nel caso che ci occupa, rientra pienamente fra le modalità di “regolarizzazioni degli inadempimenti” prevista dall’art. 1 del codice deontologico previgente (come anche confermato nell’art. 2 del codice di condotta attualmente applicabile);

- le informazioni creditizie di tipo negativo oggetto di contestazione avrebbero dovuto essere cancellate dal s.i.c. di Crif S.p.A. entro 24 e non 36 mesi dall’avvenuta regolarizzazione come previsto dall’art. 6, comma 2, lett. b) del codice deontologico previgente (e analogamente confermato nell’Allegato 2- Tempi di conservazione dell’attuale codice di condotta);

- non sono emersi elementi idonei a comprovare la liceità della permanenza dei dati oggetto di contestazione nel s.i.c. di Crif S.p.A. all’atto della proposizione dell’istanza di cancellazione da parte degli interessati;

RILEVATO che, sulla base di quanto dichiarato dalla Società, risulta essersi trattato di un episodio isolato, causato da un “un errore in buona fede” che ha portato l’operatore ad applicare la diversa tempistica prevista per le segnalazioni alla Centrale dei Rischi della Banca d’Italia basata peraltro su altri presupposti;

RILEVATO che la Società ha dichiarato di avere implementato, successivamente a tale episodio, misure operative volte a conformarsi a quanto già previsto dal codice deontologico ed attualmente confermato dal codice di condotta in ordine ai tempi di conservazione dei dati relativi a ritardi nei pagamenti successivamente regolarizzati, anche a seguito di accordi transattivi con perdite residue;

PRESO ATTO che, con riguardo all’istanza dei reclamanti, dalle risultanze dell’istruttoria è emerso che, nelle more del procedimento, le informazioni creditizie oggetto di contestazione sono state completamente cancellate dal s.i.c. di Crif S.p.A.;

RITENUTO pertanto che, relativamente all’istanza oggetto di reclamo, considerata pure l’assenza di controdeduzioni dei reclamanti sul punto, non vi siano i presupposti per l’adozione di misure correttive ai sensi dell’art. 58, par. 2, del Regolamento, da parte dell’Autorità; ciò, ferma restando la possibilità per gli interessati di far valere dinanzi all’autorità giudiziaria ordinaria eventuali profili di danno;

RITENUTO che, sebbene si ravvisi una violazione degli artt. artt. 5, par. 1, lett. a) ed e) del Regolamento e pertanto, in relazione a tale profilo, il reclamo sia fondato, le circostanze sopra richiamate inducono a qualificare il caso come “violazione minore”, ai sensi dell’art. 83 e del considerando 148 del Regolamento;

RITENUTO pertanto, ai sensi dell’art. 58, par. 2, lett. b), del Regolamento di dover adottare nei confronti di Barclays Bank Plc la misura dell’ammonimento in ragione delle violazioni riscontrate e sopra indicate;

RITENUTO che ricorrano i presupposti per l’annotazione del provvedimento nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento e dall’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

TUTTO CIÒ PREMESSO, IL GARANTE

a. ai sensi dell’art. 58, par. 2, lett. b), del Regolamento ammonisce Barclays Bank PLC come rappresentato in motivazione;

b. ritiene che ricorrano i presupposti di cui all’art. 57, par. 1, lett. u) del Regolamento e all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante recante “Registro interno delle violazioni e delle misure correttive adottate”.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 27 gennaio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei