Il tempo di conservazione dei dati in un sistema di informazioni creditizie a fronte della definizione a saldo e stralcio della posizione debitoria
Massimazione e Commenti ai Provvedimenti del Garante a cura dell’Osservatorio Privacy collegato con il Corso di Alta Formazione in Data Protection e Privacy Officer dell’Università di Bologna https://site.unibo.it/dpo
Massima (1) – Le informazioni creditizie di tipo negativo devono essere cancellate dal s.i.c. (sistema di informazioni creditizie) entro 24 mesi dall’avvenuta definizione di posizioni debitorie a seguito di un accordo transattivo a saldo e stralcio, modalità rientrante tra quelle di “regolarizzazione degli inadempimenti”.
Provvedimento: GPDP, Docweb n. 9547248 del 27 gennaio 2021
Link: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9547248
Keywords: Centrale rischi, CRIF, sistema di informazioni creditizie, s.i.c., SIC, cancellazione delle informazioni creditizie negative, tempi di conservazione delle informazioni creditizie negative, chiusura a saldo e stralcio della posizione debitoria, transazione.
Riferimenti normativi: art. 6, c. 2, lett. b), c. 5, Allegato 5, Codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti – codice deontologico previgente (d’ora in poi Codice deontologico); art. 2, lett. b) e art. 5, Allegato 2, Tempi di conservazione, Codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti (d’ora in poi Codice di condotta).
Data del commento: 11 maggio 2022
Massima e Commento di Sara Forasassi
1. Il caso
Il provvedimento in esame prende le mosse dal reclamo al Garante per la protezione dei dati personali presentato ex art. 77 GDPR nei confronti di un Istituto di Credito, con il quale i clienti contestavano la segnalazione del loro nominativo presso il s.i.c. (sistema di informazioni creditizie) di Crif S.p.A.
In particolare, i reclamanti avevano stipulato un contratto di mutuo fondiario e, nel corso del rapporto, erano risultati più volte inadempimenti in relazione all’originario piano di ammortamento. La pratica passava a sofferenza ed era definita estragiudizialmente attraverso la chiusura a saldo e stralcio della posizione debitoria.
Gli interessati contestavano all’Istituto di credito, quindi, la segnalazione e chiedevano la cancellazione delle informazioni creditizie di tipo negativo. L’Istituto, nel riscontrare l’istanza pervenuta dai clienti, evidenziava tuttavia la legittimità e correttezza della condotta, con conseguente diniego alla cancellazione non essendo ancora spirato il termine previsto dalla normativa di riferimento. Di fronte al mancato accoglimento della richiesta presso l’Istituto di credito, gli interessati proponevano reclamo innanzi all’Autorità di controllo.
2. La questione
La questione principale ruota intorno alla permanenza delle informazioni creditizie di tipo negativo relative a ritardi nei pagamenti a fronte della definizione del rapporto creditizio mediante accordo transattivo a saldo e stralcio, con conseguente estinzione delle obbligazioni debitorie derivanti dal contratto.
Nel dettaglio, il Garante è stato investito della corretta applicazione del termine di conservazione dei dati: 36 mesi ex art. 6, co. 5, ovvero 24 mesi ex art. 6, co. 2, lett. b), Codice deontologico.
Si specifica che, nella fattispecie trova applicazione, secondo il principio tempus regit actum, il Codice deontologico previgente e, al riguardo, si osserva come il Codice di condotta del 12.09.2019, attualmente applicabile, preveda disposizioni del tutto analoghe in relazione ai tempi di conservazione dei dati riferiti ai ritardi nei pagamenti regolarizzati, all’allegato 2, art. 2, lett. b) e art. 5.
2.1. Alcune considerazioni generali sul funzionamento del CRIF e dei SIC
Crif S.p.A. (Centrale Rischi di Intermediazione Finanziaria) è una società privata che gestisce il principaleSistema di Informazioni Creditizie (SIC) presente in Italia, chiamato EURISC.
I cc.dd. SIC si differenziano dalla Centrale Rischi di Banca d’Italia (sistema informativo di natura pubblica), alla quale si sono affiancati nel corso degli anni, in quanto banche dati private gestite da persone giuridiche, enti, associazioni o altri organismi.
Essi sono definiti come un archivio informatico costituito dalle informazioni provenienti in particolare dalle banche e dalle società finanziarie in genere con il fine di valutare il profilo creditizio in termini di affidabilità, c.d. merito creditizio, del soggetto interessato ad ottenere un finanziamento ovvero di valutare l’affidabilità dei richiedenti e la puntualità nei pagamenti ai fini della concessione di crediti al consumo [si veda l’art. 2, co. 2, lett. c), Codice di condotta] e, in termini più ampi, di “innalzare la qualità” del sistema creditizio.
Sempre a differenza di quanto accade presso la Centrale dei Rischi, la trasmissione dei dati in Crif non è obbligatoria e gli istituti finanziari procedono volontariamente alla segnalazione relativa a rimborsi non effettuati, ritardi nella puntualità dei pagamenti, eventuali precedenti rifiuti nella richiesta di finanziamenti ovvero a finanziamenti con rimborso regolare, cosicché le informazioni presenti possono essere di tipo negativo o positivo.
Il trattamento dei dati ivi contenuti deve avvenire secondo le disposizioni di cui alla normativa di settore e nel pieno rispetto delle norme poste a tutela della protezione dei dati personali.
All’uopo, si richiama in primis l’art. 125 bis TUB, che dispone: «(…) 2. Se il rifiuto della domanda di credito si basa sulle informazioni presenti in una banca dati, il finanziatore informa il consumatore immediatamente e gratuitamente del risultato della consultazione e degli estremi della banca dati. 3. I finanziatori informano preventivamente il consumatore la prima volta che segnalano a una banca dati le informazioni negative previste dalla relativa disciplina. L’informativa è resa unitamente all’invio di solleciti, altre comunicazioni, o in via autonoma. 4. I finanziatori assicurano che le informazioni comunicate alle banche dati siano esatte e aggiornate. In caso di errore rettificano prontamente i dati errati. 5. I finanziatori informano il consumatore sugli effetti che le informazioni negative registrate a suo nome in una banca dati possono avere sulla sua capacità di accedere al credito».
Più nel dettaglio, il trattamento delle informazioni contenute nei SIC è disciplinato dal Codice di condotta (prima dal Codice deontologico), sottoscritto dalle associazioni di settore, in conformità all’art. 40 del GDPR laddove stabilisce che «Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano l’elaborazione di codici di condotta destinati a contribuire alla corretta applicazione del presente regolamento, in funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese».
Come anche evidenziato dal Garante nella deliberazione n. 9 del 16 novembre 2004, Sistemi di informazioni creditizie e bilanciamento degli interessi (G.U. n. 300 del 23 dicembre 2004), le informazioni de quibus hanno un forte impatto per la decisione della concessione o meno di finanziamenti con evidenti ricadute sui diritti e sulle libertà fondamentali degli interessati. Invero i complessi trattamenti di dati personali ivi presenti possono «spiegare effetti negativi per la vita privata, per il legittimo accesso all’acquisto di beni e alla fruizione di servizi, nonché, più in generale, per la dignità e la reputazione, per le loro relazioni sociali o professionali e per l´iniziativa privata» e, pertanto, devono rispettare i principi di pertinenza, completezza e non eccedenza dei dati in essi inseriti ed essere oggetto di espresso e specifico consenso da parte dei titolari, ad eccezione di specifici casi.
La problematica è al centro di plurimi reclami, proprio per gli effetti potenzialmente sfavorevoli che si ripercuotono sul soggetto a cui si riferiscono le informazioni (non affidabilità, con conseguenze negative sulla “reputazione di buon pagatore” con preclusione o maggiori oneri per ottenere l’accesso al credito), con un’ampia casistica nel caso di informazioni false o inesatte.
Si pensi, esemplificando, al caso dell’erronea segnalazione in una centrale rischi da parte dell’intermediario o perché trattasi di soggetto in bonis ovvero perché il debito ascritto è molto superiore a quello reale.
Le azioni di tutela esperibili potranno, pertanto, avere sia natura inibitoria, con richiesta di cancellazione della segnalazione illegittima, sia natura risarcitoria per il danno patrimoniale e non patrimoniale subito.
Senza poter, in questa sede, riferire in ordine alla disciplina dei Sistemi di informazioni creditizie nel suo complesso, si limita l’indagine al tema oggetto del provvedimento del Garante qui commentato e, in particolare, al tempo di permanenza delle informazioni negative all’interno dei SIC a fronte della definizione transattiva a saldo e stralcio della posizione debitoria.
2.2. Il termine di conservazione delle informazioni negative all’interno dei SIC
Come già osservato, la questione risolta dal Garante con il provvedimento del 27.01.2021, ruota intorno al “tempo di conservazione dei dati” ossia al periodo nel quale i dati personali relativi a richieste/rapporti rimangono registrati in un SIC e sono utilizzabili per le finalità di cui al Codice di condotta [art. 2, par. 2, lett. f)].
Viene, pertanto, in rilievo quanto previsto dall’art. 7 del Codice di condotta, rubricato appunto «Tempi di conservazione dei dati», che dispone: «I dati personali riferiti a richieste e/o rapporti, comunicati dai partecipanti, possono essere conservati in un SIC per il tempo previsto e con le modalità indicate nell’Allegato 2 al presente Codice di condotta».
In relazione alle informazioni creditizie di tipo negativo relative a ritardi nei pagamenti, successivamente regolarizzati (come nel caso che ci occupa), l’Allegato 2, art. 2, a sua volta, dispone che esse «possono essere conservate in un SIC fino a:
a) dodici mesi dalla data di registrazione dei dati relativi alla regolarizzazione di ritardi non superiori a due rate o mesi;
b) ventiquattro mesi dalla data di registrazione dei dati relativi alla regolarizzazione di ritardi superiori a due rate o mesi».
Una volta decorsi i suddetti termini, le informazioni sono eliminate sempre che non vengano registrati ulteriori ritardi o inadempimenti.
Diversamente, rispetto alle informazioni creditizie di tipo negativo relative a inadempimenti non successivamente regolarizzati, l’art. 5 prevede che esse: «possono essere conservate nel SIC non oltre trentasei mesi dalla data di scadenza contrattuale del rapporto oppure, in caso di altre vicende rilevanti in relazione al pagamento, dalla data in cui è risultato necessario il loro ultimo aggiornamento, e comunque, anche in quest’ultimo caso, al massimo fino a sessanta mesi dalla data di scadenza del rapporto, quale risulta dal contratto».
Ora, il punto controverso riguardava la risoluzione estragiudiziale della controversia e, nello specifico, se questa debba rientrare nell’alveo dei ritardi successivamente regolarizzati.
Nelle proprie difese, la banca respingeva l’istanza di cancellazione per due ordini di ragioni: da un lato, la particolare gravità dell’inadempimento e, dall’altro lato, la circostanza che la definizione della posizione debitoria con accordo transattivo a saldo e stralcio, pur comportando l’estinzione del debito con parziale soddisfo della parte creditrice, non potesse ritenersi pienamente satisfattivo del diritto di credito con conseguente applicazione del termine di conservazione dei dati previsto dall’art. 6, co. 5, del Codice deontologico [oggi Allegato 2, art. 5 del Codice di condotta], a decorrere dalla data di cessazione del rapporto (da identificarsi nel pagamento), ossia 36 mesi e non il più breve termine previsto dall’art. 6, co. 2, lett. b) [oggi Allegato 2, artt. 2 lett. b) del Codice di condotta] e, quindi, 24 mesi.
L’Ufficio del Garante, nel corso dell’istruttoria, procedeva a verifiche chiedendo informazioni e Crif S.p.A. confermava l’avvenuta cancellazione dei nominativi solamente decorsi i termini di cui all’art. 6, co. 5 sopra citato.
Seguiva sulla base dell’istruttoria e degli elementi acquisiti, ai sensi dell’art. 166 del Codice della privacy, comunicazione di avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, GDPR.
Nelle more, l’Istituto di credito procedeva ad aggiornare le proprie procedure interne, portando da 36 mesi a 24 mesi il periodo di mantenimento nei SIC delle informazioni creditizie negative riferite a crediti in sofferenza estinti per effetto di accordo transattivo, indipendentemente dalla perdita subita.
Invero, nel proprio provvedimento in esame il Garante, richiamando le finalità del trattamento, afferma che «la definizione di posizione debitorie per effetto di un accordo transattivo a saldo e stralcio, come quello sottoscritto fra le parti nel caso che ci occupa, rientra pienamente fra le modalità di “regolarizzazioni degli inadempimenti” prevista dall’art. 1 del codice deontologico previgente (come anche confermato nell’art. 2 del codice di condotta attualmente applicabile)».
Per comodità di lettura, si riporta di seguito l’art. 1 del Codice deontologico (di identico contenuto l’art. 2, Codice di condotta) che definisce la «regolarizzazione degli inadempimenti» come «l’estinzione delle obbligazioni pecuniarie inadempiute (derivanti sia da un mancato pagamento, sia da un ritardo), senza perdite o residui anche a titolo di interessi e spese o comunque a seguito di vicende estintive diverse dall’adempimento, in particolare a seguito di transazioni o concordati».
Cosicché, nel provvedimento si legge: «le informazioni creditizie di tipo negativo oggetto di contestazione avrebbero dovuto essere cancellate dal s.i.c. di Crif S.p.A. entro 24 e non 36 mesi dall’avvenuta regolarizzazione come previsto dall’art. 6, comma 2, lett. b) del codice deontologico previgente (e analogamente confermato nell’Allegato 2 – Tempi di conservazione dell’attuale codice di condotta)».
A fronte del comportamento attivo e correttivo tenuto dall’Istituto di credito – cancellazione delle informazioni contestate in Crif e regolarizzazione delle procedure interne – e in assenza di controdeduzioni dei reclamanti, il Garante non dava seguito all’adozione di misure correttive ai sensi dell’art. 58, par. 2, GDPR, bensì, ritenendo fondato il reclamo, qualificava il caso come violazione minore e adottava la misura dell’ammonimento ai sensi dell’art. 58, par. 2, lett. b), GDPR, facendo salva la possibilità per gli interessati di far valere dinnanzi l’autorità giudiziaria ordinaria eventuali profili di danno.
3. Precedenti
Tra i precedenti in tema di segnalazione illegittime nei sistemi di informazioni creditizie, si menzionano, tra gli altri, il Provvedimento del 29 maggio 2014, docweb n. 3281528, relativo a segnalazioni negative riferite a ritardi nel pagamento di alcune rate di un prestito personale e di un mutuo ipotecario, nonché il Provvedimento del 12 ottobre 2017, docweb n. 7340861, in tema di segnalazione negativa, per omesso preavviso e per decorrenza dei termini di conservazione rispetto all’avvenuta regolarizzazione della posizione debitoria.
Seppur non perfettamente inerente agli argomenti trattati nel provvedimento commentato, tra i precedenti che meritano di essere segnalati si segnala, aoltresì, il provvedimento interpretativo di alcune disposizioni del Codice SIC del 26 ottobre 2017, docweb n. 7221677 (pubblicato sulla Gazzetta Ufficiale n. 279 del 29 novembre 2017), con il quale il Garante ha fornito alcuni chiarimenti in ordine ai tempi di conservazione dei dati in caso di inadempimenti non regolarizzati ai sensi dell’art. 6, co. 5, del codice deontologico.
In particolare, secondo il Garante la suddetta norma rende incerta l’individuazione della data di decorrenza del termine di conservazione dei dati relativi a inadempimenti non regolarizzati, tanto che si erano registrate prassi operative differenziate tra i vari SIC.
Nel provvedimento, il Garante chiarisce: «In ossequio ai principi generali stabiliti in materia di trattamento dei dati personali (art. 11 del Codice), appare congruo ritenere che il termine massimo di conservazione dei dati relativi a inadempimenti non successivamente regolarizzati fermo restando il termine “normale” di riferimento di 36 mesi dalla scadenza contrattuale o dalla cessazione del rapporto di cui all´art. 6, comma 5, del “codice deontologico”, non possa comunque mai superare all’eventuale verificarsi delle altre ipotesi previste dal citato art. 6, comma 5 i cinque anni dalla data di scadenza del rapporto, quale risulta dal contratto di finanziamento. Tale termine tiene conto dei tempi massimi di conservazione dei dati “negativi” fissati in relazione ad altre banche dati assimilabili a quelle in questione (ad esempio, archivio CAI, banca dati protesti). Ciò corrisponde alla necessità di non rendere aleatorio e indefinito il termine finale di conservazione dei dati. Nel senso di una determinazione meno discrezionale di tale termine, si pone anche la nuova disciplina in materia di protezione dei dati personali contenuta nel Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016, la quale, in materia di informativa da fornire all´interessato, prevede che “[…] per garantire un trattamento corretto e trasparente […]”, il titolare indichi, tra l´altro, “[…] il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo” (art. 13, paragrafo 2, lett. a)».
Significativa invece la posizione dell’ABF, Collegio di Napoli, decisione N. 6838 del 28 luglio 2016: «(…) producendo la transazione l’estinzione del rapporto obbligatorio e la conseguente liberazione del debitore, la segnalazione in Crif del passaggio a perdita pubblicizza, al contrario, una situazione di sostanziale irrecuperabilità del debito così comportando la non veridicità del fatto segnalato certamente in grado di comportare nocumento al soggetto segnalato. In diverse occasioni questo Arbitro ha infatti rilevato che in caso di avvenuta regolarizzazione della posizione di insolvenza, non risulta l’esistenza dei presupposti per la regolarità della segnalazione (Coll. Napoli, dec. n. 9308/2015; Coll. Milano 2745/2016)».
4. Bibliografia
Sui sistemi di informazioni creditizie e sui diversi aspetti giuridici ad essi relativi, ivi inclusi quelli concernenti le segnalazioni illegittime e i tempi di conservazione, si veda F. Bravo, I sistemi privati di informazione creditizia, in G. Conte (diretto da), Arbitrato Bancario e Finanziario, Milano, 2021, pp. 229-264. Inoltre, sulla legittimità della segnalazione in Crif da parte della Banca per ritardato pagamento di rate mensili si veda A. Mager, Legittima la segnalazione in Crif del “mero” inadempimento. Commento a Cassazione Civile, sez. III, 22 agosto 2018, n. 20896, in Rivista di diritto bancario, 2019, 1, pp. 1-4; sull’onere di preventivo avviso ex art. 125 TUB modificato dal d.lgs. n. 141/2020, A.M. Mazzaro, La segnalazione in CRIF tra i cattivi pagatori deve essere preceduta da preventivo avviso al debitore -consumatore, in Diritto & Giustizia, 104, 2021, 4 e ss.; sui profili legati alla violazione della privacy, F.S. Martorano, Segnalazione in Centrale Rischi e violazione della privacy : gli strumenti di tutela interinale dopo il d.lgs. 150/2011, in Banca Borsa Titoli di Credito, 2014, 2, pp. 218 ss.; sulla giurisprudenza dell’arbitro bancario finanziario anche con riferimento alle cc.dd. centrali dei rischi private, cfr. M.C. Malara, Centrale dei rischi e giurisprudenza dell’arbitro bancario finanziario, in Contratti, 2018, 1, p. 93; sul ruolo dei SIC si vedano, ex multis S. Lopreiato, Centrali dei rischi private, segnalazione erronea e responsabilità della banca, in Banca, borsa, tit. cred., 2007, 4, pp. 453 ss; C. Frigeni, Segnalazioni presso le centrali rischi creditizie e tutela dell’interessato: profili evolutivi, in Banca borsa titoli di credito, 2013, 4, pp. 365 ss.; sul danno subito dal danneggiato in materia di protezione dei dati personali, sia patrimoniale che non, connesso alle segnalazioni illegittime cfr. G. Bombaglio, Il danno conseguente alla illegittima segnalazione del debitore in Centrale Rischi e la sua prova, in Ridare.it, 13 febbraio 2019.
Massimazione e Commenti ai Provvedimenti del Garante a cura dell’Osservatorio Privacy collegato con il Corso di Alta Formazione in Data Protection e Privacy Officer dell’Università di Bologna https://site.unibo.it/dpo