Gazzetta n. 279 del 29 novembre 2017 (vai al sommario)
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
DELIBERA 26 ottobre 2017
Provvedimento interpretativo di alcune disposizioni del codice «SIC». (Delibera n. 438).


IL GARANTE PER LA PROTEZIONE
DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici, componente, e del dott. Giuseppe Busia, segretario generale;
Visti gli articoli 12 e 154, comma 1, lettera e), del decreto legislativo 30 giugno 2003, n. 196 - Codice in materia di protezione dei dati personali - (di seguito, «Codice»), i quali attribuiscono al Garante il compito di promuovere nell'ambito delle categorie interessate, nell'osservanza del principio di rappresentativita' e tenendo conto dei criteri direttivi delle raccomandazioni del Consiglio d'Europa sul trattamento dei dati personali, la sottoscrizione di codici di deontologia e di buona condotta per determinati settori, verificarne la conformita' alle leggi e ai regolamenti anche attraverso l'esame di osservazioni di soggetti interessati e contribuire a garantirne la diffusione e il rispetto;
Visto in particolare l'art. 117 del Codice, con il quale e' stato demandato al Garante il compito di promuovere la sottoscrizione di un codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato nell'ambito di sistemi informativi di cui sono titolari soggetti privati, utilizzati a fini di concessione di crediti al consumo, nonche' riguardanti l'affidabilita' e la puntualita' nei pagamenti da parte degli interessati;
Visto il «codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilita' e puntualita' nei pagamenti» (di seguito, «codice deontologico») adottato con provvedimento del Garante del 16 novembre 2004, n. 8, pubblicato nella Gazzetta Ufficiale del 23 dicembre 2004, n. 300, come modificato dall'errata corrige pubblicata nella Gazzetta Ufficiale del 9 marzo 2005, n. 56;
Visto l'art. 13, comma 10, del «codice deontologico», che stabilisce il «periodico riesame e [l']eventuale adeguamento alla luce del progresso tecnologico, dell'esperienza acquisita nella sua applicazione o di novita' normative»;
Visto il provvedimento n. 203 del 17 aprile 2014, che il Garante ha adottato in applicazione di tale disposizione (doc web n. 3070048) e con il quale e' stata disposta l'apertura dei lavori di revisione del «codice deontologico»;
Ritenuto opportuno e non ulteriormente procrastinabile, sia in considerazione del protrarsi dei lavori di revisione - e nelle more di una eventuale conclusione dei medesimi, sia alla luce delle numerose istanze (segnalazioni, reclami, richieste di parere e ricorsi) pervenute nel tempo, fornire chiarimenti e indicazioni di carattere generale su talune disposizioni del «codice deontologico» particolarmente controverse, che hanno generato dubbi interpretativi, incertezze e difficolta' applicative sia per gli operatori (gestori e altri soggetti titolari del trattamento dei dati contenuti nei sistemi di informazioni creditizie), sia per gli interessati;
Viste le osservazioni formulate dal Segretario generale ai sensi dell'art. 15 del Regolamento del Garante n. 1/2000;
Relatore la dott.ssa Giovanna Bianchi Clerici;

Premesso che
1. Il preavviso di imminente registrazione. 1.1. L'art. 4, comma 7, del codice deontologico.
La norma in epigrafe prevede «l'invio» agli interessati, da parte degli operatori, di una comunicazione contenente il preavviso di imminente registrazione nei «Sic» dei dati agli stessi riferiti al verificarsi di ritardi nei pagamenti. La ratio della disposizione e' evidentemente quella di rendere edotti gli interessati delle conseguenze di un perdurante inadempimento, dando cosi' loro la possibilita' di sanarlo prima di procedere all'effettiva iscrizione dei nominativi nei «Sic». L'interpretazione che della medesima e' stata data e l'applicazione pratica che ne e' conseguita, hanno generato un fitto contenzioso che, nel corso degli anni, si e' risolto, con pronunce, spesso contrastanti, da parte degli organismi a vario titolo chiamati a pronunciarsi (Autorita' giudiziaria, Garante, Arbitro bancario finanziario). 1.2. Le recenti pronunce giurisprudenziali e dell'Arbitro bancario
finanziario.
Solo in tempi recenti, la giurisprudenza si e' univocamente orientata nel senso che, benche' non siano previste forme particolari per la comunicazione del preavviso, incomba sul creditore l'onere di provare l'effettivo adempimento all'obbligo di invio di tale comunicazione, ritenendo non sufficienti elementi solo presuntivi, quali, ad esempio, la produzione della copia delle missive asseritamente inviate con modalita' inidonee a provarne sia l'avvenuta spedizione sia il ricevimento da parte del debitore (cosi' in tribunale Verona, I Sez. Civ., sentenza n. 163 del 6 febbraio 2016). Ancora piu' puntuale risulta, sul punto, il pronunciamento della Corte di cassazione Sez. I Civ. che, con ordinanza del 13 giugno 2017, n. 14685, ha stabilito che «[...] l'atto di «avvertimento con preavviso» ovvero di «avviso» - di cui [l']art. 4, comma 7, fa onere all'intermediario - integra una dichiarazione recettizia, in quanto specificamente diretta alla persona dell'interessato e intesa a manifestare la decisione dell'intermediario medesimo di provvedere alla classificazione di «cattivo debitore» del destinatario interessato, con tutti gli effetti che ne conseguono, nel perdurante difetto di regolarizzazione della propria posizione da parte di quest'ultimo entro il periodo di preavviso. In quanto «dichiarazione a determinata persona», quella prescritta dalla norma dell'art. 4, comma 7, risulta soggetta alle prescrizioni generali di cui agli articoli 1334 e 1335 codice civile. Percio', l'efficacia della dichiarazione di «avviso» si produce quando la stessa giunge a conoscenza del destinatario interessato, con la presunzione relativa che la conoscenza si abbia nel momento in cui la dichiarazione raggiunge l'indirizzo del destinatario.».
Lo stesso Arbitro bancario finanziario, che si era espresso in passato in termini contrastanti (v. per tutte, Collegio di Napoli del 23 gennaio 2012, n. 234 e Collegio di Milano del 14 ottobre 2016, n. 9150), si e', da ultimo, orientato nel senso che il mezzo adoperato per l'invio debba integrare i requisiti necessari per poter conseguire la prova legale non solo dell'invio, ma anche della relativa ricezione, e pertanto che la comunicazione debba essere pervenuta a conoscenza del destinatario (v. Collegio di Roma dell'11 novembre 2016, n. 10012 e Collegio di Bari del 6 aprile 2017, n. 3740). 1.3. La posizione del Garante.
Preso atto del consolidarsi dell'orientamento del quale si e' dato conto nel precedente paragrafo e alla luce del rilevante contenzioso che l'applicazione dell'art. 4, comma 7, del codice deontologico continua a generare, anche presso il Garante, si ritiene necessario un intervento chiarificatore da parte dell'Autorita'.
Al riguardo, condividendo le motivazioni addotte dalla giurisprudenza di merito e di legittimita' della quale si e' gia' dato conto, anche il Garante ritiene che, al fine di rispondere alla ratio della norma, sia imprescindibile considerare il preavviso di imminente segnalazione un atto recettizio ai sensi degli articoli 1334 e 1335 codice civile, con la conseguenza che, per la legittimita' della segnalazione nei «Sic», i titolari del trattamento (cioe' gli operatori bancari e finanziari) debbano essere in grado di dimostrare l'effettiva ricezione della comunicazione scritta contenente il preavviso.
Tale lettura e' infatti da condividere anche sotto lo specifico profilo della normativa in materia di protezione dei dati personali, considerato, in particolare che:
trattandosi di uno dei profili oggetto di maggiore contenzioso tra le parti, e' necessario, anche in ragione delle conseguenze che l'iscrizione nei «Sic» comporta per l'interessato, che gli operatori creditizi si avvalgano di mezzi di invio che garantiscano la certezza e l'effettivita' della ricezione;
il preavviso di segnalazione, espressione del principio di correttezza nel trattamento dei dati personali ai sensi dell'art. 11 del Codice, ha lo scopo di consentire all'interessato - venuto a conoscenza dell'imminente segnalazione del suo nominativo nei «Sic» - di adempiere al proprio obbligo creditizio prima che la segnalazione sia effettuata.
In alternativa all'invio delle comunicazioni a mezzo posta di uso tradizionale (quali la raccomandata con ricevuta di ritorno e il telegramma, strumenti espressamente previsti dall'art. 9-bis della legge 12 dicembre 1990, n. 386 per il preavviso di iscrizione nella Centrale di Allarme Interbancaria - CAI in caso di emissione di assegni in mancanza di provvista), gli operatori si potranno avvalere dei mezzi considerati legalmente equivalenti, come la posta elettronica certificata. Ovviamente saranno anche considerati correttamente ricevuti i preavvisi che risulteranno noti all'interessato in virtu' di successivi comportamenti significativi di quest'ultimo. 2. Tempi di conservazione dei dati in caso di inadempimenti non
regolarizzati. 2.1. Art. 6, comma 5, del codice deontologico.
La disposizione stabilisce che le informazioni relative a inadempimenti non successivamente regolarizzati possono essere conservate nei «Sic» «[...] non oltre trentasei mesi dalla data di scadenza contrattuale del rapporto oppure, in caso di altre vicende rilevanti in relazione al pagamento, dalla data in cui e' risultato necessario il loro ultimo aggiornamento, o comunque dalla data di cessazione del rapporto».
Detta norma rende incerta l'individuazione della data di decorrenza del termine di conservazione dei dati relativi a inadempimenti non regolarizzati. Infatti, se, da un lato, si vuole evitare che il termine di trentasei mesi dalla prevista cessazione degli effetti del rapporto contrattuale comporti automaticamente la cancellazione di informazioni relative a inadempimenti non (ancora) regolarizzati, dall'altro la genericita' del testo che, a tal fine, considera rilevanti una pluralita' di accadimenti, rischia di rendere difficilmente determinabile ex ante il momento in cui i dati personali verranno cancellati, con conseguente incertezza per gli interessati e per gli operatori del settore. Di fatto, l'esperienza di questi anni ha palesato l'esistenza di prassi operative diversificate fra i vari «Sic», a conferma dell'opportunita' di un intervento chiarificatore del Garante. 2.2. La posizione del Garante.
In ossequio ai principi generali stabiliti in materia di trattamento dei dati personali (art. 11 del Codice), appare congruo ritenere che il termine massimo di conservazione dei dati relativi a inadempimenti non successivamente regolarizzati - fermo restando il termine «normale» di riferimento di trentasei mesi dalla scadenza contrattuale o dalla cessazione del rapporto di cui all'art. 6, comma 5, del «codice deontologico» -, non possa comunque mai superare - all'eventuale verificarsi delle altre ipotesi previste dal citato art. 6, comma 5 - i cinque anni dalla data di scadenza del rapporto, quale risulta dal contratto di finanziamento. Tale termine tiene conto dei tempi massimi di conservazione dei dati «negativi» fissati in relazione ad altre banche dati assimilabili a quelle in questione (ad esempio, archivio CAI, banca dati protesti). Cio' corrisponde alla necessita' di non rendere aleatorio e indefinito il termine finale di conservazione dei dati. Nel senso di una determinazione meno discrezionale di tale termine, si pone anche la nuova disciplina in materia di protezione dei dati personali contenuta nel regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, la quale, in materia di informativa da fornire all'interessato, prevede che «[...] per garantire un trattamento corretto e trasparente [...]», il titolare indichi, tra l'altro, «[...] il periodo di conservazione dei dati personali oppure, se non e' possibile, i criteri utilizzati per determinare tale periodo» (art. 13, paragrafo 2, lettera a)). 3. Informativa personalizzata (SECCI). 3.1. Informativa personalizzata (SECCI) prevista dalle modifiche
apportate all'art. 124 del decreto legislativo del 1° settembre
1993, n. 385 - Testo unico bancario.
L'art. 5 del «codice deontologico» prescrive che «[a]l momento della raccolta dei dati personali relativi a richieste/rapporti di credito, il partecipante informa l'interessato ai sensi dell'art. 13 del Codice anche con riguardo al trattamento dei dati personali effettuato nell'ambito di un sistema di informazioni creditizie» e che tale informativa deve essere resa obbligatoriamente per iscritto secondo il modello allegato al «codice deontologico» e, «[...] se inserita in un modulo utilizzato dal partecipante, [deve essere] adeguatamente evidenziata e collocata in modo autonomo ed unitario, in parti o riquadri distinti da quelli relativi ad eventuali altre finalita' del trattamento effettuato dal medesimo partecipante».
L'informativa personalizzata SECCI (denominata anche IEBCC - Informazioni europee di base sul credito ai consumatori, informativa precontrattuale o documento conforme) e' un modello di informativa, proposto e fornito dal finanziatore al cliente prima che lo stesso sia vincolato da un contratto e recante tutte le informazioni necessarie per avere completa chiarezza delle condizioni economiche e delle caratteristiche principali del finanziamento. Essa viene predisposta conformemente a quanto disposto dalla Banca d'Italia (v. provvedimento del 9 febbraio 2011 «Trasparenza delle operazioni e dei servizi bancari e finanziari. Correttezza delle relazioni tra intermediari e clienti») in attuazione dell'art. 124 decreto legislativo 1° settembre 1993, n. 385 recante il «Testo unico delle leggi in materia bancaria e creditizia» nel testo novellato in sede di recepimento della direttiva 2008/48/CE relativa ai contratti di credito ai consumatori - in vigore dal 1° giugno 2011. Detta norma prevede che «[i]l finanziatore o l'intermediario del credito, sulla base delle condizioni offerte dal finanziatore e, se del caso, delle preferenze espresse e delle informazioni fornite dal consumatore, forniscono al consumatore, prima che egli sia vincolato da un contratto o da un'offerta di credito, le informazioni necessarie per consentire il confronto delle diverse offerte di credito sul mercato, al fine di prendere una decisione informata e consapevole in merito alla conclusione di un contratto di credito» (articolo cosi' sostituito dall'art. 1 del decreto legislativo 13 agosto 2010, n. 141, come modificato dall'art. 1 del decreto legislativo 14 dicembre 2010, n. 218 e dall'art. 1, comma 1, lettera c), decreto legislativo 19 settembre 2012, n. 169). 3.2. La posizione del Garante.
Tenuto conto che il «codice deontologico» si applica solo in presenza di una richiesta/rapporto di credito e non nella fase propedeutica alla formulazione di una richiesta di finanziamento, si ritiene che, nella predisposizione dell'informativa personalizzata SECCI, si debba tener conto esclusivamente delle informazioni eventualmente rese, direttamente e spontaneamente, dal consumatore senza possibilita', in questa fase, di accedere ai sistemi di informazioni creditizie.

Tanto premesso, il Garante:
ai sensi degli articoli 154, comma 1, lettera h) e 12, comma 1, del Codice, stabilisce che nell'interpretazione e applicazione del «codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilita' e puntualita' nei pagamenti», i titolari del trattamento tengano conto delle indicazioni fornite con il presente provvedimento (punti 1.3.; 2.2.; 3.2.).
Si dispone che copia del presente provvedimento sia trasmessa al Ministero della giustizia - ufficio pubblicazione leggi e decreti, per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana e sia resa disponibile nel sito web dell'Autorita' www.garanteprivacy.it
Roma, 26 ottobre 2017

Il Presidente
Soro
Il relatore
Bianchi Clerici
Il segretario generale
Busia

 
Gazzetta Ufficiale Serie Generale per iPhone