Il nuovo codice deontologico sulle centrali rischi private

di Paolo Ricchiuto* - 10.01.05

Quando chiediamo il rilascio di una carta di credito, apriamo un conto corrente, stipuliamo un contratto di mutuo o attiviamo un finanziamento, il nostro interlocutore (la banca, l’intermediario finanziario eccetera) ha la necessità di verificare la nostra affidabilità. E’ sostanzialmente con questi scopi che sono nate le cosiddette centrali rischi, e cioè enormi banche dati, strutturate in modo tale da fotografare la solvibilità di chi accede al mondo del credito.

Accanto alle centrali rischi pubbliche (quella gestita dalla Banca d’Italia per crediti superiori ad € 75.000 e/o per crediti in sofferenza, e quella istituita con delibera CICR 03.05.99 per la rilevazione dei rischi di importo contenuto), si sono sviluppate quelle private, fondate su accordi associativi o regolamenti consortili, ed il cui funzionamento si basa su un sinallagma molto semplice: una banca, ad esempio, si obbliga contrattualmente a “nutrire” la banca dati con le notizie relative ai rapporti in essere, acquisendo di contro il diritto a consultare la centrale rischi per la preliminare verifica di affidabilità dei nuovi potenziali clienti.

Il fenomeno ha una portata amplissima: basta pensare alle ultime rilevazioni relative ai prestiti personali che, sospinti dalla difficile congiuntura, hanno subito nell’agosto 2004 un incremento pari al 58,4 % rispetto allo stesso mese dell’anno precedente (fonte: Osservatorio Assofin sui crediti al consumo).
Ora è chiaro come in un ambito così delicato e di così estesa latitudine i diritti di tutela della riservatezza sanciti dalla normativa sulla privacy entrino in collisione diretta con gli altrettanto importanti interessi di contenimento dei rischi legittimamente vantati da parte degli enti erogatori (nelle varie forme) del credito. E questa dicotomia ha trovato ampio sfogo nel corposo contenzioso sviluppatosi avanti al Garante per la protezione dei dati personali.

E’ proprio su queste basi che nasce l’esigenza di una regolamentazione organica del fenomeno che, a differenza delle centrali rischi pubbliche (regolate dal “TU Banche”, delibere del Comitato interministeriale per il credito e il risparmio - CICR - e circolari Bankitalia), difettavano di una disciplina vincolante.
Da qui il primo intervento del Garante che, con il provvedimento 31.07.02 (reperibile a pag. 23 del Bollettino n. 30) ha fissato gli iniziali ed insormontabili principi cui gli operatori del settore avrebbero dovuto conformarsi.
Già in quella sede, peraltro, l’Autorità rinviava alla successiva approvazione di un codice deontologico la compiuta disciplina dell’attività delle centrali rischi private.
Dopo una lunga gestazione, si è quindi arrivati alla approvazione della versione definitiva del codice deontologico che diventa parte integrante dell’allegato A al del DLgs 196/03, in ossequio a quanto previsto dall’art. 12 c. 2.

Rimando ad una attenta lettura del testo per la analitica individuazione delle nuove regole, limitandomi qui ad alcuni brevissimi flash per fissare i più importanti punti di riferimento:

1. il rispetto delle prescrizioni contenute nel codice deontologico è “condizione essenziale per la liceità e correttezza del trattamento” (preambolo, punto 4). Non deve ingannare, dunque, il fatto che il documento costituisca l’esito del lavoro svolto dalle contrapposte associazioni di categoria sotto la supervisione del Garante: a norma dell’art. 12 del DLgs 196/03, infatti, seppure il nuovo assetto promani da un ambito estraneo agli ordinari strumenti normativi, le regole che ne costituiscono il frutto sono in tutto e per tutto vincolanti per i soggetti coinvolti, tanto che (al pari degli altri codici deontologici già emanati) la loro violazione comporta tutte le conseguenze sanzionatorie previste dal codice della privacy;

2. la dizione di “centrali rischi private” è sostituita da quella di “sistemi di informazioni creditizie”. La modifica non ha soltanto una portata…estetica in quanto, secondo la innnovativa definizione contenuta nel codice deontologico, a tali sistemi possono partecipare solo e soltanto i soggetti che siano parte di un “rapporto di credito”, per tale intendendosi la concessione di credito sotto forma di dilazione di pagamento, finanziamento o altra analoga facilitazione finanziaria (art. 1 lett. a). Sono dunque formalmente esclusi dalla possibilità di partecipare ai sistemi un grande numero di enti che fino a ieri costituivano una parte importante delle centrali rischi esistenti, quali le società telefoniche (oggi eslcuse, appunto, in quanto i relativi rapporti non rientrano nelle nozioni appena ricordate,non essendo la mera emissione di una bolletta telefonica assimilabile in nessun modo alla vera e propria concessione di un credito);

3. nei sistemi di informazione creditizia non possono essere trattati dati sensibili o giudiziari, né dati personali cosiddetti soggettivi e l’unica finalità che può esser perseguita nel trattamento operato dal “gestore” e dai “partecipanti”, è quella della valutazione del merito creditizio, essendo inibito a monte ogni trattamento per scopi comunque diversi (e soprattutto, ovviamente, per finalità commerciali);

4. tutti i partecipanti sono tenuti a dare agli interessati una informativa, strutturata sulla base del modello allegato alla delibera n. 8 del 16.11.04, con la quale il Garante ha inviato il Codice all’Ufficio pubblicazione e leggi del Ministero della giustizia. Nell’enorme lavoro di rivisitazione della modulistica ad oggi utilizzata, i soggetti coinvolti potranno pertanto usufruire di un utile punto di riferimento;

5. l’approvazione del Codice è stata affiancata da un importantissimo provvedimento (sempre del 16.11.04), adottato dal Garante nell’esercizio delle prerogative riconosciutegli dall’art. 24 lett. g) del DLgs 196/03. Vediamo di cosa si tratta: i dati personali costituiti da informazioni creditizie di tipo positivo (ad es: la esistenza di un rapporto di finanziamento, regolarmente onorato mediante il pagamento a scadenza delle rate da parte del debitore) possono essere trattate lecitamente soltanto in presenza del consenso dell’interessato, consenso che i partecipanti sono tenuti ad acquisire (sempre che non possano fruire di uno dei casi di esclusione dettati dall’art. 24). Se tale dinamica ha un senso e funziona correttamente per le informazioni di tipo positivo, non altrettanto è a dirsi per quelle negative (ad esempio, la esistenza di una protratta morosità nel pagamento delle rate di un mutuo): con riguardo a questi dati, infatti, subordinare la liceità del trattamento al consenso dell’interessato può aprire la porta a condotte strumentali da parte dei debitori più smaliziati, ai quali sarebbe sufficiente negare o revocare il consenso per paralizzare l’attività dei sistemi di informazioni creditizie).

Bene, per risolvere questo problema, il Garante è intervenuto con il provvedimento di bilanciamento di interessi del 16.11.04, in forza del quale il trattamento delle informazioni negative deve considerarsi pienamente lecito pur in assenza di consenso, sempre che, ovviamente, sia conforme ai dettami ivi contenuti. Dopo il famigerato provvedimento sulla videosorveglianza, siamo quindi alla seconda ipotesi in cui il Garante utilizza la leva prevista dall’art. 24 lett. g) del 196/03, bilanciando, per l’appunto, i contrapposti interessi in campo e by-passando il consenso come unico presupposto di liceità del trattamento;

6. il Codice specifica certosinamente a quali condizioni i dati possono essere inseriti nei sistemi: non un semplice ed isolato ritardo, ma solo una reiterata morosità abilita alla introduzione dei dati negativi nella banca dati (art. 4). Ed i dati non possono esser conservati ad libitum, ma vengono fissate delle soglie di sbarramento cui gli operatori del settore dovranno conformare le proprie policy operative (art. 6)

Tantissime ancora sarebbero le cose da dire (e nei prossimi numeri concentreremo l’attenzione su altri, rilevantissimi aspetti).
Intanto, seppure con la elasticità prevista dalla disciplina transitoria (art. 13), nelle settimane a venire ognuno nel suo ambito (che sia perché parte di un rapporto di credito, o per finalità scientifiche o professionali) avrà modo di misurare la eccezionale portata di questo codice deontologico, probabilmente il più importante (quantomeno per la estensione della platea dei soggetti coinvolti) fra quelli fino ad oggi approntati.
 

* Avvocato in Roma