Newsletter 11 - 24 novembre 2002

• Privacy: da costo a risorsa. Conferenza internazionale a Roma
• Privacy e credito: nuove garanzie per i consumatori

Privacy, da costo a risorsa. Conferenza internazionale a Roma

E’ possibile considerare la privacy come un valore aggiunto dell’economia, che per crescere - oggi più che mai - ha bisogno di dati e di informazioni? E’ possibile vedere nel rispetto della privacy non già un ostacolo alla libera iniziativa, ma un ausilio, una "risorsa", appunto, che i soggetti economici più accorti possono utilizzare per affermare un modello in cui la competizione nel mercato e la conquista del cliente siano compatibili con i diritti del consumatore e il rispetto della persona umana?

Su queste domande, che riguardano imprese e consumatori di ogni parte del mondo, l’Autorità Garante per la protezione dei dati personali (composta da Stefano Rodotà , Giuseppe Santaniello, Gaetano Rasi, Mauro Paissan) ha voluto esplorare le soluzioni e gli approcci possibili organizzando una Conferenza internazionale alla quale ha invitato tutti i soggetti coinvolti.

La Conferenza internazionale si intitolerà

"Privacy, Cost to Resource - Privacy, da costo a risorsa"

e si svolgerà il 5 e 6 dicembre presso la sede del Garante, in Piazza Monte Citorio, 121.

Aziende multinazionali, studiosi di fama internazionale (tra gli altri, Amitai Etzioni, Robert Gellman, Spiros Simitis), rappresentanti istituzionali e politici, grandi associazioni di categoria, consumatori ed esperti si confronteranno sulla sfida che pone la conciliazione di garanzie per i cittadini e le opportunità per le imprese, le prospettive di sviluppo economico in un mercato "privacy-oriented".

Parteciperanno ai lavori, tra gli altri, il Ministro delle comunicazioni Maurizio Gasparri; il Ministro per le attività produttive, Antonio Marzano; il Presidente della Autorità garante per la concorrenza e il mercato, Giuseppe Tesauro; il Presidente della Consob, Luigi Spaventa; il Direttore Generale della Confindustria, Stefano Parisi; due rappresentanti della Federal Trade Commission USA (l’organismo che vigila, tra l’altro, sul rispetto delle regole della concorrenza e sulla tutela dei consumatori), Mozelle Thompson e Orson Swindle; il deputato del Congresso USA, Cliff Stearns, presidente del comitato per la protezione dei consumatori; il direttore dell’Electronic Privacy Information Center (EPIC), Marc Rotenberg, che da anni si batte negli Stati Uniti per la difesa dei diritti fondamentali delle persone.

Quattro le sessioni in cui si articolerà la Conferenza, presiedute ognuna da un componente del Garante per la privacy:

• la prima sarà dedicata alla "La tutela dei dati personali nel mercato globale" cercherà di focalizzare quale ruolo svolge la protezione dei dati personali nel mercato globale mettendo a confronto modello europeo e statunitense;
• la seconda sessione su "Privacy e impresa" approfondirà l’impatto della privacy all’interno dell’impresa e sui problemi connessi al rapporto di lavoro;
• la sessione su "Impresa, utenti e consumatori" prenderà in esame l’uso dei dati personali nel marketing e i meccanismi di tutela dei consumatori;
• la sessione finale, "Privacy e sviluppo economico: soluzioni e prospettive", affronterà le prospettive di sviluppo della privacy in quanto valore per aziende e consumatori, mettendo in luce le possibilità offerte dalle nuove tecnologie e dall’autoregolamentazione per passare da una visione di privacy come mero costo ad una visione della privacy come valore economico, come risorsa appunto.

Il programma della Conferenza è on-line sul sito del Garante www.garanteprivacy.it

Privacy e credito: nuove garanzie per i consumatori
(comunicato del 18 ottobre 2002)

Segnalazione alle banche dati delle "centrali rischi" solo per ritardi e morosità di più mesi o più rate; conservazione dei dati dei cosiddetti "cattivi pagatori" per periodi più brevi e ragionevoli; cancellazione delle informazioni relative a richieste di finanziamento non accolte o ritirate dagli interessati; informative dettagliate ai clienti sull’utilizzo dei loro dati; tempestività e completezza dei riscontri forniti alle richieste degli interessati di accesso, modifica o cancellazione dei dati che li riguardano.

Queste, in sintesi, le precise regole che - in vista di una prossima disciplina dell’intero settore sotto il profilo della protezione dei dati - l’Autorità Garante (composta da Stefano Rodotà, Giuseppe Santaniello, Gaetano Rasi, Mauro Paissan) ha stilato in un complesso provvedimento, messo a punto affinché i consumatori vengano maggiormente tutelati nei loro rapporti con banche e finanziarie quando chiedono o ottengono prestiti, mutui, particolari carte di credito e finanziamenti anche per acquisti rateali (relativi a beni di largo consumo, come, ad esempio, elettrodomestici, cellulari, motorini, automobili, computer etc.).

Il provvedimento - che si è reso necessario in considerazione dei numerosi casi portati in questi anni all’attenzione dell’Autorità da singoli e da associazioni di consumatori - riassume la "giurisprudenza" del Garante emersa dall’esame di formali ricorsi, e individua alcune prime condizioni minime per la raccolta, la conservazione e l’uso delle informazioni presenti nei sistemi informativi di rilevazioni dei rischi creditizi, le cosiddette "centrali rischi", utilizzate da banche e finanziarie.

Dagli innumerevoli reclami giunti all’Autorità si è evidenziata, innanzitutto, la necessità di riconsiderare la congruità del periodo di conservazione delle informazioni di carattere negativo relative ai rapporti di finanziamento e di evitare l’ingiustificata presenza, nelle banche dati delle "centrali rischi", di una ampia quantità di dati non sempre o non più significativi (lievi morosità successivamente sanate, brevi ritardi nei pagamenti poi regolarmente effettuati, richieste di finanziamento non concesso etc.), che possono determinare effetti pregiudizievoli per gli interessati, anche per quanto riguarda la possibilità di accesso a nuovi crediti.

Uniformare i criteri per la segnalazione dei dati alle "centrali rischi"
Le attuali modalità di gestione dei sistemi privati di rilevazione dei rischi creditizi, le cosiddette "centrali rischi", non permettono di distinguere adeguatamente gli eventi da considerare fisiologici in un rapporto destinato a svolgersi nel tempo, e che non incidono sull’affidabilità e solvibilità della clientela, da situazioni più critiche relative a gravi e reiterate inadempienze. Per questi motivi, il Garante ha affermato che i criteri seguiti nei vari circuiti informativi per la segnalazione delle morosità o dei ritardi di pagamento delle rate scadute, devono essere uniformati in chiave di maggiore tutela dei consumatori, tenendo conto della reale gravità degli inadempimenti, in modo tale da non recare pregiudizi ingiustificati ai loro diritti.

Le segnalazioni delle morosità alle "centrali rischi" devono essere effettuate solo in caso di mancato pagamento di somme consistenti, di più rate o di gravi ritardi, specialmente quando si tratta di finanziamenti di basso importo con rate di modesta entità.

Devono essere previste soglie temporali minime o di più rate cumulate (ad esempio per ritardi di almeno quattro mesi o di quattro rate, secondo la prassi già seguita da alcuni operatori), ed evitare la comunicazione alle "centrali rischi" private di mancati pagamenti causati da anomalie o disguidi postali e bancari non sempre imputabili agli interessati. Banche e finanziarie, prima di effettuare la segnalazione della morosità alla centrale rischi, devono, comunque, dare un preavviso agli interessati affinché possano eventualmente intervenire.

Conservazione non oltre 1 anno dei dati relativi a morosità regolarizzate
I dati relativi agli eventuali ritardi nei pagamenti, poi completamente sanati, devono essere cancellati entro un anno dalla data della loro regolarizzazione o comunque dalla data di estinzione del rapporto di finanziamento.

All’esito della globale valutazione della prima esperienza applicativa della legge n. 675, e dei contratti di finanziamento stipulati dopo la sua entrata in vigore, il Garante ha rilevato che è sproporzionata la scelta, attualmente in uso, di conservare per cinque anni tutti i dati, anche nel caso in cui la sofferenza è venuta meno o il finanziamento è stato estinto.

Va garantita, insomma, la piena tutela del cosiddetto "diritto all’oblio" degli interessati, anche in considerazione delle evoluzioni della recente normativa italiana, legislativa e regolamentare, in tema di correttezza nei pagamenti e nell’adempimento delle obbligazioni pecuniarie (esperienze applicative della "centrale rischi" della Banca d’Italia; cancellazione dagli elenchi dei protesti cambiari; banca dati in materia di assegni).

Illegittima la comunicazione di dati personali riguardanti richieste di finanziamento non accolte o ritirate
La comunicazione che banche e finanziarie effettuano alla "centrali rischi" per segnalare i dati personali di coloro ai quali non è stato concesso un finanziamento o che vi hanno rinunciato, è ingiustificata, in considerazione del fatto che il rapporto di finanziamento non si è instaurato o si è comunque interrotto ad uno stadio che non legittima una divulgazione dei dati. Spesso, peraltro, il rifiuto di concedere finanziamenti deriva da valutazioni discrezionali di banche e finanziarie o da politiche contrattuali piuttosto che dall’inaffidabilità del cliente. Terminato il periodo necessario per l’istruttoria delle richieste di finanziamento (che può avere, comunque, una durata massima di 6 mesi), i dati relativi alla richiesta non accolta o oggetto di rinuncia dovranno essere cancellati dalla "centrale rischi" entro un mese e non conservati, come avviene in alcuni casi, per un anno.

Illecita la consultazione dei dati se non legata al finanziamento
E’ illecito, ha rilevato l’Autorità, utilizzare i dati personali presenti nelle "centrali rischi" per scopi estranei all’attività di rilascio o di gestione dei finanziamenti, ad esempio per scopi di marketing. L’utilizzazione dei dati personali può, dunque, avvenire soltanto se strettamente connessa all’istruttoria di una richiesta di finanziamento.

Maggiori informazioni ai consumatori
Nei moduli delle richieste di finanziamento, banche e finanziarie devono fornire ai consumatori dettagliate informazioni sulle "centrali rischi" alle quali saranno trasmessi i dati, e assicurare agli interessati una piena comprensione degli scopi e delle modalità di raccolta, registrazione e circolazione dei dati.

Riscontri tempestivi
E’ necessario che i riscontri alle richieste di accesso, rettifica e cancellazione dei dati, presentate dagli interessati, siano tempestivi e completi, in modo tale da garantire un maggior rispetto dei loro diritti, tenuto conto anche che alcuni comportamenti "scorretti" espongono sia le "centrali rischi" sia le banche e le finanziarie a responsabilità civile, anche sul piano dei danni non patrimoniali. Il Garante ritiene, al riguardo, opportuna la prassi, seguita da alcuni operatori, di sospendere la visualizzazione dei dati per il periodo necessario ad effettuare verifiche ed accertamenti. L’accesso dovrà essere garantito anche ai dati espressi in forma di punteggio sul grado di affidabilità o solvibilità degli interessati, ottenuti mediante elaborazioni automatiche ed analisi statistiche.

Nell’inviare il provvedimento a "centrali rischi", banche o istituti finanziari che aderiscono ai diversi circuiti, il Garante ha chiesto di essere informato entro il 15 dicembre sulle misure adottate per tutelare i consumatori in vista del previsto codice di deontologia che disciplini il settore e - in relazione anche alla liceità delle prassi finora seguite dagli operatori - degli altri provvedimenti attuativi delle nuove disposizioni introdotte in materia di privacy a febbraio scorso. Il provvedimento è stato, inoltre, reso noto agli organismi pubblici e privati interessati in ambito bancario e finanziario.

Roma, 18 novembre 2002