Preavviso di segnalazione in centrale rischi private e diritto all’oblio – L’autorità per la privacy interviene a favore dei cattivi debitori e mette la parola fine ad interpretazioni arbitrarie di banche e finanziarie

Indice dei contenuti dell'articolo


Preavviso di segnalazione e permanenza massima dei dati del debitore nelle centrali rischi private - I chiarimenti dell'Authority per la privacy

Alla luce delle numerose istanze (reclami, richieste di parere e ricorsi) pervenute nel tempo, l'Autorità per la protezione dei dati personali ha inteso fornire, con il provvedimento interpretativo 438/2017 del 26 ottobre, chiarimenti e indicazioni di carattere generale su talune disposizioni particolarmente controverse del codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti, che hanno generato dubbi interpretativi, incertezze e difficoltà applicative sia per gli operatori del credito, sia per i debitori.

In particolare, come si può leggere nel seguito, Il Garante ha chiarito, inequivocabilmente, che la segnalazione nei Sistemi di Informazioni Creditizie (Sic) operata da banche e finanziarie creditrici è legittimata solo dalla dimostrazione dell'effettiva ricezione del preavviso da parte del debitore.

Inoltre, il Garante ha precisato che il termine temporale massimo di conservazione della posizione debitoria (tre anni decorrenti dalla scadenza del contratto di finanziamento) non può mai superare, anche per eventuali reiterate segnalazioni sullo stesso rapporto di credito, i cinque anni.

Il preavviso di imminente segnalazione

Il preavviso di iscrizione in centrale rischi va notificato al debitore con raccomandata AR o PEC

Il codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti (codice deontologico) prevede l'invio agli interessati, da parte degli operatori, di una comunicazione contenente il preavviso di imminente registrazione nei Sistemi di Informazioni Creditizie (Sic) dei dati agli stessi riferiti al verificarsi di ritardi nei pagamenti. La ratio della disposizione è evidentemente quella di rendere edotti gli interessati delle conseguenze di un perdurante inadempimento, dando così loro la possibilità di sanarlo prima di procedere all'effettiva iscrizione dei nominativi nei Sic. L'interpretazione che della medesima è stata data e l'applicazione pratica che ne è conseguita, hanno generato un fitto contenzioso che, nel corso degli anni, si è risolto, con pronunce, spesso contrastanti, da parte degli organismi a vario titolo chiamati a pronunciarsi (Autorità giudiziaria, Garante, Arbitro Bancario Finanziario).

Le recenti pronunce giurisprudenziali e dell'Arbitro Bancario Finanziario

Solo in tempi recenti, la giurisprudenza si è univocamente orientata nel senso che, benché non siano previste forme particolari per la comunicazione del preavviso di imminente segnalazione, incomba sul creditore l'onere di provare l'effettivo adempimento all'obbligo di invio di tale comunicazione, ritenendo non sufficienti elementi solo presuntivi, quali, ad esempio, la produzione della copia delle missive asseritamente inviate con modalità inidonee a provarne sia l'avvenuta spedizione sia il ricevimento da parte del debitore (così in Trib. Verona, I Sez. Civ., sent. n. 163 del 6 febbraio 2016). Ancora più puntuale risulta, sul punto, il pronunciamento della Corte di Cassazione Sez. I Civ. che, con ordinanza del 13 giugno 2017, n. 14685, ha stabilito che il preavviso in capo alla banca o alla finanziaria creditrice integra una dichiarazione recettizia, in quanto specificamente diretta alla persona dell'interessato e intesa a manifestare la decisione dell'intermediario medesimo di provvedere alla classificazione di cattivo debitore del destinatario interessato, con tutti gli effetti che ne conseguono, nel perdurante difetto di regolarizzazione della propria posizione da parte di quest'ultimo entro il periodo di preavviso. In quanto dichiarazione a determinata persona, quella prescritta dal codice deontologico risulta soggetta alle prescrizioni generali di cui agli articoli 1334 e 1335 del codice civile. Per questi motivi, l'efficacia del preavviso si produce quando lo stesso giunge a conoscenza del destinatario interessato, con la presunzione relativa che la conoscenza si abbia nel momento in cui la dichiarazione raggiunge l'indirizzo del destinatario.

Lo stesso Arbitro Bancario Finanziario, che si era espresso in passato in termini contrastanti (decisioni 234/2012 e 9150/2016), si è, da ultimo, orientato nel senso che il mezzo adoperato per l'invio debba integrare i requisiti necessari per poter conseguire la prova legale non solo dell'invio, ma anche della relativa ricezione, e pertanto che la comunicazione debba essere pervenuta a conoscenza del destinatario (decisioni 10012/2016 e 3740 /2017).

La posizione del Garante

Preso atto del consolidarsi dell'orientamento del quale si è dato conto nel precedente paragrafo e alla luce del rilevante contenzioso che l'applicazione del preavviso di segnalazione, previsto dal codice deontologico continua a generare, anche presso il Garante, si ritiene necessario un intervento chiarificatore da parte dell'Autorità.

Al riguardo, condividendo le motivazioni addotte dalla giurisprudenza di merito e di legittimità della quale si è già dato conto, anche il Garante ritiene che, al fine di rispondere alla ratio della norma, sia imprescindibile considerare il preavviso di imminente segnalazione un atto che deve essere portato a conoscenza del destinatario, ai sensi di quanto previsto dal codice civile, con la conseguenza che, per la legittimità della segnalazione nei Sic, gli operatori bancari e finanziari debbano essere in grado di dimostrare l'effettiva ricezione della comunicazione scritta contenente il preavviso.

Tale lettura è infatti da condividere anche sotto lo specifico profilo della normativa in materia di protezione dei dati personali, considerato, in particolare che:

  1. trattandosi di uno dei profili oggetto di maggiore contenzioso tra le parti, è necessario, anche in ragione delle conseguenze che l'iscrizione nei Sic comporta per l'interessato, che gli operatori creditizi si avvalgano di mezzi di invio che garantiscano la certezza e l'effettività della ricezione;
  2. il preavviso di segnalazione, espressione del principio di correttezza nel trattamento dei dati personali ai sensi dell'art. 11 del codice deontologico ha lo scopo di consentire all'interessato, venuto a conoscenza dell'imminente segnalazione del suo nominativo nei Sic, di adempiere al proprio obbligo creditizio prima che la segnalazione sia effettuata;

In alternativa all'invio delle comunicazioni a mezzo posta di uso tradizionale, quali la raccomandata con ricevuta di ritorno e il telegramma (strumenti espressamente previsti per il preavviso di iscrizione nella Centrale di Allarme Interbancaria-CAI in caso di emissione di assegni in mancanza di provvista), gli operatori si potranno avvalere dei mezzi considerati legalmente equivalenti, come la posta elettronica certificata. Ovviamente saranno anche considerati correttamente ricevuti i preavvisi che risulteranno noti all'interessato in virtù di successivi comportamenti significativi di quest'ultimo.

Tempi di conservazione dei dati in caso di inadempimenti non regolarizzati

Massimo 5 anni (diritto all'oblio) dalla scadenza del piano di rimborso rateale, la permanenza del nominativo del cattivo pagatore in centrale rischi

La disposizione stabilisce che le informazioni relative a inadempimenti non successivamente regolarizzati possono essere conservate nei Sic non oltre trentasei mesi dalla data di scadenza contrattuale del rapporto oppure, in caso di altre vicende rilevanti in relazione al pagamento, dalla data in cui è risultato necessario il loro ultimo aggiornamento, o comunque dalla data di cessazione del rapporto.

Detta norma rende incerta l'individuazione della data di decorrenza del termine di conservazione dei dati relativi a inadempimenti non regolarizzati.

Infatti, se, da un lato, si vuole evitare che il termine di trentasei mesi dalla prevista cessazione degli effetti del rapporto contrattuale comporti automaticamente la cancellazione di informazioni relative a inadempimenti non (ancora) regolarizzati, dall'altro la genericità del testo che, a tal fine, considera rilevanti una pluralità di accadimenti (leggasi reiterate segnalazioni) rischia di rendere difficilmente determinabile ex ante il momento in cui i dati personali verranno cancellati, con conseguente incertezza per gli interessati e per gli operatori del settore. Di fatto, l'esperienza di questi anni ha palesato l'esistenza di prassi operative diversificate fra i vari Sic, a conferma dell'opportunità di un intervento chiarificatore del Garante.

La posizione del Garante

In ossequio ai principi generali stabiliti in materia di trattamento dei dati personali (articolo 11 del codice deontologico), appare congruo ritenere che il termine massimo di conservazione dei dati relativi a inadempimenti non successivamente regolarizzati (fermo restando il termine di riferimento di 36 mesi dalla scadenza contrattuale o dalla cessazione del rapporto), non possa comunque mai superare i cinque anni dalla data di scadenza del rapporto, quale risulta dal contratto di finanziamento.

Tale termine tiene conto dei tempi massimi di conservazione dei dati negativi fissati in relazione ad altre banche dati assimilabili a quelle in questione (ad esempio, archivio CAI, banca dati protesti). Ciò corrisponde alla necessità di non rendere aleatorio e indefinito il termine finale di conservazione dei dati. Nel senso di una determinazione meno discrezionale di tale termine, si pone anche la nuova disciplina in materia di protezione dei dati personali contenuta nel Regolamento UE 2016/679, la quale, in materia di informativa da fornire all'interessato, prevede che per garantire un trattamento corretto e trasparente, il titolare indichi, tra l'altro, il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo.

Informativa personalizzata

Nella fase di preventivo per la concessione del credito non va effettuata alcuna segnalazione in centrale rischi

Sappiamo che quando si richiede un finanziamento si finisce in centrale rischi ed i dati vengono conservati per il tempo necessario all'istruttoria e comunque fino a sei mesi dalla data in cui si richiede il prestito. Ebbene alcune banche e finanziarie iscrivono in centrale rischi anche chi richiede solo un preventivo, rendendogli così impossibile rivolgersi ad altri operatori del settore prima della scadenza dei sei mesi

Il codice deontologico prescrive che al momento della raccolta dei dati personali relativi a richieste/rapporti di credito, la banca, o la finanziaria, informa l'interessato anche con riguardo al trattamento dei dati personali effettuato nell'ambito di un sistema di informazioni creditizie e che tale informativa deve essere resa obbligatoriamente per iscritto secondo il modello allegato al codice deontologico.

L'informativa personalizzata è un modello di informativa, proposto e fornito dal finanziatore al cliente, prima che lo stesso sia vincolato da un contratto e recante tutte le informazioni necessarie per avere completa chiarezza delle condizioni economiche e delle caratteristiche principali del finanziamento.

Essa viene predisposta conformemente a quanto disposto dalla Banca d'Italia e prevede che la banca o la finanziaria, sulla base delle condizioni offerte forniscono al consumatore, prima che egli sia vincolato da un contratto o da un'offerta di credito, le informazioni necessarie per consentire il confronto delle diverse offerte di credito sul mercato, al fine di prendere una decisione informata e consapevole in merito alla conclusione di un contratto di credito.

La posizione del Garante

Tenuto conto che il codice deontologico si applica solo in presenza di una richiesta/rapporto di credito e non nella fase propedeutica alla formulazione di una richiesta di finanziamento, si ritiene che, nella predisposizione dell'informativa personalizzata, si debba tener conto esclusivamente delle informazioni eventualmente rese, direttamente e spontaneamente, dal consumatore senza possibilità, in questa fase, di accedere ai sistemi di informazioni creditizie.

13 Dicembre 2017 · Ornella De Bellis