Alla luce delle numerose istanze (reclami, richieste di parere e ricorsi) pervenute nel tempo, l’Autorità per la protezione dei dati personali ha inteso fornire, con il recente provvedimento interpretativo 438/2017 del 26 ottobre, chiarimenti e indicazioni di carattere generale su talune disposizioni particolarmente controverse del codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti, che hanno generato dubbi interpretativi, incertezze e difficoltà applicative sia per gli operatori del credito, sia per i debitori.

In particolare, la disposizione stabilisce che le informazioni relative a inadempimenti non successivamente regolarizzati possono essere conservate nei Sic (Sistemi di Informazioni creditizie) non oltre trentasei mesi dalla data di scadenza contrattuale del rapporto oppure, in caso di altre vicende rilevanti in relazione al pagamento, dalla data in cui è risultato necessario il loro ultimo aggiornamento, o comunque dalla data di cessazione del rapporto.

Tuttavia, in ossequio ai principi generali stabiliti in materia di trattamento dei dati personali (articolo 11 del codice deontologico), il provvedimento ritiene congruo che il termine massimo di conservazione dei dati relativi a inadempimenti non successivamente regolarizzati non possa comunque mai superare i cinque anni dalla data di scadenza del rapporto, quale risulta dal contratto di finanziamento.

Tale termine tiene conto dei tempi massimi di conservazione dei dati negativi fissati in relazione ad altre banche dati assimilabili a quelle in questione (ad esempio, archivio CAI, banca dati protesti). Ciò corrisponde alla necessità di non rendere aleatorio e indefinito il termine finale di conservazione dei dati.