La privacy nella compravendita immobiliare
IL SISTEMA DI RILEVAZIONE DEL RISCHIO CREDITIZIO IN ITALIA
E’ noto a tutti che le banche e le società finanziarie, per concedere ad un potenziale cliente un prestito personale o un mutuo per l’acquisto di un immobile, sono solite attingere notizie sull’interessato presso particolari archivi o banche di dati – comunemente definiti “centrali rischi” – che gestiscono sistemi informativi contenenti dati sui rapporti di finanziamento già conclusi o ancora in corso. Si tratta di una prassi oramai talmente consolidata da aver preso piede, oltre che nel settore del finanziamento immobiliare, anche in quello del c.d. credito al consumo.
Nel nostro ordinamento esiste da molti anni un’importante “centrale rischi” pubblica, costituita dal servizio di centralizzazione dei rischi gestito dalla Banca d’Italia, concernente i finanziamenti di importo superiore ai 75.000 euro o comunque i crediti “in sofferenza” (D. Lgs. 1 settembre 1993, n. 385). Inoltre, dal 1999 è stata introdotta un’ulteriore disciplina per la rilevazione dei rischi di importo contenuto (e cioè di quelli di entità inferiore ai 75.000 euro, ma di importo superiore ai 30.000 euro, fissato per le operazioni di credito), con la quale è stato previsto un sistema centralizzato gestito da una società, sottoposto alla vigilanza della Banca d’Italia e disciplinato, nel dettaglio, da istruzioni impartite dalla Banca stessa, che impongono agli istituti di credito, alle società ed agli intermediatori finanziari l’obbligo di comunicare i dati relativi alle esposizioni creditizie dei propri clienti.
In queste ipotesi, sussistendo un obbligo legale di comunicazione dei dati alle “centrali rischi”, le banche non sono tenute ad acquisire alcun consenso presso l’interessato.
Al contrario, nel sistema giuridico italiano era sempre mancata una regolamentazione dell’attività svolta dalle “centrali rischi” private, la quale era regolata soltanto dalle prassi di settore e dalle norme contrattuali predisposte dai singoli operatori.
In proposito, occorre rammentare che il sistema privato di rilevazione del rischio creditizio è organizzato nel senso che le finanziarie e le banche, cui pervengono le richieste di finanziamento, in base a regolamenti consortili e ad accordi associativi si obbligano – sia tra loro, che con i soggetti che gestiscono le “centrali rischi” – a comunicare sistematicamente le informazioni sui richiedenti.
Circa la tipologia dei dati raccolti, vi sono alcuni sistemi informativi che danno luogo esclusivamente a banche dati negative (o c.d. “liste nere”), in quanto registrano soltanto dati relativi a morosità o ad altre situazioni considerate meritevoli di essere annotate, quali l’esistenza di sofferenze, la proposizione di azioni legali, l’instaurazione di procedure concorsuali o l’avvenuta cessione di crediti a terzi; nella maggior parte dei casi, però, vengono preferiti dei sistemi misti (cioè di tipo positivo/negativo), i quali raccolgono informazioni sul rapporto di finanziamento sin dalla presentazione della richiesta ed a prescindere dalla sussistenza di pregressi inadempimenti, allo scopo di consentire agli operatori una completa valutazione del rischio dell’operazione, attraverso l’osservazione delle vicende personali del richiedente e dei comportamenti da costui osservati nei precedenti rapporti di finanziamento.
E’ ovvio che l’acquisizione e lo scambio di informazioni circa ritardati o mancati pagamenti, anche ove effettuati attraverso sistemi d’informazione gestiti da soggetti privati, sono estremamente utili sia per una corretta valutazione, da parte delle banche o delle società finanziarie, del c.d. merito creditizio e, comunque, dell’effettiva situazione finanziaria e patrimoniale degli aspiranti al credito, sia per contenere eccessivi indebitamenti o insostenibili sovraesposizioni degli interessati, sia per evitare possibili raggiri.
Però tali trattamenti di dati personali possono anche provocare alcuni rischi per i diritti e le libertà fondamentali dei singoli interessati, essendo in grado di incidere negativamente sull’iniziativa privata e sulle possibilità di accedere all’acquisto di beni e servizi, nonché, sul piano della dignità e della reputazione, sulle relazioni sociali e professionali dei richiedenti.
LA DISCIPLINA SPECIFICAMENTE DETTATA DAL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Con l’entrata in vigore della legge n. 675/1996, il Garante per la protezione dei dati personali è stato più volte sollecitato ad intervenire in materia a causa dell’avvenuta violazione di alcuni fondamentali principi in tema di privacy. Pertanto, con un provvedimento di carattere generale del 31 luglio 2002, il Garante, in vista della futura adozione di un codice deontologico in materia, ha prescritto alcune indicazioni alle “centrali rischi” private, alle banche ed alle società finanziarie, per conformare alla legge i trattamenti connessi ai sistemi informativi di rilevazione dei rischi creditizi.
Nell’ambito di tali prescrizioni, le più importanti hanno riguardato l’informativa agli interessati ed il periodo di conservazione dei dati all’interno delle “centrali rischi”.
Circa il primo profilo, l’Authority, nel giudicare inadeguati i moduli di finanziamento normalmente sottoposti agli interessati da parte delle banche e delle società finanziarie, ha sottolineato la necessità di informare esaustivamente i richiedenti – prima del momento in cui i dati vengano da essi conferiti o che venga avviata una richiesta preliminare di notizie a terzi – delle conseguenze che derivano dall’instaurazione di un rapporto di finanziamento e delle modalità di raccolta, registrazione e circolazione delle informazioni acquisite; in particolare, è stato sottolineato che la parte dell’informativa, riguardante la comunicazione dei dati alle “centrali rischi” private, deve recare l’indicazione precisa degli estremi identificativi delle centrali cui i dati vengono rimessi e una sintesi delle principali caratteristiche del futuro trattamento dei dati (ciò anche al fine di agevolare l’interessato per l’eventuale esercizio dei propri diritti).
Per quanto concerne, invece, i tempi di conservazione, il Garante ha affermato che i dati relativi alle richieste di finanziamento possono essere conservati al massimo per 6 mesi, trattandosi di un lasso temporale sufficiente per completare la relativa istruttoria; nel caso in cui detta richiesta non venga accolta o sia oggetto di rinuncia da parte del cliente interessato, le informazioni debbono essere cancellate nell’arco di un mese.
Invece, nell’ipotesi in cui il rapporto di finanziamento venga instaurato, l’eventuale ritardo nel pagamento dei ratei dev’essere segnalato o registrato nella centrale rischi solo dopo alcuni mesi o nel caso di mancato pagamento di più rate, soprattutto allorché si tratti di morosità di modeste entità. Tale affermazione è stata dettata dalla necessità di evitare che nella banca dati risultino immediatamente visibili mancati pagamenti causati da anomalie o disguidi bancari o postali, non sempre imputabili agli interessati, ai quali le banche e le società finanziarie, prima di procedere alla segnalazione alla centrale rischi, sono comunque tenute a fornire uno specifico preavviso (da rendersi anche in occasione del sollecito di pagamento).
Allorché le morosità vengano completamente sanate, i relativi dati debbono essere cancellati entro un anno dalla data della regolarizzazione o, comunque, della data d’estinzione – anche anticipata – del rapporto di finanziamento.
Soltanto i dati afferenti a ritardi non regolarizzati o a più gravi situazioni di mancato rimborso del finanziamento possono essere conservati per un periodo di tempo superiore e, comunque, per tutta la durata del rapporto, sino ad un massimo di tre anni dalla data in cui è risultato effettivamente necessario aggiornare la posizione del finanziamento (per esempio ove il credito sia stato recuperato o sia stato chiuso un eventuale contenzioso tra la finanziaria ed il cliente).
In caso di errori nella registrazione dei dati in una centrale rischi, di segnalazioni ingiustificate da parte delle banche e delle società finanziarie o di conservazione di dati relativi a richieste o a rapporti di finanziamento per periodi eccedenti, è comunque fatto salvo il diritto dell’interessato di rivolgersi direttamente alla “centrale rischi” per ottenere la conferma dell’esistenza di informazioni che lo riguardano all’interno della banca dati, nonché, a seconda dei casi, la loro correzione, l’integrazione o la cancellazione di quelli di cui non sia più necessaria la conservazione; in caso di omissione o di rifiuto, ovvero nel caso in cui non venga consentito l’utile esperimento di uno dei diritti indicati dall’art. 7 del Codice sulla protezione dei dati (D. Lgs. n. 196/2003), l’interessato può adire alternativamente il Garante o l’Autorità giudiziaria ordinaria per il soddisfacimento delle proprie ragioni.
LE PRINCIPALI NOVITÀ INTRODOTTE DAL CODICE DEONTOLOGICO
Da poco si sono conclusi i lavori per la redazione del Codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti, cui hanno attivamente partecipato, con la supervisione del Garante, gli organismi rappresentativi degli operatori di settore.
Tale strumento, adottato al termine di un’istruttoria durata due anni, costituisce un esempio di normazione autoprodotta dalle categorie interessate e detta una serie di regole di comportamento che costituiscono condizione essenziale per la liceità e la correttezza dei trattamenti in questione.
Lo schema del testo preliminare del codice è stato pubblicato sul sito del Garante e sottoposto a consultazione pubblica, al fine di raccogliere osservazioni da parte dei soggetti interessati; inoltre, è stato sottoposto anche al parere delle associazioni dei consumatori riunite nel Consiglio nazionale dei consumatori ed Utenti-CNCU presso il Ministero delle attività produttive.
Il codice entra in vigore dal 1° gennaio 2005 ed è collegato ad alcuni provvedimenti di accompagnamento o di attuazione adottati dal Garante; pur non essendo stato ancora reso pubblico il testo definitivo dalla lettura dello schema preliminare è possibile ricavare (pur senza pretesa di esaustività) le principali novità rispetto alla disciplina contenuta nel provvedimento generale del 31 luglio 2002, i cui principi di fondo, comunque, sono stati sostanzialmente riconfermati.
In primis viene chiarito che le norme in questione non troveranno applicazione per i sistemi informativi di cui sono titolari i soggetti pubblici e, in particolare, il servizio gestito dalla Banca d’Italia. Invece, per quanto concerne il sistema centralizzato di rilevazione dei rischi di importo contenuto, troveranno applicazione solo alcuni principi in tema di informativa agli interessati e di esercizio dei diritti, in quanto compatibili con la specifica disciplina di riferimento.
In secondo luogo, muta il nome dei soggetti che gestiscono gli archivi: infatti, non si chiameranno più “centrali rischi” private, bensì Sistemi di informazioni creditizie, il cui funzionamento sarà improntato ad effettivi criteri di trasparenza e di efficienza per fornire ai legittimati informazioni utili; inoltre, sul piano oggettivo, sarà consentito solo il trattamento dei dati strettamente pertinenti alle finalità perseguite nell’attività di finanziamento, con esclusione dei dati sensibili e di quelli giudiziari.
Analogamente, per “gestore” dovrà intendersi il soggetto privato titolare del trattamento dei dati registrati nel sistema informativo e che gestisce tale sistema, stabilendone le modalità di funzionamento e di utilizzazione, mentre per “partecipante” dovrà intendersi il soggetto privato (normalmente una banca o un intermediario finanziario) titolare del trattamento dei dati raccolti in relazione a richieste e a rapporti di credito che, in virtù di contratto o accordo con il gestore, partecipa al relativo sistema informativo, utilizzando i dati ivi presenti e comunicando al gestore i dati raccolti.
Circa l’aspetto fondamentale dei tempi di conservazione dei dati, essi saranno cadenzati diversamente, con una particolare attenzione, per i dati negativi, all’effettiva importanza delle concrete ipotesi di inadempimento. Comunque, anche per i dati di tipo positivo (che, come già detto, vanno per lo più a costituire il c.d. merito creditizio dell’aspirante) verranno fissati tempi massimi di conservazione, sulla cui effettiva durata potrà incidere in alcuni casi anche la complessiva esposizione del debitore.
Per quanto concerne l’informativa, essa dovrà essere fornita per iscritto dal “partecipante” e dovrà recare, tra l’altro, una chiara e precisa descrizione delle finalità e modalità del trattamento. Ad integrazione di detta informativa, il gestore fornirà un’ulteriore informazione più dettagliata, anche attraverso l’impiego di mezzi telematici.
E’ altresì importante sapere che, qualora una richiesta di credito non venga accolta, la banca o la società finanziaria dovrà comunicare al richiedente se, per istruire la relativa pratica, abbia consultato dati personali di tipo negativo in uno o più sistemi di rilevazione, indicando gli estremi identificativi del sistema da cui sono state rilevate le informazioni e del relativo gestore.
Inoltre, con espresso riferimento all’annoso problema del consenso al trattamento dei dati, il codice deontologico ne ribadisce la necessità e la libera revocabilità in relazione ai soli dati positivi. Pertanto, in caso di revoca da parte dell’interessato, “il partecipante” ne darà notizia al gestore del sistema informativo, che provvederà ad eliminare i dati entro il termine previsto dallo stesso codice.
Al contrario, per quanto concerne i dati negativi, il Garante, contestualmente all’entrata in vigore del codice, adotterà uno specifico provvedimento per realizzare un equo bilanciamento tra le contrapposte esigenze dei gestori dei sistemi di informazione creditizia e degli operatori di settore e quelle degli interessati. Da alcune indiscrezioni sembra che le banche, le società finanziarie ed i gestori dei sistemi verranno esonerati dall’acquisizione del consenso per il trattamento dei dati in questione, con la conseguente irrilevanza, in relazione alle iscrizioni nelle c.d. “liste nere”, delle revoche intervenute nel corso del rapporto di finanziamento o anche successivamente alla sua conclusione, almeno sino alla scadenza dei rigorosi limiti temporali fissati dal codice stesso.
Per quanto concerne, poi, la possibilità di consultazione degli archivi elettronici, l’accesso, consentito solo per finalità correlate alla tutela del credito ed alla valutazione dell’affidabilità e della situazione finanziaria dell’interessato, sarà limitato soltanto ai responsabili ed agli incaricati del trattamento designati per iscritto, con esclusione, quindi, di ogni altro soggetto. Analogamente, sarà regolato analiticamente anche l’accesso degli interessati ai dati registrati, con possibilità, per coloro che si troveranno iscritti nelle c.d. “liste nere”, di far annotare, accanto al dato negativo del proprio inadempimento, le eventuali contestazioni sollevate in relazione al rapporto sostanziale e che hanno determinato l’interruzione dei pagamenti (ad es., allorché colui che sia stato finanziato abbia eccepito l’esistenza di un vizio del bene acquistato o l’inadeguatezza del servizio ottenuto).
Infine, circa i dati provenienti da pubblici registri o da archivi conoscibili da chiunque, essi, stante la loro libera accessibilità, dovranno essere conservati in archivi separati, senza possibilità di interconnessioni con il sistema principale di archiviazione delle informazioni.