Articoli

Nuovo codice di condotta per i sistemi di informazione creditizia

Avv. Vincenzo Colarocco

Al fine di garantire la compliance con il Regolamento UE 679/2016 (“GDPR”) ed il riformato Codice Privacy, l’Autorità Garante per la protezione dei dati personali ha di recente approvato, con provvedimento del 12 settembre 2019, il nuovo codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti (cosiddetti “SIC”).

I SIC costituiscono delle banche dati in cui sono contenuti una pluralità di dati personali riferibili a soggetti richiedenti, ad esempio, la concessione di un credito, la dilazione di un pagamento, un finanziamento o altra analoga facilitazione finanziaria. Detti dati saranno trattati per perseguire finalità quali la valutazione di un rischio di credito, la valutazione dell’affidabilità e della puntualità nei pagamenti dell’interessato, la prevenzione del rischio di frodi e furti di identità.

Il Garante ha, quindi, dettato una serie di prescrizioni ed accortezze – che troveranno applicazione sia da parte dei “gestori” dei SIC che dai soggetti abilitati alla relativa consultazione – da porre in essere in relazione al trattamento delle suesposte categorie di dati personali. In particolare, si prevede che:

–          dovranno essere attuate misure idonee a garantire la correttezza, l’aggiornamento periodico e l’esattezza dei dati;

–          non potranno costituire oggetto di trattamento le categorie particolari di dati personali di cui all’art. 9 del GDPR;

–          il SIC risulterà accessibile solo ad un numero limitato di soggetti espressamente istruiti in tale senso;

–          quando la richiesta di credito formulata da un interessato non è accolta, verrà a questi comunicato se è stato previamente consultato un SIC e, in tal caso, gli saranno altresì indicati gli estremi identificativi del SIC di specie.

Il Garante ha inoltre espressamente sottolineato come i dati censiti nelle descritte banche dati potranno essere trattati senza il consenso degli interessati, riconducendo la base giuridica del trattamento nel legittimo interesse perseguito dai titolari in relazione alle suelencate finalità (ai sensi dell’art. 6, comma 1, lett. f del GDPR); tale circostanza dovrà trovare spazio all’interno dell’informativa da fornire agli interessati. Informativa che, come sottolineato dalla medesima Autorità, assume un’importanza decisiva intenzione ulteriormente confermata dall’aver allegato un modello di informativa privacy al Codice di Condotta (cfr. Allegato 3 del provvedimento del 12 settembre 2019).

In conclusione, risulta opportuno accennare all’organismo di monitoraggio che vigilerà sull’operato dei SIC (ancora in fase di accreditamento), che sarà in particolare chiamato a verificare il rispetto delle prescrizioni di cui al codice di condotta in esame e alla normativa vigente per quanto attiene alle operazioni di trattamento di dati personali poste in essere all’interno delle banche dati.

Il Caso Cambridge Analitica e L’ Ordinanza di Ingiunzione del Garante : Multa da 1 Milione di Euro per Facebook

Avv. Vincenzo  Colarocco

Il marzo scorso, nell’ambito del caso “Cambridge Analytica – società che attraverso un’applicazione per test psicologici aveva avuto accesso ai dati di 87 milioni di utenti e li aveva usati per tentare di influenzare le presidenziali americane del 2016 -, il Garante per la protezione dei dati personali aveva contestato a Facebook una serie di violazioni afferenti la disciplina sul trattamento dei dati, precisamente la mancata adozione di una informativa, la mancata acquisizione del consenso e il  mancato idoneo riscontro ad una richiesta di informazioni ed esibizione di documenti.

In tale circostanza Facebook manifestò la volontà di avvalersi della possibilità di estinguere il procedimento sanzionatorio mediante il pagamento in misura ridotta di una somma pari a 52.000 euro.

Tuttavia, le violazioni su informativa e consenso erano state commesse in riferimento ad una banca dati di particolare rilevanza e dimensioni, caso per il quale non si ammette la possibilità di concedere una tale riduzione della misura del pagamento.

Su tali premesse, con provvedimento n. 134 del 14 giugno 2019, il Garante ha disposto per Facebook un’ulteriore sanzione per gli illeciti compiuti.

Nel caso di specie, preso in esame dall’Autorità, è stato considerato che:

  1. in ordine all’aspetto della gravità, con riferimento agli elementi dell’entità del pregiudizio o del pericolo e dell’intensità dell’elemento psicologico, le violazioni risultano di particolare gravità avuto riguardo al meccanismo in base al quale il semplice accesso di 57 utenti all’applicazione “Thisisyourdigitallife” ha determinato la condivisione di dati personali di ben 214.077 utenti;
  2. circa la personalità degli autori della violazione, deve essere considerata la circostanza che le Società non risultano gravate da precedenti procedimenti sanzionatori definiti in via breve o a seguito di ordinanza ingiunzione;
  • in merito alle condizioni economiche delle società, è stato preso in considerazione il bilancio d’esercizio per l’anno 2017 di Facebook Italy e le informazioni sul fatturato complessivo e sul patrimonio netto di Facebook Ireland.

Alla luce di siffatte valutazioni, il Garante per la protezione dei dati personali ha deciso di quantificare la sanzione in 1 milione di euro, assurgendo a criteri di quantificazione della misura sanzionatoria l’imponenza del database, oltre che le condizioni economiche di Facebook e il numero di utenti mondiali e italiani della società.