Con provvedimento n. 199 del 17 maggio 2023, pubblicato il 22 giugno, il Garante per la Protezione dei Dati Personali (“Garante Privacy”) ha sanzionato per 40 mila euro la società “Volkswagen Leasing GmbH” per la violazione degli articoli 12 e 15 del Regolamento (UE) 2016/679 (“GDPR”).
Il rifiuto del finanziamento
Nel caso di specie, il cliente aveva inoltrato alla Società istanza di accesso ai propri dati personali, per conoscere le motivazioni che avevano condotto al rifiuto della richiesta di finanziamento. VW Leasing aveva risposto inviando una copia della documentazione già presentata dall’interessato, senza tuttavia fornire indicazioni sui dati e sulle modalità di trattamento per la valutazione di merito creditizio. In seguito ad una nuova richiesta da parte del cliente, il titolare del trattamento aveva suggerito allo stesso di rivolgersi direttamente alla società “CRIF S.p.A.”, che gestisce il Sistema di Informazioni Creditizie (“SIC”), cui aveva fatto riferimento VW Leasing per rifiutare la concessione del finanziamento. Era, infatti, emersa la posizione di inaffidabilità creditizia del cliente e, di conseguenza, una situazione patrimoniale non adeguata a garantire l’erogazione del prestito per il noleggio a lungo termine. La Società aveva, pertanto, ritenuto di aver così adempiuto agli obblighi previsti dagli articoli 12 (“Informazioni, comunicazioni e modalità trasparenti per l'esercizio dei diritti dell’interessato”) e 15 (“Diritto di accesso dell’interessato”) del GDPR. Nel riscontro, aveva, inoltre, specificato che non era intercorsa alcuna profilazione sulla clientela, e che l’unico processo decisionale automatizzato esistente si riferiva alle informazioni elaborate sulla base dell’accesso al SIC.
Cosa sono i SIC?
Per dovere di completezza, si precisa che i sistemi di informazioni creditizie sono banche dati private, consultate per verificare l’affidabilità creditizia degli individui e la loro puntualità nei pagamenti. Tali sistemi possono contenere informazioni di tipo negativo (ad esempio, insoluti, morosità) o positive (regolarità nei pagamenti). Si distinguono le figure dei “gestori” e dei “partecipanti”. I primi sono i soggetti, autonomi titolari del trattamento dei dati personali contenuti in un SIC, che gestiscono il sistema. Sono, invece, partecipanti coloro che possono accedere ai dati contenuti nel SIC ed utilizzarli. Sono ricompresi, tra gli altri, in questa categoria le banche, le società e gli intermediari finanziari, i soggetti che svolgono attività di factoring, gli istituti di pagamento e le società che si occupano di leasing, anche operativo, o che concedono il noleggio a lungo termine.
Le valutazioni del Garante
Il Garante Privacy, all’esito dell’istruttoria condotta in virtù del reclamo presentato dall’interessato per non aver ottenuto compiuto riscontro alla propria richiesta, ha ricordato che l’art. 15 del GDPR costituisce lo strumento fondamentale per esercitare il controllo sui propri dati personali e per conoscere quali informazioni siano state trattate. L’autorità ha ribadito che il titolare del trattamento non possa riscontrare le richieste descrivendo, in maniera generale, quali dati siano oggetto di trattamento, o facendo un semplice riferimento alle categorie di dati trattate. Non può nemmeno “omettere informazioni in suo possesso ove riferibili all’interessato”; al contrario è tenuto a fornire “l’accesso a tutti i dati personali afferenti all’interessato” effettivamente oggetto di trattamento. Nel caso di specie, la circostanza dell’acquisizione dei dati personali da un SIC richiede una particolare attenzione da parte del titolare nell’adozione di misure tecnico-organizzative finalizzate a gestire gli adempimenti previsti dal GDPR, tenuto conto della natura estremamente sensibile dei dati trattati e delle possibili conseguenze pregiudizievoli per l’individuo.
Non basta, quindi, limitarsi a dire che sono state effettuate delle valutazioni sul merito creditizio, con il mero invito a rivolgersi al gestore del SIC per ottenere ulteriori informazioni. Il titolare, anche in qualità di soggetto partecipante al SIC, ha l’obbligo di fornire, in conformità a quanto statuito dall’art. 15 del GDPR, le informazioni acquisite e trattate. Sul punto, il Garante ha ricordato che l’art. 9 del “Codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti”, approvato con delibera del 6 ottobre 2022 e pubblicato in Gazzetta Ufficiale n. 258 del 4 novembre 2022, prevede l’obbligo specifico per gestori e partecipanti al SIC di garantire un riscontro puntuale e tempestivo alle richieste di esercizio dei diritti dell’interessato.
La risposta fornita dalla Società appariva, dunque, insufficiente, mancando della comunicazione di alcune informazioni relative all’interessato (in particolare, quelle contenute nel report di Crif S.p.A. circa il merito creditizio), necessarie per verificare la correttezza e la liceità del trattamento posto in essere dal titolare; tutto ciò, nonostante tali indicazioni fossero in possesso della Società già al momento della presentazione della richiesta da parte dell’interessato e fossero state determinanti per il rifiuto del finanziamento.
Il Garante ha quindi sanzionato VW Leasing per la somma di 40 mila euro, appurando la violazione degli artt. 12 e 15 del Regolamento (UE) 2016/679, ma tenendo conto dell’avvenuto adempimento spontaneo da parte del titolare delle richieste avanzate dall’interessato, nel corso del procedimento.
Avv. Rossella Bucca e Dott. Lapo Lucani
