Il Garante Privacy, con provvedimento n. 340 e 341 del 6 giugno 2024 ha sanzionato un istituto di credito ed una società da quest’ultimo controllata, per il trattamento illecito di dati personali e reddituali di clienti, che richiedevano finanziamenti per il noleggio a lungo termine di autovetture, a mezzo dell’accesso non autorizzato alla banca dati centrale Scipafi.
La Banca aveva infatti effettuato l’accesso al database Scipafi (Sistema centralizzato di prevenzione delle frodi) – anche per conto di una società controllata, società di leasing auto – pur essendo consapevole di non avere la necessaria autorizzazione del Ministero dell’Economia e delle Finanze per effettuare tali accessi.
L’Autorità era intervenuta a seguito del reclamo di una cliente che lamentava il mancato riscontro, da parte della Banca, alla sua richiesta di conoscere le motivazioni alla base del diniego del noleggio a lungo termine di un’auto e dell’inserimento del proprio nominativo nella lista dei cattivi pagatori.
In risposta alla richiesta di informazioni dell’Autorità, la Banca affermava che il rifiuto del finanziamento e l’inserimento del nominativo nella c.d. “black list” erano dovuti all’esito negativo della verifica della situazione reddituale della cliente effettuata nel database Scipafi: nel corso dell’attività istruttoria, il Garante ha tuttavia accertato che la Banca, all’epoca dei fatti, in qualità di autonomo titolare del trattamento, era autorizzata ad accedere a SCIPAFI esclusivamente nell’ambito dello svolgimento della propria specifica attività (art. 30-ter, commi 7 e 7-bis, D. Lgs. 141/2010).
Nel caso di specie, invece, l’accesso era stato effettuato per valutare la posizione dell’interessata ai fini della stipula di un contratto di noleggio – che esula dalle attività proprie della Banca – con la Società controllata, che tuttavia costituiva un soggetto diverso dalla Banca, ancorché appartenente allo stesso gruppo.
Conseguentemente, secondo il Garante, la Banca ha agito in violazione dell’art. 28, par. 3 del RGPD, poiché ha effettuato un trattamento dei dati dell’interessata che non poteva effettuare in qualità di responsabile per conto della Società, non rientrando quest’ultima tra i soggetti che, all’epoca dei fatti, potevano accedere a SCIPAFI né direttamente, né tramite i soggetti aderenti al Sistema.
Inoltre, l’accesso era avvenuto senza che fosse stata prima acquisita la dichiarazione dei redditi del cliente, documento indispensabile per effettuare il confronto con le informazioni contenute in Scipafi: tale sistema consente infatti la verifica dell’autenticità dei dati contenuti nei documenti (di identità o reddituali) presentati dall’interessato ai fini della valutazione di una richiesta, e, pertanto, presuppone che l’aderente effettui un riscontro puntuale rispetto a uno specifico documento presentato per ottenere la prestazione richiesta; tale dovuto riscontro, tuttavia, non era stato effettuato dall’istituto di credito.
Il Garante ha sanzionato altresì la società controllata, sempre per il trattamento illecito di dati personali: neppure quest’ultima era infatti autorizzata dal Mef ad acquisire e trattare i dati dei clienti presenti in Scipafi, neppure attraverso la banca.
Peraltro, l’informativa resa ai clienti non consentiva, all’epoca dei fatti, di individuare tipologia e origine dei dati trattati, i database consultati per verificare le posizioni reddituali dei clienti e se gli accessi ai database fossero effettuati direttamente dalla controllata o dall’istituto di credito.
Le violazioni delle disposizioni sopra richiamate hanno quindi comportato anche in questo caso l’applicazione della sanzione amministrativa prevista dall’art. 83, par. 4, lett. a); par. 5, lett. a) del RGPD.
