1. LA CENTRALE RISCHI

Nella fase istruttoria delle operazioni di finanziamento (dall’erogazione di mutui a quelle di credito al consumo), gli istituti di credito svolgono una serie di controlli sul soggetto richiedente. Il merito della decisione dipende oltre che da ragioni di politica commerciale della banca e dalle informazioni “interne” in loro possesso sul richiedente, anche e soprattutto dall’esito dell’interrogazione che l’ente rivolge alle cd. centrali rischi circa l’affidabilità e la solvibilità del cliente.

Queste banche dati, specializzate nella realizzazione e gestione di referenziazione del credito, sono la Centrale dei Rischi istituita dal CICR presso la Banca d’Italia e la CRIF (Centrale Rischi Finanziari), quest’ultima arrivata a registrare ben 50 milioni di posizioni grazie al periodico e sistematico flusso di informazioni che le banche aderenti al sistema forniscono sui soggetti con i quali intrattengono rapporti di finanziamento.

Il quadro normativo
Nonostante il dato quantitativo appena indicato non esiste ancora nel nostro ordinamento una normativa speciale che regolamenti lo svolgimento dell’attività delle banche dati private, in particolare le condizioni minime per la raccolta, la conservazione e l’uso delle informazioni ivi presenti. L’unica normativa esistente è quella della Centrale dei Rischi della Banca d’Italia (vedi Nota a fine pagina).


2. LA TUTELA DEL CONSUMATORE

In assenza di una normativa specifica il rispetto (formale) della legge sulla privacy 675/96 da parte della banche è insufficiente a poter garantire un’efficace tutela del consumatore. Non basta, infatti, che nella modulistica contrattuale siano indicati, tra le altre, la clausola informativa o i diritti ex art. 13, quando poi nel caso concreto capita ripetutamente che un cliente nel richiedere un finanziamento non superi l’esame CRIF perché in passato abbia ritardato (anche per colpa non sua) il pagamento di una sola rata di importo non rilevante.


3. LE REGOLE DEL GARANTE

Il Garante per la protezione dei dati personali ha cercato di ovviare a questa mancanza di una tutela sostanziale elaborando una decisione (Diritto di accesso - Prescrizioni di carattere generale per le 'centrali rischi' private - 31 luglio 2002) indirizzata alle centrali rischi e agli istituti finanziari che aderiscono al circuito.
Si tratta di un provvedimento che dovrà essere adottato dai soggetti interessati entro il 15 dicembre e che introduce importanti novità sulle modalità concrete di trattamento dei dati raccolti dalle banche dati.

L’informativa
In ossequio al principio di correttezza del trattamento (art. 9, comma 1, lett. a), legge 675/96) l’informativa che la banca rende al cliente deve indicare con precisione gli estremi identificativi delle centrali dei rischi destinatarie dei dati raccolti anche al fine di agevolare l’esercizio dei diritti ex art. 13.

La raccolta dei dati
In ossequio al principio di pertinenza (art. 9, comma 1, lett. c) legge 675/96) le informazioni che si richiedono ai clienti devono essere finalizzate alla concessione (o meno) del finanziamento. Invece, accade spesso nella pratica che gli operatori raccolgano dati che ben poco hanno a che fare rispetto allo scopo. De relato il principio di finalità viene violato tutte le volte che i trattamenti avvengono per scopi ultronei (in primis attività di marketing).

La qualità dei dati
Con le attuali modalità di gestione dei sistemi privati di rilevazione dei rischi creditizi le informazioni relative a brevi ritardi nel rimborso di rate hanno lo stesso rating di informazioni relative a gravi e reiterati inadempimenti. Entrambe, infatti, determinano un no al finanziamento richiesto, pur essendo la prima notizia inadeguata ad incidere sull’affidabilità e sulla solvibilità della clientela.
Questo sistema così pregiudizievole per il consumatore non consente di distinguere adeguatamente gli eventi da ritenere fisiologici in un rapporto destinato a svolgersi nel tempo, da situazioni più critiche relative a inadempimenti più gravi o, addirittura, a veri e propri artifizi nel ricorso del credito.
Per questi motivi il Garante ha affermato nel provvedimento che le segnalazioni di morosità alle centrali rischi devono essere effettuate solo in caso di mancato pagamento di somme consistenti, di più rate o di gravi ritardi. Le banche, in ogni caso, prima di effettuare la segnalazione devono dare un preavviso agli interessati affinché possano eventualmente intervenire.

La conservazione dei dati
È contrario al principio di proporzionalità e congruità (art. 9, comma 1 lett. d) legge 675/96) che le posizioni relative a ritardati pagamenti, poi completamente sanati, rimangano registrati per 5 anni. Va quindi garantita un piena tutela al cd. diritto all’oblio degli interessati, in considerazione anche delle esperienze applicative della centrali rischi della Banca d’Italia (che attualmente conserva questi tipi di dati per dodici mesi).

---

Nota: La c.d. "centrale rischi" pubblica, per i finanziamenti di importo superiore ai 75.000 euro o comunque crediti in "sofferenza": artt. 13, 53, comma 1, lett. b), 60, comma 1, 64, 67, comma 1, lett. b), 106, 107, 144 e 145 del d.lg. 1 settembre 1993, n. 385 - Testo unico delle leggi in materia bancaria e creditizia -, delibera Cicr del 29 marzo 1994, provvedimento Banca d’Italia 10 agosto 1995, circolare della stessa Banca 11 febbraio 1991, n. 139 e successivi aggiornamenti
Nel 1999 è stata altresì introdotta una disciplina per la rilevazione dei rischi di importo contenuto (affidamenti di importo inferiore a quello censito nella centrale rischi gestita dalla Banca d’Italia - 75.000 euro - e superiore a quello previsto per le operazioni di credito al consumo - 30.000 euro -: v. la deliberazione Cicr del 3 maggio 1999), con la quale è stato previsto un sistema centralizzato gestito da una società, sottoposto alla vigilanza della Banca d’Italia e disciplinato, nel dettaglio, da istruzioni della medesima Banca (pubblicate in G.U. - serie generale n. 272 del 21 novembre 2000), che prevedono in capo alle banche, società ed intermediari finanziari (individuati in base agli artt. 106 e 107, d.lg. n. 385/1993) l’obbligo di comunicare dati relativi alle esposizioni creditizie dei clienti