Come funziona la tutela dei dati personali nell’attività di credit reporting da parte della Centrale dei Rischi della Banca d’Italia
Il credit reporting è un insieme di informazioni relative alla posizione di rischio e di solvibilità da parte di un soggetto debitore. I dati vengono raccolti, immagazzinati ed elaborati allo scopo di accrescere i livelli di stabilità, concorrenza ed efficienza del sistema del credito. In Italia esiste un organo istituzionale finalizzato alla raccolta delle suddette informazioni da parte degli intermediari (banche e/o finanziarie). Questo organismo è la Centrale dei Rischi, istituito con delibera del CICR del 16 maggio 1962 e gestito direttamente dalla Banca d’Italia.
Ogni mese, gli intermediari sono tenuti a comunicare alla Centrale le informazioni relative ai rapporti di credito e/o di garanzia dei propri clienti (flusso informativo di andata). La Banca d’Italia elabora questi dati e restituisce agli intermediari la posizione di rischio dei debitori (flusso informativo di ritorno). Questo sistema, da un lato, serve agli intermediaria una più efficiente allocazione delle risorse e a una maggiore qualità del portafoglio clienti, dall’altro, consente ai clienti degli stessi un accesso al credito più efficiente e agevole.
Dal novembre 2017, lo scambio di informazioni avviene mediante l’utilizzo di Internet. In questo senso, il flusso informativo di andata tra intermediari e Centrale dei Rischi rappresenta una comunicazione di dati personali da un soggetto privato a un soggetto pubblico, esposto alle regolamentazioni sulla privacy. In materia, l’Autorità nel 2001 si era espressa ritenendo che “la comunicazione dei dati personali relativi all’indebitamento della clientela effettuata dagli intermediari finanziari alla Centrale dei rischi della Banca d’Italia, in quanto dovuta per legge, non è sottoposta all’obbligo della preventiva acquisizione del consenso dei singoli interessati, cui è quindi preclusa la possibilità di ottenere la cancellazione dei dati in mancanza di un accertamento dell’illiceità, anche per altri profili, del trattamento”. La situazione non è mutata con l’entrata in vigore del Codice privacy, che ha disposto che “il trattamento di dati personali da parte di soggetti pubblici sia consentito solo per lo svolgimento delle funzioni istituzionali”, che nel caso della tutela del rischio creditizio è appannaggio della Banca d’Italia e risulta espressamente prevista all’art. 53 del TUB. In ogni caso, gli intermediari possono consultare gli archivi della Centrale dei Rischi della Banca d’Italia solo per il periodo relativo agli ultimi 36 mesi, con evidenti benefici per gli interessati.
In merito alla trasmissione dei dati dall’intermediario alla Centrale dei Rischi, parte della dottrina ha indicato come in realtà l’attività di raccolta e trasmissione di informazioni alle banche dati da parte degli intermediari, ricadendo all’interno del rapporto banca-cliente, resti assoggettata ai principi che ne disciplinano lo svolgimento. Inoltre, fin dal 2005 esiste un codice di deontologia e buona condotta, emanato con provvedimento del Garante della privacy, per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti, il quale rimarrà in vigore finché non saranno terminate le procedure di adeguamento al GDPR previste dal d.lgs. 101/2018.