Gli operatori del credito sono tenuti a trattare i dati personali dei clienti in linea coi dettami della normativa sulla privacy. Ma quali sono gli obblighi e le criticità del GDPR per chi lavora nel settore?

Alla luce del rapido sviluppo digitale e delle indicazioni in materia di trattamento dei dati raccolti, ci siamo chiesti come la normativa sulla privacy impattasse su chi opera nella filiera del credito. Su questo tema abbiamo interpellato Piero Provenzano, direttore operativo di RP Advisor, società di consulenza in materia di Privacy e Security.

Pietro, i dati sono diventati una preziosissima merce di scambio, soprattutto dopo la velocissima digitalizzazione degli ultimi anni, le aziende però sono obbligate alla tutela dei dati personali. Quali novità sono state introdotte dal nuovo regolamento GDPR e come queste novità possono impattare sul settore del credito? 

La realizzazione e l’utilizzo di nuove tecnologie digitali ha, come fine primario, quello di semplificare la vita quotidiana delle persone, riducendo sempre di più l’intervento umano nell’utilizzo delle stesse.

Il funzionamento delle nuove tecnologie sarà sicuramente più performante se alimentate da un maggior numero di informazioni riguardanti l’utilizzatore, offrendogli così un servizio sempre più personalizzato e funzionale alle proprie necessità.

Per le aziende che prestano questa tipologia di servizi, i dati personali sono diventati materia prima da acquistare, innescando così un vero e proprio mercato delle informazioni, fondamentale per le strategie ed il business aziendale.

La reale finalità degli ultimi interventi normativi, in materia di protezione dei dati personali, è quella di “contenere” il crescente indiscriminato ricorso all’utilizzo dei dati personali, a svantaggio dei diritti inviolabili dell’uomo, riconosciuti dalla nostra costituzione.

Il GDPR, pur non stravolgendo i principi generali già previsti dalla precedente normativa nazionale (D. Lgs. 196/2003), ha introdotto alcuni strumenti che hanno meglio definito la figura centrale del Titolare del Trattamento, lasciando a quest’ultimo la libertà di organizzare il trattamento, con l’eventuale onere di dover dimostrare di aver agito secondo correttezza (principio di Accountability).

In particolare, per ciò che attiene alle società di gestione del credito, che fortemente ricorrono a strumenti elettronici con processi decisionali automatizzati, le novità della “Privacy by Design e by Default” e la figura di un nuovo soggetto all’interno dell’organizzazione aziendale, il Data Protection Officer (DPO), hanno avuto un forte impatto.

La figura del DPO, che tra le sue funzioni primarie vi è quella di garante della protezione dei dati e della corretta applicazione del GDPR da parte del Titolare, viene citata nelle FAC del Garante Privacy quando riporta alcuni esempi di aziende private che necessariamente devono nominare questa figura, indicando, tra le atre: istituti di credito; sistemi di informazione creditizia; società di informazioni commerciali; società di recupero crediti.

La Privacy by Design e by Default impone che, in caso di ricorso a nuove tecnologie o nuovi processi che utilizzano dati personali, già in fase di progettazione vengano applicate le indicazioni che il GDPR prevede a tutela della protezione dei dati, minimizzando, inoltre, il loro utilizzo conformemente ai principi di necessità, proporzionalità e non eccedenza.

In questo delicato processo dovrà essere coinvolto il DPO.

Nel credito la raccolta e l’elaborazione dei dati è fondamentale. Quali sono le difficoltà che le aziende del settore creditizio potrebbero incontrare nell’adeguarsi alla normativa? 

Nella fase propedeutica alla concessione di crediti il trattamento dei dati personali dovrà essere limitato alla valutazione del rischio del credito, quindi il trattamento andrà contenuto alle sole informazioni che possano determinare la solvibilità del richiedente credito, sia esso persona fisica che giuridica.

Negli ultimi anni sono stati predisposti alcuni codici di condotta (art. 40 GDPR) che regolamentano ed armonizzano specifici trattamenti che coinvolgono le aziende di credito: il codice di condotta per il trattamento dati personali in materia di informazioni commerciali; il codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di credito al consumo, affidabilità e puntualità nei pagamenti.

L’emanazione dei citati codici è la dimostrazione che il settore creditizio ha un forte impatto sul trattamento dei dati personali e ne necessita di specifiche attenzioni, che evitino una sperequazione tra gli opposti interessi delle parti.

La difficoltà nella fase di raccolta ed elaborazione dei dati per la concessione di un credito, è quella di acquisire il maggior numero di informazioni rispettando i principi di pertinenza e non eccedenza (minimizzazione), trovando il sottile confine tra una legittimazione di interesse a tutela del credito e l’errore di trattare informazioni o soggetti, benché apparentemente collegati, non pertinenti allo scopo.

Altro aspetto di importante attenzione nella raccolta dei dati personali è l’obbligo di informare del trattamento gli interessati (informativa artt. 13 e 14 GDPR), nel rispetto di uno dei capisaldi su cui fonda la normativa, il principio di Trasparenza.

I codici di Condotta già citati ne semplificano l’adempimento, in virtù di oggettive difficoltà di applicazione in presenza di grandi numeri di interessati.

Quali sono i limiti dell’acquisizione delle informazioni finalizzata al recupero del credito e come la privacy del debitore può essere tutelata al pari del diritto di recuperare il credito di chi lo vanta? 

La fase di recupero del credito, sposta necessariamente la finalità del trattamento e la base giuridica che lo legittima.

In questo caso il trattamento potrà essere svolto in assenza di espressione volontaria di consenso da parte degli interessati coinvolti, e potrà interessare anche dati provenienti da fonti private, in quanto vi è da accertare, esercitare o difendere un diritto in sede giudiziaria (art. 9 paragrafo 2 lettera f) GDPR).

Anche questa tipologia di trattamento è stata oggetto di emanazione di un codice deontologico e di buona condotta, oggi trasformato in “regole deontologiche relative al trattamento di dati personali effettuati per svolgere investigazioni difensive o per far valere o difendere un diritto in sede giudiziaria” (art. 20 comma 4 D. Lgs. 101/2018), che ne armonizza gli adempimenti.

Tale condizione, benché più permissiva nel trattamento dei dati personali, non esime dal rispetto dei principi generali al trattamento previsti dal GDPR, anzi assume maggior rilievo il rispetto dei contrapposti interessi: il diritto al recupero del credito e la dignità e reputazione del soggetto debitore.

Il Garante per la Privacy è più volte intervenuto con provvedimenti prescrittivi, vademecum e provvedimenti sanzionatori, per richiamare le attività di recupero crediti alla corretta applicazione della normativa, specificatamente nei principi di:

• liceità, ovvero, il divieto in capo agli operatori del settore di comunicare a soggetti terzi (quali familiari, coabitanti, colleghi di lavoro o vicini di casa) informazioni relative alla condizione di inadempimento nella quale versa il debitore;
• correttezza, per cui sono preclusi, sia in fase di raccolta delle informazioni e sia nel tentativo di prendere contatto con il debitore, comportamenti in grado di incidere sulla sua dignità, come nel caso di indicazioni troppo evidenti o esplicite sullo stato d’insolvenza del debitore presenti nei solleciti di pagamento;
• minimizzazione, in ragione del quale possono essere trattati soltanto i dati necessari all’esecuzione dell’incarico, con particolare riferimento ai dati anagrafici riferiti al debitore, codice fiscale (o partita Iva), ammontare del credito (unitamente alle condizioni del pagamento) e recapiti (anche telefonici), di norma forniti dall’interessato in sede di conclusione del contratto o comunque desumibili da elenchi o registri pubblici;
• trasparenza, per cui il titolare del trattamento è tenuto a fornire agli interessati le informazioni previste dall’art. 13 o 14 del GDPR.
• necessità, per cui una volta concluso l’incarico o il recupero, i dati personali devono essere cancellati, salvo l’assolvimento di specifici obblighi di legge, che ne richiedono una conservazione prolungata.

Quali potrebbero essere i miglioramenti alla normativa Privacy per le attività legate alla filiera del credito?

Una delle maggiori difficoltà che un Legislatore incontra nella normazione di un qualsiasi comparto, è sicuramente il bilanciamento di interessi contrapposti coinvolti dalla norma.

Nel caso di specie questa contrapposizione è particolarmente forte, trovando diritti costituzionalmente garantiti da entrambe le parti.

Senza entrare nello specifico singolo atto normativo, andrebbe valutata la possibilità di un maggiore accesso a determinate banche dati (oggi precluse), da parte delle società di recupero crediti o società di informazioni al recupero, che consenta di ottenere tutte le informazioni utili al soddisfacimento del credito vantato.

Questa attività, posta sotto il controllo delle Autorità competenti, consentirebbe di contenere al massimo il ricorso al contatto di fonti private (soggetti diversi del debitore), con il rischio di fornire, anche involontariamente, informazioni a terzi sullo stato debitorio del soggetto interessato, ledendo così il suo diritto di tutela di riservatezza e dignità.

Chiaramente una tale riforma richiederebbe un approccio innovativo all’esercizio del diritto da parte del soggetto privato ed una capacità di controllo, da parte della Pubblica Amministrazione, in grado di evitare accessi illegittimi o abusi all’utilizzo dei dati.

Una ipotetica evoluzione normativa come sopra descritta, non potrebbe prescindere, ancora di più, dalla garanzia che la società autorizzata ad accedere al dato (oggi non pubblico) sia perfettamente conforme ai dettami della normativa sulla protezione dei dati personali.

La sicurezza è un aspetto di grande attualità, cosa si intende per data breach e cosa prevede la normativa in merito? 

La sicurezza è un tema estremamente caldo e attuale, tant’è che uno degli obiettivi primari della Commissione Europea è proprio quello di rafforzare la protezione dei diritti e delle libertà fondamentali delle persone fisiche ed in particolare il diritto alla protezione dei dati personali.

Il Regolamento Europeo con il termine “Data Breach” vuole intendere una violazione dei dati personali ossia “una violazione della sicurezza, che comporta accidentalmente o in modo illecito la distruzione, perdita, modifica, divulgazione, accesso, copia o consultazione non autorizzate di dati personali trasmessi, conservati o comunque trattati”. (Art. 4 Regolamento UE 2016/679).

La normativa europea ha introdotto obblighi specifici per il Titolare del trattamento nel caso in cui dovesse trovarsi di fronte ad un Data Breach.

Una volta venuto a conoscenza di una violazione dei dati, il Titolare del trattamento deve immediatamente procedere a valutare se la violazione presenti un rischio reale per i diritti e le libertà delle persone fisiche.

Lo stesso dovrà poi provvedere, entro 72 ore dalla conoscenza, a notificare la violazione all’Autorità di controllo, tranne nel caso in cui risulti improbabile che la violazione presenti un rischio per le persone fisiche.

Diversamente ed in presenza di rischi elevati per i diritti e le libertà delle persone fisiche, dovrà anche comunicare la violazione ai singoli Interessati coinvolti nel Data Breach.

Indipendentemente dal fatto che una violazione venga o meno notificata all’Autorità di controllo e/o agli interessati, il Titolare del trattamento dovrà necessariamente documentare tutte le violazioni subite, annotandole nell’apposito registro che avrà redatto, come disposto dall’art.33, paragrafo 5 del GDPR.

Da ultimo il Titolare del trattamento dovrà adottare provvedimenti di rimedio alla violazione subita e di contenimento delle conseguenze sui diritti e le libertà degli interessati, nonché elaborare un nuovo piano che implementi la sicurezza e prevenga da futuri Data Breach.

Le cosiddette fonti aperte, sempre più usate nel credito, come si inseriscono all’interno della tutela della privacy?

Come sappiamo, le fonti aperte sono quelle fonti di natura pubblica e liberamente accessibili a chiunque come, ad esempio, i mass media (riviste, quotidiani, blog, siti web), le informazioni pubbliche (CCIAA, catasto, PRA, anagrafe comunale, ecc.), gli studi pubblici, ed altro ancora.

Nel settore del credito è sempre più in uso il ricorso all’attività di OSINT, l’Open Source Intelligence, cioè la raccolta di informazioni personali accedendo a fonti informative aperte e di accesso pubblico, spesso tramite software specialistici in grado di scandagliare il web anche nella parte più recondita.

Va premesso che un dato personale, benché reso pubblico da parte dell’Interessato, non legittima chiunque a farne uso per finalità diverse dalla sua pubblicazione.

Il trattamento da parte di terzi necessita comunque l’individuazione della finalità e la base giuridica che lo legittima, inoltre, occorrerà sincerarsi che sia effettivamente e legalmente accessibile quel dato.

Una volta valutata la legittimazione alla raccolta, bisognerà prestare attenzione affinché il dato venga trattato per la sola finalità individuata.

Al trattamento andranno sempre applicati i principi di minimizzazione (pertinenza, non eccedenza, proporzionalità) e di aggiornamento dell’informazione acquisita, rispetto alla finalità del trattamento.

Quali sono i principali step che devono mettere in campo le aziende del credito che vogliono attrezzarsi per non incappare in sanzioni o rischi in merito alla tutela dei dati?

Il processo di conformità in tema di trattamento dei dati è senza dubbio piuttosto complesso e lungo per tutti i Titolari/Responsabili del trattamento e sicuramente ancor più quelle aziende con forte impatto sul trattamento dei dati personali, come il settore del credito.

Trattandosi, inoltre, di un processo, come dice la parola stessa, è un qualcosa in divenire, in continua trasformazione, sia perché la normativa Privacy si evolve, sia perché l’organizzazione aziendale molto spesso muta.

Il primo step è senza dubbio la nomina di un Data Protection Officer (DPO), che coadiuvi il Titolare del trattamento al rispetto della normativa di riferimento e partecipi attivamente alla realizzazione dei processi informatizzati, rispettando il principio di minor impatto del dato personale.

Il DPO avrà il compito di verificare che sia predisposta, con i rispettivi tecnici competenti, una rete di protezione sia infrastrutturale che procedurale, a tutela dei dati presenti negli archivi informatici e cartacei.

Altro passaggio fondamentale è la creazione di un organigramma Privacy, che delinei i rispettivi ruoli ai processi di trattamento e formalizzi le figure interessate, dando loro gli strumenti formativi e conoscitivi per il rispetto dei corretti adempimenti.

Massima attenzione andrà prestata al ricorso a soggetti esterni ai quali affidare il trattamento dei dati di cui la società di credito mantiene la titolarità.

Questi soggetti andranno valutati con attenzione e, se ricorrono i presupposti previsti dall’art 28 del GDPR, nominati quali Responsabili al trattamento, con la sottoscrizione appositi contratti.

Di rilevante importanza è anche la creazione di procedure scritte che prevedano il percorso che devono compiere i dati trattati, dalla loro acquisizione sino alla loro distruzione.

Le procedure dovranno essere in grado di individuare in qualsiasi fase del trattamento gli adempimenti previsti, i soggetti preposti alla loro applicazione e la costante verifica della protezione dei dati.

Quanto sopra descritto sono solo alcuni passaggi che contribuiscono alla creazione di una organizzazione Privacy capace di evitare spiacevoli situazioni, che possano creare conseguenze in pesanti sanzioni amministrative o penali, oppure in danno all’immagine dell’azienda.

(Contenuto realizzato in collaborazione con RP Advisor)