Quando apriamo un conto corrente o richiediamo un finanziamento, forniamo alla banca molte informazioni. Non si tratta solamente dei dati anagrafici, ma anche e soprattutto di informazioni economiche e patrimoniali che raccontano la nostra situazione finanziaria nel dettaglio. Questi dati sono necessari per poter dar corso alla nostra richiesta. Ma cosa succede quando i nostri debiti vendono ceduti a una società esterna, a noi sconosciuta e magari con sede all'estero? Possiamo impedire che i nostri dati riservati circolino più di quanto abbiamo autorizzato? In questo articolo analizzeremo, in linea generale, come funziona davvero il trattamento dei dati bancari della clientela, quali limiti la banca dovrebbe rispettare, cosa succede in caso di cessione del credito e - soprattutto - quali strumenti abbiamo a disposizione per tutelare la nostra riservatezza. Prima di dar corso alla richiesta del cliente (di finanziamento, di apertura di credito, di apertura di un conto corrente) le banche devono raccogliere e trattare una serie di dati: Queste informazioni vengono utilizzate per valutare l'affidabilità del cliente, il cd. merito creditizio, che influisce sulle decisioni della banca circa l'opportunità di concedere il servizio bancario richiesto, e a quali condizioni. Purtroppo tali dati, una volta raccolti, non restano confinati al rapporto banca-cliente, ma possono essere comunicati a soggetti terzi per obblighi di legge, esigenze operative oppure finalità di marketing e commerciali. Come abbiamo visto, i dati che abbiamo sopra elencato vengono raccolti dalle banche per monitorare l'affidabilità e il comportamento finanziario dei clienti, con finalità precise, come la valutazione del rischio, la gestione del rapporto contrattuale e la tutela del credito. Il GDPR (Regolamento Generale sulla Protezione dei Dati) prevede che questi dati possano essere trattati senza il consenso del cliente, quando ciò è necessario ai fini dell'esecuzione del contratto o per adempiere ad obblighi di legge. Il trattamento però deve essere svolto in maniera trasparente e lecita, e deve essere proporzionato allo scopo per cui viene eseguito. E' in ogni caso prescritto che il trattamento dei dati debba essere preceduto da un'informativa chiara e completa, che spieghi al cliente quali dati vengono raccolti, per quali scopi e per quanto tempo, e indichi altresì con quali soggetti verranno condivisi. Tradotto in termini concreti, la banca puo' LE BANCHE DATI ESTERNE: CHI RACCOGLIE I NOSTRI DATI E PERCHE' I sistemi di informazione creditizia (SIC) sono soggetti terzi che archiviano e gestiscono le informazioni creditizie provenienti da più istituti finanziari Le banche dati più conosciute sono: I primi quattro sono sistemi di informazione creditizia privati, l'ultimo invece fa capo alla Banca d'Italia ed è pubblico. Queste banche dati servono a fornire agli operatori creditizi un quadro aggiornato della situazione finanziaria dei soggetti che richiedono finanziamenti, in modo da favorire l'uniformità e la responsabilità delle decisioni che i soggetti finanziatori devono prendere. In pratica, quindi, ogni volta che chiediamo un prestito o anche un semplice fido, la banca può consultare questi sistemi di informazione per verificare il nostro merito creditizio ovvero: Come abbiamo accennato più sopra, le segnalazioni devono rispettare regole molto precise, fissate dal codice deontologico dei SIC e dalle disposizioni del Garante della Privacy. Di tali regole ci occuperemo in maniera più diffusa e dettagliata in uno dei prossimi articoli. Qui basti solo dire che: Purtroppo però questi sistemi possono diventare una sorta di etichetta permanente che può condizionare il nostro accesso al credito. E' perciò necessario essere correttamente informati sul loro funzionamento e sui propri diritti La tabella che segue riassume le caratteristiche e funzioni dei sistemi di informazione creditizia privati e quelli della Centrale Rischi gestita dalla Banca d'Italia: confronto tra Sistemi di Informazioni Creditizie (SIC) privati e Centrale dei Rischi di Banca d’Italia Caratteristica SIC privati (CRIF, Experian, CTC, ecc.) Centrale dei Rischi (Banca d’Italia) Gestione Privata (società di settore) Pubblica (Banca d’Italia) Segnalazione Facoltativa Obbligatoria Finalità Valutazione del merito creditizio e gestione del rischio per banche e finanziarie Vigilanza sul sistema creditizio e prevenzione del rischio sistemico Importo minimo segnalato Anche importi molto bassi Generalmente sopra i €30.000 (ma soglie più basse in casi specifici) Tipologia di dati Positivi e negativi (es. rate pagate in ritardo, prestiti regolari) Regolarità o anomalia di esposizioni, garanzie, fidi, sconfinamenti Accesso da parte del cliente Gratuito su richiesta Gratuito tramite il sito della Banca d’Italia Tempi di conservazione Regolati da Codice Deontologico (es. 36 mesi per inadempienze) Variabile secondo il tipo di informazione, ma comunque disciplinato Va comunque precisato che la banca non può prendere decisioni che possano influire significativamente sul cliente, come ad esempio una richiesta di finanziamento, basandosi su valutazioni automatizzate del merito creditizio, salvo specifiche eccezioni previste dall'art. 22 GDPR (1) Chi ha avuto problemi di insoluto o finanziari sa che può capitare di trovarsi da un momento all'altro di fronte a una società, fino ad allora sconosciuta, che si proclama creditrice. Sempre più spesso, infatti, gli Istituti di Credito cedono i crediti insoluti (crediti deteriorati o NPL - Non Performing Loans) a società specializzate, che li acquistano a prezzi forfettari e poi contattano il debitore per intimare il pagamento in loro favore. Le cessioni, regolate dall'art. 58 del T.U.B. (Testo Unico Bancario) riguardano solitamente grandi quantità di crediti insoluti, che vengono ceduti "in blocco" senza necessità di consenso da parte dei debitori, i quali vengono informati dell'avvenuta cessione mediante la pubblicazione di un apposito avviso sulla Gazzetta Ufficiale. Di fatto, però, molti clienti scoprono di avere un "nuovo creditore" solo quando ricevono una diffida o una richiesta di pagamento da parte di una società fino ad allora sconosciuta. Purtroppo, insieme al credito vengono cedute anche tutte le informazioni che la banca ha nel frattempo raccolto, compresi i dati sensibili cui abbiamo accennato sopra, con notevoli criticità in tema di protezione dei dati personali, che riguardano, ad esempio Il Garante per la protezione dei dati personali ha chiarito che la società cessionaria assume il ruolo di titolare autonomo del trattamento e può utilizzare i dati solo per finalità collegate al recupero del credito. In ogni caso, è tenuta a rispettare gli stessi obblighi informativi cui era tenuta la banca originaria, e deve pertanto garantire la sicurezza dei dati, la loro esattezza e il loro aggiornamento Va sottolineato che non è lecito un uso dei dati per finalità diverse da quelle strettamente connesse alla gestione del credito (es: marketing o profilazione) a meno che non sia acquisito dalla società cessionaria un apposito consenso espresso del cliente. 4. I nostri diritti e i rimedi contro lo scorretto trattamento dei dati Fortunatamente, il cliente non è indifeso di fronte a eventuali abusi. IL GDPR riconosce una serie di diritti fondamentali che permettono a ciascuno di conoscere, controllare e se necessario contrastare l'uso improprio dei propri dati personali. Ecco i principali strumenti a disposizione: - presentare un reclamo al Garante per la protezione dei dati personali - ricorrere in Tribunale per ottenere il rispetto dei propri diritti ed eventualmente il risarcimento dei danni subiti E' perciò buona regola conservare sempre ogni comunicazione ricevuta dalla banca o dalla società cessionaria, soprattutto in caso di segnalazioni o solleciti sospetti. Nel rapporto tra banca e cliente, il trattamento dei dati personali gioca un ruolo fondamentale, anche se molto spesso sottovalutato. Dalle informazioni raccolte per concedere un finanziamento fino alla loro eventuale trasmissione a soggetti terzi, come le società veicolo di cui abbiamo parlato, ogni passaggio può incidere concretamente sulla nostra vita economica. Sapere quali dati vengono trattati, da chi e con quali finalità consente di tutelare la propria reputazione finanziaria, prevenendo abusi o errori che possono costare molto in termini economici e personali. Ecco alcuni consigli pratici: NOTE 1) l'art. 22 del GDPR vieta in linea generale che una persona sia sottoposta a una decisione basata esclusivamente su un trattamento automatizzato (come una valutazione creditizia fatta da un algoritmo) quando tale decisione produce effetti giuridici rilevanti o incide in modo significativo sulla sua persona. Ci sono tuttavia tre eccezioni:PREMESSA
1. Quali sono i dati che vengono raccolti dalle banche
2. Il trattamento dei dati nei finanziamenti e nelle passività di conto corrente
3. La cessione del credito a terzi: le società veicolo
Conclusioni: conoscere i propri diritti è il primo passo per difendersi