PROBLEMATICHE APERTE IN TEMA DI TRATTAMENTO DEI DATI PERSONALI DA PARTE DEL MONDO BANCARIO E CREDITIZIO

PROBLEMATICHE APERTE IN TEMA DI TRATTAMENTO DEI DATI PERSONALI DA PARTE DEL MONDO BANCARIO E CREDITIZIO
di Silvia Melchionna

La disciplina sul trattamento dei dati personali dettata dalla legge n.675/1996, propone una revisione globale delle attività settoriali delle imprese, allo scopo di garantire il rispetto dei diritti e delle libertà fondamentali delle persone in ogni campo del vivere sociale. Il legislatore, nel perseguire tali finalità, non ha voluto frenare la spinta tecnologica e di mercato confinandola entro rigidi schemi predefiniti, ma contemperare lo sviluppo dell’attività economica con il diritto alla riservatezza.
La tutela della sfera privata degli individui, da un lato si propone di sottrarre i dati personali da un non regolamentato processo mercantile, dall’altro tiene conto dell’impossibilità di non rendere conoscibili ai produttori le abitudini e i desideri dei consumatori per migliorare e rendere più concorrenziale la loro produzione. Tuttavia, il mondo aziendale denuncia come le restrizioni previste dalla legge abbiano l’effetto di rallentare la crescita delle imprese. Del resto, di là dalle esigenze di mercato, una legge che stabilisca contenuti e strumenti di tutela per la persona si pone come un elemento indispensabile in un settore nel quale la libertà d’iniziativa economica rischia di entrare in conflitto con il fondamentale diritto dell’individuo alla riservatezza, dignità ed identità personale.
Settore particolarmente delicato è quello del direct marketing, dove dovranno essere rispettati i criteri direttivi e i principi della normativa comunitaria e della Raccomandazione adottata dal Consiglio d’Europa n.20, del 25 Ottobre 1985 ("sulla protezione dei dati a carattere personale utilizzati a fini di marketing diretto), nonché quelli della legge sulla privacy. Tra i soggetti che maggiormente utilizzano tali strumenti si individuano gli istituti di credito, le assicurazioni, i gestori servizi finanziari e di raccolta del risparmio.
Nella legge n.675/1996 si è voluto includere, nella previsione di esenzione dall’acquisizione del consenso dell’interessato relativa alle attività economiche (art.12) anche i trattamenti realizzati ai fini d’informazione commerciale e quelle attività riassumibili nel concetto di direct marketing, pratiche richiamate del resto in merito al diritto di opposizione dell’interessato (art. 13).
Una lettura combinata delle norme della legge può portare a concludere che gli operatori economici possono trattare i dati posseduti per effettuare attività pubblicitarie o promozionali senza il consenso del destinatario dell’offerta commerciale; tuttavia essi dovranno garantire agli interessati la possibilità di esercitare il diritto di opposizione a questo trattamento, attraverso un’espressa indicazione di tale prerogativa nell’informativa o in calce all’opuscolo pubblicitario.
Diversa disciplina è prevista dal decreto legislativo n.171/1998 (recante disposizioni in materia di tutela della vita privata nel settore delle telecomunicazioni ed in tema di attività giornalistica) per le operazioni di direct marketing realizzate attraverso l’uso del fax o di altri sistemi automatizzati di chiamata. Tale normativa prevede, infatti, il necessario consenso espresso dell’abbonato, sia esso persona fisica che giuridica, e, quindi, anche per le comunicazioni business to business fra aziende (la Direttiva Comunitaria n.97/66/CE, da cui deriva tale norma, escludeva la necessità di acquisire il consenso nell’ipotesi in cui l’interessato coincidesse con una persona giuridica).
La previsione del consenso per tale forma di direct marketing sembra addursi alla circostanza che l’uso del fax dell’abbonato, per l’invio di materiale pubblicitario, determina un costo per l’interessato dato dal consumo d’inchiostro, carta ed elettricità.
L’ADIM (Associazione Italiana per i Direct Marketing), pur sottolineando i notevoli disagi che l’applicazione della normativa ha determinato nel settore, ha individuato alcuni strumenti utili a contemperare le esigenze delle imprese con i diritti dei cittadini come le "liste di cancellazione centralizzate" (elenco dei soggetti che hanno manifestato la volontà di non ricevere messaggi commerciali) e i codici di autodisciplina. In tal modo l’associazione ritiene di rispettare i principi affermati nella Raccomandazione n.85/20 e nella legge n.675, relativi alla necessità di concedere a tutti i soggetti il diritto di rifiutare l’utilizzo dei propri dati per fini commerciali, rispondendo, inoltre, all’esigenza mostrata nel testo comunitario di sviluppare le misure d’autoregolamentazione.
Al fine di individuare le regole necessarie per bilanciare le moderne forme di comunicazione commerciale con il diritto di opporci a tali tecniche di marketing, è stata istituita, presso il Ministero dell’industria, commercio e artigianato, una Commissione per lo studio e l’analisi dei problemi legati al trattamento dei dati personali per le attività di direct marketing.
Una valutazione dei dati personali come beni di significativo rilievo economico ha portato a considerare la possibilità che si attivino meccanismi di mercato per la loro acquisizione. In molti altri Paesi gli istituti di credito hanno offerto servizi gratuiti e vantaggi ai clienti che acconsentivano alla commercializzazione dei propri dati. Lo scambio delle informazioni contro servizi innesca, da una parte una spirale concorrenziale cui il settore bancario aspira, dall’altra il rischio che i soggetti in condizioni economiche disagiate si vedano costretti a "vendere" i propri dati personali pur di ottenere servizi cui non sarebbero in grado di accedere. Alla luce delle articolate problematiche che l’applicazione del diritto alla riservatezza suscita nel campo delle informazioni economiche, si rende necessario, così, un dialogo fra gli esponenti istituzionali e le associazioni di categoria, al fine di garantire la trasparenza dei trattamenti, la chiarezza delle informazioni e soprattutto la possibilità libera e incondizionata per l’interessato di controllare la circolazione delle informazioni che lo riguardano.
Numerose sono le realtà strettamente collegate all’attività bancaria in merito alle quali saranno necessari specifici interventi governativi o dell’Autorità di controllo, per applicare la disciplina prevista dalla legge a realtà così fortemente differenziate e complesse. Si dovrà soprattutto tener conto delle nuove funzioni che caratterizzano la banca del futuro, ed in particolar modo dei progetti di automazione interbancaria elaborati dal Comitato direttivo della Convenzione interbancaria per l’automazione (Cipa). Tali progetti prevedono una forte presenza di strumenti legati alla telematica ed alle tecnologie multimediali come il phone ed Internet banking, il borsellino elettronico e il servizio di esito elettronico, che consentirà di gestire elettronicamente gli assegni non pagati; la realizzazione di tali servizi dovrà essere effettuata anche in relazione alle disposizioni della legge n.675/1996, a causa dei forti elementi di conflittualità che potrebbero venire a delinearsi.
Una delle problematiche più interessanti, in merito all’applicazione della legge al settore bancario, è rappresentata dall’attività delle centrali rischi private: strutture gestite da soggetti privati che offrono (in modo complementare rispetto ai servizi della Banca d’Italia), a società e gruppi bancari o finanziari, informazioni sull’esposizione creditizia dei loro clienti. Appare evidente come tali attività rappresentino terreno fertile per il nascere di conflitti tra interessi economici dei titolari e i diritti degli interessati. La particolarità dei trattamenti effettuati e la complessità dei flussi di informazioni analizzati mostrano la necessità di un intervento governativo al riguardo, che tenga conto dei numerosi pericoli che sono collegati alla gestione delle banche dati di una centrale rischi, soprattutto in merito ai profili relativi all’accesso (il servizio potrebbe essere messo a disposizione di chiunque o solo di particolari soggetti qualificati) e alle tipologie di dati (si pensi alle conseguenze derivanti dalla circolazione di dati non aggiornati, non corretti o inesatti). Una regolamentazione approfondita del settore dovrebbe anche affrontare la problematica relativa alla realizzazione di profili automatizzati dei soggetti i cui dati siano presenti nelle centrali rischi. L’articolo 17 della legge (relativo soprattutto agli enti pubblici) prevede, infatti, il divieto di assumere decisioni automatizzate, basate solo su meccanismi elettronici, volte a delineare un profilo dell’interessato o tutta la sua personalità, salva la possibilità di adottare decisioni anche automatizzate in occasione della conclusione o dell’esecuzione di un contratto, in accoglimento di una proposta dell’interessato o sulla base di adeguate garanzie disposte dalla legge. In merito sarebbero auspicabili interventi governativi atti ad individuare quelle salvaguardie che consentano agli intermediari di operare legittimamente, senza ledere l’identità e la dignità dell’interessato.
Gli esponenti delle centrali rischi private sottolineano come una regolamentazione del settore debba tener conto anche degli interessi di tutela del credito, che verrebbero eccessivamente limitati qualora all’interessato venisse concesso un diritto illimitato alla cancellazione dei propri dati; con il pericolo che una tale prerogativa venga esercitata proprio da quei clienti che hanno censite, nei sistemi di centralizzazioni, le posizioni di rischio più gravi.
Molti saranno i motivi di dibattito suscitati dall’effettivo pericolo che le esigenze economiche giustifichino la compressione del diritto all’autodeterminazione informativa. In tal senso è stata proposta la previsione di codici di autodisciplina volti all’individuazione di canoni di comportamento che gli operatori dovranno rispettare. Alcune centrali rischi sono risultate essere già in possesso di codici ispirati a principi di correttezza e caratterizzati dalla previsione di una clausola, da inserire obbligatoriamente nei contratti, in cui si richiedeva il consenso dell’interessato ante litteram: prima cioè che fosse introdotta nel nostro ordinamento la legge sulla privacy. Tali codici dovranno naturalmente essere integrati con le disposizioni di quest’ultima e con le indicazioni fornite dall’Autorità Garante.
Di particolare interesse è l’analisi degli effetti realizzati dall’applicazione della legge sulla privacy alla realtà del leasing. Tale attività, essendo caratterizzata da un sistema di offerta di matrice prettamente creditizia (anche se generalmente rivolta a persone giuridiche), è storicamente collegata alla cultura bancaria, con la conseguenza che anche per questo settore dovranno essere, quindi, individuate soluzioni più prudenti ed interpretazioni maggiormente cautelative, al fine di consentire un’effettiva tutela dei diritti previsti dalla legge a favore dei cittadini.
Le società di leasing denunciano una serie d’adempimenti troppo onerosi e di natura burocratica che rallentano le attività svolte. In particolar modo affermano come l’impossibilità di comunicare a terzi i dati del soggetto, senza un suo consenso, determini l’irrealizzabilità delle attività di locazione finanziaria, non avendo tali strutture, a differenza delle banche, la possibilità di effettuare servizi statici. Seppur compresa, la necessità di un consenso libero, in forma specifica, espresso ed informato è, quindi, vista come un ostacolo all’esercizio delle attività di leasing, costrette a sopportare un aumento dei costi sia in termini economici che di tempo. Come risposta a tali considerazioni l’Ufficio del Garante ha provveduto a chiarire alcuni aspetti della normativa. E’ stato ribadito come sia possibile semplificare l’informativa attraverso l’indicazione delle elaborazioni significative ed indicando le modalità del trattamento necessarie per il perseguimento dello scopo contrattuale. Indicazioni più analitiche devono invece ritenersi necessarie in relazione all’ambito di comunicazione e diffusione dei dati. Viene, inoltre, ad essere affermata la non necessarietà del consenso per tutti i trattamenti di dati personali, non nascondendo comunque che spesso, anche se non richiesto dalla legge, può avere una sua rilevanza o riflessi immediati sul rapporto negoziale tra le parti. Vi sono dei casi in cui indubbiamente una cautela maggiore può spingere il titolare ad acquisire il consenso perché sussiste la possibilità di controversia o di contrasto; tali circostanze, tuttavia, devono essere lette come una tutela maggiore del titolare e non un ostacolo alla sua attività.
Nonostante le banche offrissero già prima dell’entrata in vigore della legge un discreto livello di protezione della riservatezza dei clienti, tale normativa ha evidenziato dei rischi nascosti in tali sistemi, come nel caso dei benefondi. Questi consistendo in una dichiarazione di scienza e, più precisamente, nella semplice informazione sull’esistenza attuale dei fondi sul conto dell’emittente (c.d. benefondi informativo), determinano una comunicazione di dati personali dell’interessato, rendendo, così, necessario ottenere il consenso di quest’ultimo. L’Autorità Garante ha chiarito che le banche possono fornire informazioni sulla validità o copertura di un assegno al soggetto nei confronti del quale è stato emesso. La precisazione nasce in seguito alle numerose segnalazioni secondo le quali taluni istituti di credito si rifiutavano, in nome della privacy, di rilasciare il c.d. benefondi su assegni emessi dai propri clienti. Il Garante ha ricordato che nei modelli d’informativa e di acquisizione del consenso distribuiti dalle banche devono essere riportate indicazioni generali sul trattamento nelle quali rientra anche questo tipo di operazione necessaria ad una corretta esecuzione del rapporto bancario. Il Garante ha, in ogni modo, rilevato la necessità che la prassi del benefondi sia svolta correttamente e che le informazioni siano fornite ai soli soggetti legittimati all’incasso o alla negoziazione dell’assegno e non ad estranei. Problemi inerenti all’applicazione della legge sorgono in merito al sistema dei "benefondi telefonici" (anche detti benefondi con blocco o impegnativo), in virtù dei quali la banca del beneficiario richiede a quella dell’emittente l’autorizzazione a pagare l’assegno emesso; quest’ultima fornendo tale autorizzazione, si impegna a bloccare i fondi corrispondenti all’ammontare dell’assegno. Alcuni studiosi sostengono che quest’ultima fattispecie possa considerarsi quale mandato extracartolare al pagamento, conferito dalla banca trattaria a quella girataria per l’incasso, cioè da parte dell’istituto di credito dell’emittente l’assegno a quello del beneficiario.
Le numerose problematiche relative all’applicazione del principio del consenso alle operazioni bancarie e creditizie affrontate mostrano la complessità delle attività svolte in questo settore e la necessità di interventi puntuali e specifici che soltanto l’esperienza e il confronto tra le opposte categorie di soggetti coinvolti possono maturare. Il dialogo avviato tra l’Autorità Garante e le associazioni di categoria assume, così, un ruolo fondamentale per lo spirito di promozione della legge e per una giusta valutazione di quegli interessi contrapposti che il legislatore non può tardare a contemperare.