Il Garante per la Protezione dei Dati Personali ha emesso due provvedimenti in data 6 giugno 2024 [doc. web n. 10043007 e doc. web n. 10042684] e in cui ha sanzionato con una multa del valore di 1 milione di euro una banca e di 250.000 euro una società di noleggio controllata dalla banca stessa per aver trattato dati personali di una cliente senza autorizzazione, e per aver acceduto in modo illecito al Sistema Centralizzato Informatico di Prevenzione Amministrativa contro il Furto d’Identità (SCIPAFI) violando le disposizioni del GDPR.
Il caso è stato avviato a seguito del reclamo di una cliente alla quale era stato negato il noleggio di un’auto poiché, all’esito della sua richiesta, risultava segnalata in detto sistema. A seguito delle richieste di chiarimenti da parte dell’interessata e del mancato riscontro della società di noleggio, il Garante ha avviato le proprie indagini.
La banca risultava aver posto dei presidi volti a mitigare il rischio di furti d’identità e frodi nei rapporti intercompany, al fine di tutelare le società del gruppo durante la fase di acquisizione della clientela, utilizzando il Sistema SCIPAFI per eseguire i controlli sui dati della clientela senza la necessaria autorizzazione del Ministero dell’Economia e delle Finanze (MEF).
SCIPAFI è il sistema pubblico di prevenzione, sul piano amministrativo, delle frodi nel settore del credito al consumo e dei pagamenti dilazionati o differiti, con specifico riferimento al furto di identità. L’accesso a tale Sistema è ristretto a specifiche categorie di soggetti tassativamente individuati dalla normativa, tra cui istituti finanziari, intermediari finanziari e determinati fornitori di servizi (energia elettrica e gas, servizi di comunicazione elettronica) (c.d. “aderenti”), ed è consentito esclusivamente laddove vi sia una richiesta da parte di una persona fisica, di una dilazione o un differimento di pagamento, un finanziamento o altra analoga facilitazione finanziaria, un servizio a pagamento differito. L’elenco dei soggetti legittimati ad accedere al sistema può tuttavia essere ampliato, previa autorizzazione del MEF, al fine di prevenire l’utilizzo del sistema finanziario per fini illegali, per l’accertamento dell’autenticità dei dati contenuti nei documenti (di identità o reddituali) presentati dall’interessato persona fisica.
Ciò premesso, nel corso dell’istruttoria è stato accertato come la banca fosse legittimata ad accedere al sistema SCIPAFI per proprio conto ma, al momento dell’interrogazione dello stesso per le verifiche riguardanti i dati della reclamante, non avesse ancora ottenuto l’autorizzazione dal MEF ad accedere al Sistema SCIPAFI per conto di società controllate operanti in altri settori quali il noleggio (soggetti non rientranti tra i c.d. “aderenti”), rendendo pertanto il trattamento di dati personali eseguito privo di una idonea base di legittimità.
Nel corso dell’istruttoria è emerso inoltre che l’interrogazione del sistema non è stata eseguita per il perseguimento delle finalità indicate dalla normativa (D.Lgs. 141/2010) e, dunque, per il suddetto accertamento dell’autenticità dei dati contenuti nella documentazione della reclamante, (documentazione che peraltro è risultata non essere mai stata acquisita), né ha perseguito lo scopo di prevenzione delle truffe o dell’insolvenza cui il sistema è preposto, risultando dunque illecito.
Il rifiuto alla cliente di ottenere il noleggio dell’autoveicolo sembrerebbe dunque essersi basato su un output generato automaticamente dal sistema, senza che fosse stato effettuato un confronto con documenti reddituali reali.
In secondo luogo, sebbene le parti avessero stipulato un Data Processing Agreement (DPA), in cui si attribuiva rispettivamente il ruolo di Titolare del trattamento alla società noleggiatrice e il ruolo di Responsabile alla banca, soltanto la banca risultava essere legittimata a utilizzare SCIPAFI, non avendo ancora ottenuto l’autorizzazione del MEF ad operare per conto di controllate. Da ciò ne consegue che l’attività di trattamento svolta dalla banca, non poteva essere svolta – mancando il presupposto autorizzativo – e deve considerarsi effettuata in violazione dell’art. 28, par. 3 del GDPR.
Da ultimo, l’Autorità ha ribadito con fermezza che l’accesso ai dati personali deve sempre avvenire nel pieno rispetto delle normative vigenti. L’ammontare della sanzione è stato dunque calcolato considerando la natura e la gravità della violazione che ha riguardato l’organizzazione dell’intero trattamento con riferimento ai ruoli rispettivamente ricoperti dalla banca e dalla società di noleggio al tempo in cui è avvenuto il fatto e, nello specifico, la liceità del trattamento dei dati riferiti all’interessata.
