Le società finanziarie non possono rifiutarsi di comunicare ai propri clienti le informazioni relative alla loro affidabilità creditizia, che hanno portato al diniego del finanziamento richiesto.

Il Garante per la protezione dei dati personali ha ingiunto alla società finanziaria di pagare la somma di 40 mila euro per aver violato gli artt. 12 e 15 del Regolamento UE n. 2016/679 (di seguito “GDPR”).

Un cliente si era rivolto alla predetta società richiedendo la concessione di un finanziamento al fine di ottenere un noleggio a lungo termine.

Avendo ricevuto un diniego, il cliente aveva presentato una richiesta di accesso ai dati personali al fine di conoscere le informazioni sulla base delle quali la società aveva deciso di negare la concessione del finanziamento.

Quest’ultima, pur avendo riscontrato tempestivamente l’istanza avanzata dal cliente, non aveva fornito alcuna indicazione rispetto ai dati trattati ai fini delle valutazioni di merito creditizie di costui. 

Per tale ragione il cliente ha presentato reclamo al Garante lamentando di non aver ottenuto un adeguato riscontro ad una richiesta di accesso ai propri dati personali.

Il Garante ha quindi avviato un’istruttoria, all’esito della quale è emerso che:

  1. il riscontro della società, pur essendo stato fornito in tempi appropriati, era del tutto insufficiente. La stessa si era infatti limitata a trasmettere copia della documentazione fornita dal cliente per ottenere il finanziamento e a riferire di aver consultato CRIF S.p.A. (Sistema di informazioni creditizie, di seguito “SIC”), invitando il cliente a rivolgersi direttamente a quest’ultimo;
  2. la società aveva rifiutato la richiesta di finanziamento proprio in seguito all’analisi delle informazioni ottenute dal SIC, dalle quali era emersa un’inaffidabilità finanziaria del cliente e una situazione patrimoniale non adeguata;
  3. il riscontro parziale della società aveva impedito al cliente di verificare l’esattezza delle informazioni trattate per decretare il diniego del finanziamento richiesto.

L’Autorità, ritenuto che la condotta della società fosse in contrasto con gli artt. 12 e 15 del GDPR ha colto l’occasione per precisare che:

  • il titolare del trattamento deve adottare, ai sensi del principio di accountability, tutte le misure necessarie ad agevolare l’esercizio del diritto di accesso;
  • lo scopo del diritto di accesso è quello di rendere noti all’interessato “quali” dati e “come” questi vengono trattati, al fine di consentirgli di effettuare un controllo sugli stessi;
  • nel gestire una richiesta di accesso avanzata da un interessato, il titolare non può limitarsi a fornire una descrizione generale dei dati o un semplice riferimento alla categoria dei dati personali trattati ma ha l’obbligo di comunicare tutte le informazioni acquisite ed effettivamente trattate;
  • le informazioni fornite dal titolare devono essere complete, corrette, aggiornate e attuali, oltre che essere rese in forma concisa, trasparente, intellegibile e facilmente accessibile.

Nello specifico, riguardo al peculiare contesto relativo all’acquisizione di informazioni da un SIC, occorre prestare particolare attenzione rispetto alle misure organizzative e tecniche che il titolare deve adottate.

Le informazioni relative all’affidabilità creditizia degli individui, infatti, pur non rientrando nella categoria dei dati c.d. “particolari”, hanno una natura particolarmente delicata. Tant’è che il trattamento di tali informazioni può comportare conseguenze pregiudizievoli rispetto ai diritti e alle libertà degli interessati (tra cui, come avvenuto nel caso sottoposto all’esame del Garante, il diniego della concessione di un finanziamento).