Il Garante Privacy, con provvedimento n. 340 e n. 341 dello scorso 6 giugno, ha sanzionato un istituto di credito e una società da esso controllata per il trattamento illecito di dati personali e reddituali di clienti che richiedevano finanziamenti per il noleggio a lungo termine di autovetture. Le sanzioni sono state emesse a seguito dell’accertamento di un accesso non autorizzato alla banca dati centrale Scipafi, utilizzata per la verifica delle informazioni reddituali dei clienti.
La Banca, in risposta alla richiesta dell’Autorità, ha giustificato il rifiuto del finanziamento e l’inserimento della cliente nella “black list” con l’esito negativo della verifica della situazione reddituale nel database SCIPAFI. Tuttavia, durante l’istruttoria, il Garante ha riscontrato che la Banca, all’epoca dei fatti, aveva il permesso di accedere a SCIPAFI solo per le sue attività specifiche, come previsto dalla normativa vigente. In questo caso, però, l’accesso è stato effettuato per valutare una richiesta di contratto di noleggio da parte di una società controllata, che non rientrava tra le attività della Banca stessa e che, sebbene facente parte dello stesso gruppo, era un’entità distinta.
Secondo il Garante, la Banca ha violato le norme sul trattamento dei dati poiché ha utilizzato le informazioni della cliente per conto della società controllata, la quale non aveva l’autorizzazione per accedere a SCIPAFI, né direttamente né tramite la Banca. Inoltre, l’accesso ai dati è avvenuto senza prima acquisire la dichiarazione dei redditi della cliente, documento necessario per un confronto con le informazioni presenti in SCIPAFI. Questo sistema, infatti, richiede un riscontro preciso basato su documenti specifici presentati dall’interessato, riscontro che non è stato eseguito.
Anche la società controllata è stata sanzionata per il trattamento illecito dei dati personali, poiché non era autorizzata a trattare i dati presenti in SCIPAFI, neanche tramite la Banca. Inoltre, l’informativa fornita ai clienti non permetteva di comprendere chiaramente la tipologia e l’origine dei dati trattati, i database consultati, né se gli accessi fossero effettuati direttamente dalla controllata o dalla Banca. Queste violazioni hanno portato all’applicazione delle sanzioni amministrative previste dalla normativa in vigore.