testata ADUC
'Cattivi pagatori' e centrali rischi: le regole
Scarica e stampa il PDF
Scheda Pratica di Rita Sabelli
1 ottobre 2019 10:07
 
Quando si chiede un finanziamento, anche per acquistare beni di consumo, oppure un prestito personale, un mutuo o altre forme di credito le banche/finanziarie verificano la nostra solvibilità in molti modi, compresa la consultazione di particolari banche dati dove confluiscono i dati di coloro che non pagano (o pagano in ritardo) le rate.

Tali banche dati, denominate Sic (Sistema di informazioni creditizie) o "centrali rischi", hanno infatti la funzione di fornire a chi concede credito informazioni sull'affidabilita' dei debitori e ogni banca/finanziaria, oltre a consultarle, le aggiorna periodicamente. Le Sic possono contenere dati negativi o dati negativi e positivi. E' infatti prevista anche la (breve) iscrizione di coloro che semplicemente chiedono un finanziamento, anche senza ottenerlo, nonché l'informativa sui rapporti che si concludono regolarmente.

Le modalità di gestione di questi registri sono regolate dal Garante della Privacy dal 2005 con Provvedimenti che hanno via via approvato appositi Codici deontologici sottoscritti dalle società che gestiscono gli archivi, l’ultimo il 12 Settembre 2019.
Le regole riguardano il tipo di dati che possono essere gestiti dalle banche dati, gli scopi del loro utilizzo, i tempi massimi di conservazione, nonché gli obblighi di informazione al debitore sui suoi diritti in ambito privacy.

Da sapere che i debitori devono essere preavvisati della potenziale iscrizione del proprio nominativo, in occasione del sollecito di pagamento,  con una comunicazione specifica tracciabile o con altri mezzi previo accordo col consumatore (area web riservata, telefono, sms). Se un prestito o finanziamento viene negato a causa delle informazioni presenti in una banca dati rischi, inoltre, la banca/finanziaria dovra' informare immediatamente e gratuitamente l'interessato del risultato della consultazione e degli estremi della banca dati dove questi risulta segnalato negativamente.

Il Codice deontologico regola l'attività delle banche dati private (CRIF, EXPEDIAN, CTC, etc.) ma non di quella pubblica per eccellenza, la "CR (centrale rischi)" della Banca d'Italia, disciplinata a parte da altre disposizioni.

indice scheda
DATI RACCOGLIBILI E USO CONSENTITO
TEMPI DI CONSERVAZIONE DELLE INFORMAZIONI
PREAVVISO DI ISCRIZIONE
INFORMAZIONI AL CONSUMATORE
ACCESSO/RETTIFICA/ELIMINAZIONE DEI DATI
RIFERIMENTI NORMATIVI
LINK UTILI

DATI  RACCOGLIBILI E USO CONSENTITO
Le banche dati SIC possono contenere, in ambito privato, informazioni di tipo negativo (che riguardano solo rapporti per i quali si sono verificati inadempimenti) oppure informazioni di tipo positivo e negativo che riguardano richieste/rapporti a prescindere dalla sussistenza di inadempimenti.
I segnalatori, che il codice chiama “partecipanti”, possono sia comunicare dati che accedervi.
Tra i segnalatori vi sono le banche, le società finanziarie, le società di factoring, gli istituti di pagamento, i privati che nell’esercizio di attività professionale o commerciale concedono dilazionamenti dei pagamenti o svolgono attività di leasing o di noleggio a lungo termine. Si aggiungono anche coloro che gestiscono piattaforme digitali per prestiti tra privati (peer to peer lending).

Per ogni segnalazione possono essere trattati i seguenti dati:
- dati identificativi, anagrafici e sociodemografici (codice fiscale, partita iva, dati di contatto, documento di identità, tessera sanitaria, codice Iban, dati relativi alla occupazione/professione, al reddito, al sesso, all’età, alla residenza/domicilio, allo stato civile, al nucleo familiare);
- dati relativi alla richiesta/rapporto, descrittivi, in particolare, della tipologia di contratto, dell’importo dovuto, delle modalità di pagamento e dello stato della richiesta o dell’esecuzione del contratto;
- dati di tipo contabile, relativi, in particolare, agli utilizzi o ai pagamenti, al loro andamento periodico, all’esposizione debitoria anche residua e alla sintesi dello stato contabile del rapporto;
- dati relativi al contenzioso e ad attività di recupero del credito, alla cessione del credito o a eccezionali vicende che incidono sulla situazione soggettiva o patrimoniale degli interessati.

Possono essere registrati anche i dati personali
- di chi chiede di instaurare un rapporto o è parte di un rapporto con un segnalante (banca, finanziaria, etc.);
- dei coobbligati, anche in solido;
- dei terzi ceduti (in caso di cessione di crediti o dilazioni di pagamento);
- di un esponente aziendale o di un partecipante al capitale della società o ente, che è parte di una richiesta/rapporto con posizione distinta rispetto al debitore principale (per esempio i dati del fornitore di beni nell’ambito di una locazione finanziaria.

Nel SIC sono registrati anche gli estremi identificativi dei segnalanti, accessibili al gestore e agli interessati.

Il trattamento riguarda dati di tipo obiettivo, adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.
Le finalità del trattamento sono correlate alla tutela del credito e al contenimento dei relativi rischi, in particolare la valutazione della situazione finanziaria e il merito creditizio degli interessati, la loro affidalibita' e puntualita' nei pagamenti. Tra le finalità rientrano anche quelle relative alla prevenzione del rischio frodi e del furto di identità.
E' previsto un aggiornamento continuo dei dati, con cadenza mensile, su comunicazione delle banche/finanziarie che hanno proceduto all'iscrizione.

E' vietato l'utilizzo per qualsiasi altro scopo, specie quello relativo a ricerche di mercato o promozione, pubblicità e vendita di prodotti e/o servizi.

Non possono essere gestiti dati sensibili e giudiziari, e comunque dati eccedenti rispetto e quelli necessari al raggiungimento delle finalità perseguite.

TEMPI DI CONSERVAZIONE DELLE INFORMAZIONI
Le banche dati conservano le informazioni sia per verificare il totale dei finanziamenti ottenuti, sia per verificare l'eventuale morosità di un consumatore. Il codice deontologico regola i tempi massimi di conservazione dei dati, differenziati in base alle diverse situazioni in cui si trova il rapporto tra chi riceve il finanziamento e chi lo concede.

INFORMAZIONI SULLE RICHIESTE DI FINANZIAMENTO
Le banche/finanziarie comunicano ai Sic (centrali rischi) i dati personali di chi richiede una concessione di credito gia' in fase d'istruttoria. Il tempo massimo di conservazione di questi dati tiene conto del tempo necessario all'istruttoria stessa e non deve comunque superare i 180 giorni dalla richiesta.
Se la richiesta di credito non è accolta o è il consumatore a rinunciare, la banca/finanziaria deve comunicare ai gestori delle banche dati, in occasione della comunicazione mensile, il mancato prestito. Da quel momento questa informazione, con specifica delle cause (non accoglimento o rinuncia del consumatore) può rimanere alla banca dati per massimo 90 giorni.

INFORMAZIONI SUI RITARDI NEI PAGAMENTI (temporanea morosità)
E' il caso di quei risparmiatori che dopo un ritardato pagamento provvedono a regolarizzarsi.

Se il ritardato pagamento non supera i due mesi, o due rate, le relative informazioni di morosità possono essere conservate al massimo per 12 mesi dalla regolarizzazione.
Se invece il ritardato pagamento supera i due mesi o le due rate il tempo massimo di conservazione e' di 24 mesi.
Decorso il termine massimo i dati sono cancellati dall'archivio, a meno che nel frattempo non risultino registrati, per quella persona, ulteriori ritardi nei pagamenti.

La segnalazione può avvenire solo dopo che siano decorsi 15 giorni dalla spedizione di un "preavviso di iscrizione" al debitore. Le banche/finanziarie, infatti, devono preavvisare il debitore -magari in occasione dell'invio di un sollecito di pagamento- riguardo all'imminente iscrizione delle informazioni del ritardato pagamento in una centrale rischi (vedi più avanti).

Note:
- se il ritardo riguarda una sola rata con pagamento entro 60 giorni dalla scadenza, la relativa segnalazione deve essere cancellata decorsi sei mesi dal pagamento.
- i dati relativi al PRIMO ritardo di pagamento vengono resi pubblici solo
* dopo 60 giorni dall'aggiornamento mensile fatto dalla banca/finanziaria oppure
* quando siano scadute (insolute) almeno due rate mensili consecutive oppure
* quando il ritardo si riferisce ad una delle due ultime rate.
Nelle banche dati che raccolgono solo informazioni negative (CTC per esempio) tali dati vengono resi pubblici quando il ritardo eccede i 4 mesi (precisamente 120 giorni) oppure in caso di mancato pagamento di almeno quattro rate. I dati degli eventuali ritardi successivi al primo sono invece pubblicati subito, all'atto dell'aggiornamento mensile.
- accanto ai dati del ritardo deve comunque essere presente l'annotazione dell'avvenuto pagamento. Le banche/finanziarie, infatti, devono dare informazione ai gestori delle SIC anche della data dell'avvenuto pagamento che deve essere annotata negli archivi.

INFORMAZIONI SUI MANCATI PAGAMENTI (definitiva morosità)
Nei casi in cui il mancato pagamento non venga regolarizzato, i dati negativi di tale definitiva morosità possono restare in archivio per massimo 36 mesi dalla scadenza contrattuale del rapporto, dopodiché devono essere comunque cancellati. In caso di altre vicende rilevanti relative al pagamento il termine decorre dalla data di ultimo aggiornamento o comunque da quanto il rapporto e' cessato. In tutti i casi il termine massimo di conservazione è di 60 mesi (cinque anni) dalla data di scadenza del rapporto contrattuale di finanziamento.

INFORMAZIONI SUI RAPPORTI CHE SI SONO SVOLTI POSITIVAMENTE (senza ritardi o altri eventi negativi)
La presenza di un finanziamento in corso con i pagamenti in regola rimane nella memoria della banca dati, ma anche dopo che il rapporto si e' concluso regolarmente e' prassi delle banche dati tenere in memoria i dati del finanziamento e della "buona condotta" del consumatore. Il Codice dispone che queste informazioni positive rimangano in memoria al massimo 60 mesi (cinque anni) dalla cessazione del rapporto/scadenza contrattuale.
Le informazioni positive possono essere conservate per piu' tempo qualora nell'archivio, per quella determinata persona, siano presenti anche informazioni negative relative ad altri finanziamenti. In questi casi le informazioni vengono poi cancellate tutte insieme, allo scadere del termine di conservazione di quelle negative.
Queste informazioni sono cancellate, in ogni caso, qualora il consumatore/interessato ne faccia richiesta revocando il consenso al trattamento, entro 90 giorni dalla comunicazione fatta alla banca/finanziaria.

PREAVVISO DI ISCRIZIONE
Il soggetto in ritardo nel pagamento di una o piu' rate deve essere preventivamente informato dell'iscrizione del proprio nominativo dalla banca/finanziaria e delle conseguenze che ciò comporta, all'atto di invio di solleciti di pagamento o con lettera separata.

I dati relativi al PRIMO ritardo possono essere pubblicati solo dopo che siano decorsi 15 giorni dalla spedizione del preavviso.

Riguardo alla modalità di invio il Garante della privacy -rifacendosi anche all’ampia giurisprudenza e a pronunce dell’Arbitro bancario finanziario- chiarisce che grava sulla banca/finanziaria che effettua l'iscrizione la dimostrazione di aver adempiuto a tale obbligo. Lo scopo del preavviso è infatti permettere al debitore di adempiere al proprio obbligo PRIMA che la segnalazione sia effettuata, e quindi, in questo senso esso funge da atto recettizio, ovvero atto che produce i suoi effetti solo nel momento in cui raggiunge il destinatario.

Ne consegue, per il Garante, che il preavviso vada inviato per raccomandata a/r oppure per telegramma ma anche con posta elettronica certificata (PEC), con onere della prova della ricezione che grava sulla banca-finanziaria segnalatrice.
In alternativa, per il primo ritardo, la comunicazione può avvenire anche tramite vettore con servizio di tracciatura e certificazione dell’avvenuta consegna.

Previo accordo col cliente/debitore, possono essere utilizzate anche queste forme di comunicazione:
- pubblicazione sul sito web della banca/finanziaria, nell’area riservata ad ad accesso esclusivo del cliente (per esempio l’home banking);
- comunicazione telefonica (al numero fornito dal cliente) con registrazione della chiamata;
- comunicazione tramite messaggistica istantanea che consenta di tracciare l’avvenuta consegna (per esempio un sms).

Riferimenti: Provvedimento del 12 Settembre 2019, in particolare l’Allegato 1, e il Provvedimento del 26 ottobre 2017

INFORMAZIONI AL CONSUMATORE
Chi chiede o attiva un finanziamento deve essere informato, tra le altre cose, anche sulla gestione dei propri dati nell'ambito delle informazioni creditizie. Deve essergli consegnata un'informativa che contenga i dati delle centrali rischi a cui vengono comunicati i dati personali e in quali casi, nonché i tempi di conservazione degli stessi e le modalità per esercitare i propri diritti al riguardo (vedi prossima sezione). Allo scopo e' stato predisposto un modulo unico informativo riportato in calce al testo del Codice deontologico riportato tra i link utili.

Si precisa che la raccolta dei dati, la consegna dell’informativa e la verifica della solvibilità del cliente riguardano la fase di richiesta del credito; nella fase precedente di preventivo le banche/finanziarie devono tener conto esclusivamente dei dati offerti spontaneamente dal consumatore senza possibilità di accesso alle banche dati SIC:

Altra informazione importante che il consumatore deve ricevere è la motivazione dell’eventuale diniego di credito, quando la stessa sia collegata all’iscrizione del suo nominativo sugli archivi “cattivi pagatori”. In questi casi il consumatore deve essere informato anche riguardo al SIC dove risulta iscritto, per poter verificare e prendere eventuali provvedimenti.

ACCESSO/RETTIFICA/ELIMINAZIONE DEI DATI
Gli interessati, ovvero coloro a cui corrispondono i dati registrati nelle banche dati, hanno diritto ad esercitare i diritti previsti dalle norme europee, sia presso le banche/finanziarie che hanno effettuato l'iscrizione, sia direttamente presso i gestori delle banche dati stesse.

In base al Regolamento europeo 2016/679 (articoli dal 15 al 22) si può chiedere, tra le altre cose:
- notizie sull'esistenza di propri dati detenuti e gestiti;
- che venga specificata l'origine dei dati personali detenuti (quale banca/finanziaria ha effettuato l'iscrizione, se ci si rivolge alla centrale rischi);
- chiedere gli estremi del titolare che gestisce i dati (quale centrale rischi gestisce i dati, se ci si rivolge alla banca/finanziaria);
- chiedere che i dati vengano integrati, corretti od aggiornati;
- chiedere che i dati vengano cancellati se trattati in violazione di legge (per esempio perché è già decorso il termine massimo di conservazione negli archivi);
- opporsi al trattamento nel caso in cui vi siano motivi legittimi (per esempio nel caso di trattamento delle informazioni "positive" dette sopra o nei casi estremi di contratti attivati indebitamente).

Nell’ultima versione del Codice di condotta è stata introdotta anche la possibilità di richiesta di intervento sui propri dati per annotare l’invio di contestazioni al venditore di beni o servizi relativamente ad inadempimenti che riguardino il contratto sottostante il credito (per esempio la mancata consegna di un bene acquistato col finanziamento).

Nella richiesta il soggetto interessato deve indicare, se possibile, il proprio codice fiscale e/o partita IVA, per agevolare le ricerche. Può procedere alla richiesta anche un soggetto terzo, debitamente delegato per iscritto.

Il riscontro da parte della banca/finanziaria o del gestore deve pervenire senza ingiustificato ritardo, al massimo entro un mese dall'invio della richiesta. Se necessario, tenuto conto della complessità e del numero delle richieste ricevute, il termine potrebbe prorogarsi di due mesi in questo caso il richiedente deve comunque essere informato -entro un mese dalla richiesta- della proroga e dei motivi del ritardo.

QUI un modello di richiesta approntato direttamente dal Garante della Privacy, da personalizzare. Il modello e' gia' approntato sotto forma di messa in mora (sollecito formale dove viene dettato un termine per adempiere) ed e' bene pertanto venga inviato per raccomandata a/r, in modo che possa costituire, se necessario, base utile per un eventuale successivo ricorso.

Costo dell'accesso ai dati
Le richieste di accesso ai dati (di esistenza dei dati, della loro origine e della finalita' di trattamento) per le quali viene fornito un indirizzo e-mail per la risposta sono gratuite, senza limiti di numero. Se viene richiesta una risposta con altri mezzi (fax, lettera, etc.) la gratuita' e' limitata alla prima volta nell'arco di un anno; per le richieste successive alla prima, sempre nell'arco dell'anno, si potra' dover pagare fino a 7 euro, a cui se ne possono aggiungere 3 (10 euro in totale) se la richiesta e' incompleta e sia quindi necessario un contatto per completarla. Per le risposte inviate oltre i termini (15 oppure 30 giorni, vedi sopra) non può essere richiesto alcun pagamento.

Ricorsi possibili in caso di risposta mancante o insoddisfacente
Per l'eventuale ricorso al Garante della Privacy o all'Autorita' giudiziaria si veda questa scheda PRIVACY: TUTELA DAVANTI AL GARANTE O AL GIUDICE

RIFERIMENTI NORMATIVI
- Codice di Condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti
Provvedimento Garante della Privacy n.163/2019 del 12/9/2019 che sostituisce il Provvedimento n. 8 del 16/11/2004
- Delibera Garante della Privacy n.18 del 18/3/2010 "Disposizioni in materia di contributo spese per l'esercizio del diritto di accesso ai dati personali conservati nei Sistemi di informazioni creditizie (Sic)
- Delibera Garante della Privacy n.438 del 26/10/2017 "Provvedimento interpretativo di alcune disposizioni del codice «SIC»"

- D.lgs.141/2010 art.125
- Dl 70/2011 art.8 bis modificato dal Dl 91/2014

LINK UTILI
- Sito CRIF area consumatori
- Sito CTC
- Sito EXPERIAN area consumatori

(Versioni precedenti della scheda: 1/1/2005 e 11/10/2010 con aggiornamento 6/2/2017)
 
 
 
ADUC - Associazione Utenti e Consumatori APS