Noleggio auto: il Garante Privacy ha sanzionato una banca e una società di leasing per trattamento illecito di dati personali
I fatti
Un cittadino, cliente della banca Credit Agricole Auto Bank, ha presentato reclamo al Garante per la Protezione dei dati personali a seguito della mancata giustificazione, da parte della banca in oggetto, sul rifiuto di un finanziamento per il noleggio a lungo termine di un auto.
La società di leasing così aveva dato riscontro alla richiesta di esercizio dei diritti da parte del reclamante:
“in fase prenotativa, […] procede alla verifica dei dati del contraente attraverso banche dati del Gruppo FCA Bank S.p.A (N.d.R – poi Credit Agricole) con lo specifico scopo di prevenzione di truffe ed insolvenze o di altri eventi simili […e] che ogni richiesta di locazione viene sottoposta ad un esame che si basa su elementi obiettivi che tengono conto di tutti gli elementi presenti nelle banche dati del Gruppo FCA Bank al fine di attribuire un giudizio sintetico sul grado di affidabilità e solvibilità del richiedente.”
A richiesta del reclamante di specificare a quali dati facessero riferimento, la società di leasing e la FCA Bank S.pA, specificavano che il reclmante risultasse inserito in una black list.
L’istruttoria del Garante
Il Garante ha proceduto a richiedere informazioni, avviando istruttoria sia nei confronti della banca che contro la società di leasing. La Banca confermava di aver espresso diniego al finanziamento, con inserimento del reclamante in black list, in seguito alla verifica della situazione reddituale dello stesso tramite il database Scipafi (Sistema centralizzato di prevenzione delle frodi).
La Banca ha specificato di avere eseguito:
“talune attività di verifica dei dati comunicati dai soggetti interessati nelle banche dati dalla stessa utilizzate al solo scopo di prevenire truffe e insolvenze o altri eventi simili”.
Scipafi, per essere chiari, è un database gestito dal Ministero dell’Economia e Finanza per consultare il quale è necessario ottenere specifica autorizzazione.
Per approfondire > Società di noleggio auto multata dal Garante: profilava gli utenti e li geolocalizzava
La sanzione
Nel corso dell’istruttoria il Garante Privacy ha accertato come la Banca non disponesse dell’autorizzazione del MEF per poter consultare il database Scipafi per conto della società di noleggio auto. L’accesso ai dati, inoltre, avveniva senza l’acquisizione della dichiarazione dei redditi del reclamante, dato necessario per il confronto con le informazioni contenute in Scipafi.
Infine l’informativa che veniva resa ai tempi non specificava né la tipologia né la provenienza dei dati trattati. Non specificava, neppure, se gli accessi ai dati fossero effettuati direttamente dalla banca o dalla società di noleggio auto.
Due quindi le sanzioni emesse:
- una sanzione da un milione di euro a Credito Agricole Auto Bank per trattamento illecito dei dati dei richiedenti dei finanziamenti;
- una sanzione da 250.000 euro alla società di noleggio auto, sempre per trattamento illecito di dati personali.
Il provvedimento completo è consultabile qui
Cerchi un esperto privacy a cui affidarti?
O necessiti di una consulenza specifica per la tua organizzazione?