DATA PROTECTION

Privacy e società finanziarie, regole di accountability nella valutazione dei clienti per l’erogazione del mutuo

È utile parlare di privacy e società finanziarie ora che queste ultime hanno iniziato ad usare criteri di analisi legati alla realtà virtuale della persona per valutare l’affidabilità e la solvibilità dei clienti, con evidenti impatti in termini di data protection. Ecco le regole da seguire per un corretto trattamento dati

09 Mar 2020
A
Giuseppe Artioli

Consulente della Privacy - Privacy Officer TUV SUD Schema CDP n.reg.331


Oltre che negli spazi pubblici (dove veniamo costantemente sorvegliati da, tracciati dai ponti radio dei cellulari o dalle reti Wi-Fi, monitorati da tracking di app via GPS o da altri dispositivi che possono seguirci in tutti gli spostamenti) anche all’interno della casa la nostra vita è sempre più “trasparente” grazie alla proliferazione di dispositivi IoT: ma lo scenario di limitazione della nostra privacy è ancora più ampio se, ai soliti giganti del web che facciamo entrare volontariamente in casa (Pinterest, Instagram, Facebook ecc.), affianchiamo le “Fintech”, banche e società finanziarie.

Privacy e società finanziarie: nuovi scenari

Da alcuni anni le società finanziarie stanno modificando il loro modo di valutare l’affidabilità e la solvibilità dei clienti: ai tradizionali canoni di valutazione basati su fatti reali e “sull’essere” di un individuo, si stanno affiancando nuovi criteri di analisi legati alla realtà virtuale della persona, al suo apparire, creata utilizzando informazioni raccolte dalla AI nella rete dei big data.

È il grande cambiamento introdotto dalla Data Driven Economy, l’attuale sistema di economia fondato sulla capacità di utilizzare al meglio l’immensa quantità di informazioni (reali e virtuali, veritiere e fake) presenti in rete.

Come dichiarato da Massimo Milano all’evento Cerved Next: “Gli algoritmi per anni sono passati inosservati. Negli ultimi anni, invece, inserire regole matematiche per affrontare problemi è diventata una pratica sempre più comune. La Data Driven Economy è una Algoritmic Economy. La criticità sta nel far dialogare infrastrutture legacy, basate su dati statici, innestando un approccio più Agile, capace di attingere anche a dati nuovi, in cloud o sui social ad esempio, per applicare l’intelligenza degli algoritmi per costruire servizi a misura di utente. L’augmented Intelligence, infatti, ci aiuta ad agire in funzione degli obiettivi di business e lo fa in tempo reale, nella consapevolezza che si tratta comunque di modelli statistici che non sono perfetti. La sfida è ridurre quanto più possibile l’indeterminato”.

Come risultato, le istituzioni finanziarie possiedono una vasta gamma di dati personali dei propri clienti, tra cui i dati anagrafici, lo stato familiare, lo stipendio, le abitudini di spesa. Oltre a informazioni ancora più delicate e sensibili come la disoccupazione dei clienti, malattie critiche o di lunga durata.

A questo si somma l’indice di affidabilità che gli algoritmi di AI assegnano in base alla nostra vita “in rete”, amicizie virtuali, propensione agli acquisti on line, stile di vita.

Non è un caso che i consumatori siano sempre più preoccupati per la vulnerabilità che deriva dalla gestione di questi dati e non meraviglia che un numero crescente di attacchi informatici siano rivolti alle società di credito (emblematici i casi di Experian nel 2015 ed Equifax nel 2017) senza contare i data breach come Unicredit nel 2019.

Tuttavia, sempre più spesso anche chi è attento alla propria privacy domestica deve affrontare pratiche e richieste che creano scenari dove emerge la fragilità del sistema privacy nella gestione quotidiana della burocrazia.

Impatto privacy sull’erogazione di un mutuo immobiliare

È una prassi ormai consolidata scattare immagini di ogni locale di un immobile per effettuare le perizie necessarie all’erogazione di un mutuo.

Nel caso in cui l’immobile in questione sia adibito a civile abitazione e sia abitato, si presentano le condizioni minime perché ci sia un trattamento dei dati soggetto alla normativa privacy?

Ai sensi del GDPR è “vietato trattare dati personali che rilevino l’origine raziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici, intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona…” (art.9 comma 1 Regolamento UE 679/2016).

Il GDPR è molto chiaro nell’identificare quali informazioni relative a un individuo siano da proteggere.

Non solo i dati cosiddetti “sensibili”: stato di salute, orientamento sessuale, fede religiosa, dati biometrici o sanitari ecc., ma anche quelli comuni (dati anagrafici, di contatto, relativi alla professione, alla vita privata in generale ecc.) tra cui possiamo sicuramente includere:

  • dettagli sulla famiglia e sullo stile di vita;
  • istruzione e formazione;
  • dettagli sanitari;
  • dettagli sull’occupazione e l’attività lavorativa.
WEBINAR
Machine Learning, Analytics e hybrid cloud a supporto della Cybersecurity. Ecco come in un webinar
Big Data
Intelligenza Artificiale

Non vi sono dubbi, quindi, che tra questi ultimi siano compresi i dati ricavabili dal contesto abitativo, luogo ove si esplicita per eccellenza la personalità individuale e familiare di ogni individuo.

Parliamo ora dei soggetti coinvolti nel trattamento dei dati:

  • “interessato” (art. 4 c.1 EU 679/2016): la persona fisica oggetto del trattamento;
  • “titolare” (art. 4 c.7 EU 679/2016): indica la persona fisica o giuridica, l’autorità pubblica, l’agenzia o altro ente che, da solo o congiuntamente con altri, determina gli scopi e i mezzi del trattamento dei dati personali;
  • “responsabile” (art. 4 c.8 EU 679/2016): indica una persona fisica o giuridica, autorità pubblica, agenzia o altro ente che tratta i dati personali per conto del Titolare del trattamento;
  • “elaborazione” indica qualsiasi operazione o insieme di operazioni eseguite su personale dati o su set di dati personali, anche con mezzi automatizzati, come la raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento o alterazione, recupero, consultazione, uso, divulgazione mediante trasmissione, diffusione o messa a disposizione in altro modo, allineamento o combinazione, restrizione, cancellazione o distruzione.

Quando un cliente (acquirente dell’immobile e soggetto interessato) incontra per la prima volta un intermediario finanziario (banca che eroga il mutuo) per richiedere il finanziamento, l’istituto di credito è il titolare del trattamento.

Se l’istituto di credito si avvale di società esterne per effettuare le perizie, quando la banca trasmette i dati del compratore a una di queste società al fine di effettuare le perizie, tale società diventa responsabile esterno/corresponsabile del trattamento dei dati personali.

Introduciamo ora un ulteriore elemento e ipotizziamo che l’immobile sia abitato.

In questo caso, anche l’inquilino (abitante dell’immobile) diventa “interessato” in quanto la pratica di perizia si svolge all’interno delle mura domestiche dove sono presenti elementi identificativi dell’inquilino tutelati dalla normativa privacy.

Se l’abitante dell’immobile coincide con chi vende l’immobile stesso, diventa esso stesso, oltre che i suoi familiari, soggetto interessato al fine della perizia dell’immobile stesso.

Se l’abitante è un inquilino in locazione, e quindi non coincide né con il nuovo acquirente né con il venditore, abbiamo un terzo soggetto interessato che non ha alcun rapporto giuridico o contrattuale diretto né con il nuovo acquirente, né con l’istituto di credito né con la società peritale.

Non tratteremo in questa sede della libertà individuale e di domicilio dell’inquilino, normata dal codice civile. Non interessa a una disamina privacy capire se banca e perito hanno o meno titolo ad accedere e visitare l’immobile oggetto della compravendita per il quale sussiste un compromesso di vendita e un contratto di locazione.

Sintetizzeremo bensì quali azioni devono mettere in atto i titolari del trattamento al fine di garantire e tutelare il rispetto della privacy di ogni soggetto interessato.

Come deve operare la banca nel rispetto del GDPR

Il GDPR richiede un iter di consenso molto dettagliato, preciso e puntuale per far sì che ogni interessato sia adeguatamente informato e possa esprimere il consenso in modo puntuale. Puntuale significa che l’interessato deve essere in condizioni di esprimere o negare il consenso per ogni trattamento effettuato dal/i titolari.

Sia la banca che la società incaricata della perizia, rispetto a tutti i soggetti interessati coinvolti devono quindi:

  • fornire un’informativa chiara, inequivocabile, dettagliata e proattiva;
  • acquisire il consenso per ogni trattamento da parte di tutti i soggetti in modo puntuale, esplicito e volontario.

Fotografare gli ambienti domestici oggetto della perizia: è possibile?

Il GDPR impone un’accurata analisi dei dati necessari e uno dei principi cardine del nuovo Regolamento privacy è quello di minimizzazione dei dati (art. 5).

La procedura di acquisizione della perizia va quindi impostata sulla base della privacy by design e della minimizzazione del rischio.

Le informazioni raccolte devono sempre essere adeguate, pertinenti e limitate rispetto al fine perseguito. Ogni trattamento superfluo è di per sé contrapposto a tale principio.

Questo indica che, dove la banca, o il perito incaricato possa conseguire il suo obiettivo con più e diverse modalità, devono essere sempre preferite quelle con un minor impatto sui diritti, sulla privacy e sulle libertà di tutti i soggetti interessati coinvolti.

Il perito incaricato dalla banca, per la stessa natura del suo incarico, ha tutte le facoltà e capacità professionali per raggiungere l’obiettivo di effettuare una perizia “de visu”.

Fotografare l’abitazione e i beni personali in essa presenti e riconducibili all’interessato costituisce un trattamento eccessivo, quindi illecito.

Raccolta del consenso

La banca deve acquisire il consenso al trattamento dei dati da parte di chi richiede il mutuo e deve inoltre comunicare all’interessato quali saranno i responsabili esterni ai quali saranno comunicati tali dati.

Il perito deve acquisire il consenso al trattamento dei dati da parte di chi abita (proprietario o inquilino, nel caso non coincidano da entrambe) e deve comunicare a chi abita l’immobile quali sono i responsabili esterni al trattamento dei dati ai quali saranno comunicati i dati.

Il perito deve inoltre porre particolare attenzione a tutti gli abitanti dell’immobile. Nel caso l’immobile sia abitato anche da interessati minorenni deve preoccuparsi di acquisire il consenso informato da chi esercita la patria potestà.

Il perito e la banca, preso atto del rischio elevato nel trattamento di questi dati personali, devono mettere in atto i controlli più stringenti per affrontare questi rischi. Per esempio, utilizzare e-mail crittografate per passare dati personali e limitare il numero di persone all’interno della azienda che possano accedere a tali dati.

Vincolare l’erogazione del mutuo al vincolo di fotografare casa

A tal proposito è d’obbligo sottolineare che l’esecuzione di un contratto o la fornitura di un servizio non può essere subordinata all’utilizzo di dati non necessari per l’esecuzione del contratto o alla prestazione del servizio stesso (principio di “minimizzazione del trattamento” sopra esplicitato).

Entrambi i titolari del trattamento (banca e perito) non possono in ogni caso addurre il mancato consenso dell’interessato (soprattutto quando l’interessato non coincide con il cliente che richiede il mutuo ed è quindi un soggetto terzo senza vincoli contrattuali diretti) alla realizzazione di archivi fotografici dell’interno dell’immobile abitato quale causa di mancata erogazione del mutuo.

Conclusioni

Questo “caso pratico” dimostra come in linea generale la gestione della privacy all’interno delle mura domestiche vada tutelata con maggiore attenzione rispetto a quanto venga fatto oggi concretamente, seguendo i principi sopra citati e ben regolamentati e indicati dal GDPR.

@RIPRODUZIONE RISERVATA