DATA PROTECTION

Uso di dati personali per scoring creditizio: dall’Austria un avvertimento per banche e servizi marketing

Un reclamo su un presunto uso illecito di dati personali raccolti a fini di marketing e poi impiegati per scoring creditizio potrebbe fare da apripista e generare una vera e propria reazione a catena nel settore dei sistemi di informazioni creditizie, con conseguenze nell’uso dei SIC anche in Italia. Ecco perché

31 Mar 2021
L
Gianmaria Le Metre

Avvocato, Privacy advisor

M
Andrea Michinelli

Avvocato, FIP (IAPP), LA ISO/IEC 27001:2013

Il 18 marzo scorso l’organizzazione no-profit NOYB (None Of Your Business), fondata da Maximilian Schrems a tutela degli interessi collettivi per la protezione dei dati personali, ha presentato un reclamo all’autorità di controllo austriaca per la protezione dei dati personali, lamentando un presunto utilizzo illecito di dati personali, raccolti a fini di marketing ma successivamente impiegati per valutazioni creditizie.

Quanto segnalato da NOYB, pur in corso di accertamento, dovrebbe far sorgere alcuni dubbi soprattutto a enti creditizi e di finanziamento che usano servizi di questo tipo.

Stando al legale di NOYB, il caso potrebbe esplodere in tutto il settore del rating creditizio e non è detto sia circoscritto alla sola Austria.

Il quadro generale e il reclamo di NOYB

Il caso segnalato coinvolge due società: da un lato CRIF GmbH, branch austriaca del colosso CRIF, società leader nel settore dei sistemi di informazioni creditizie (abbreviati di prassi come “SIC”), business information e soluzioni per la gestione del credito; dall’altro AZ Direct GmbH, società austriaca specializzata in servizi marketing diretto (data mining ecc.) e acquisizione della clientela.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

NOYB riporta che sarebbe avvenuta una cessione a CRIF, da parte di AZ Direct, di dati personali raccolti per altri fini, sì da essere indebitamente riutilizzati per scoring creditizio, perfezionando peraltro un modello di business consolidato tra le due società.

Com’è noto, le agenzie di valutazione del credito possono accedere a diversi dati presenti in pubblici registri e sistemi informativi dedicati e regolamentati. Questi dati sono un importante strumento per realizzare attività di scoring sui diversi soggetti richiedenti (ad es. per mutui, prestiti, apertura di conto corrente, ecc.) al fine di valutarne l’affidabilità creditizia e così decidere se concedere o meno il servizio finanziario richiesto.

Tuttavia, solo una piccola frazione di richiedenti può essere trovata in detti registri, inoltre spesso gli operatori del settore lamentano la parzialità – e dunque scarsa utilità – dei dati così raccolti. Maggiori informazioni utili possono arrivare da fonti diverse: società di varia natura – autorizzate dalla legge a cedere i dati solo per finalità di marketing – venderebbero, in realtà, dati personali alle società di business information così da creare un’enorme e più completa banca dati per le valutazioni creditizie.

L’intervento di NOYB parte da una richiesta di esercizio a CRIF dei diritti spettanti a un interessato, ovvero il diritto di accesso ex art. 15 GDPR, effettuata per conto di un utente austriaco che non si spiegava come la società per la gestione del credito fosse in possesso di suoi dati e informazioni personali.

Nello specifico, il richiedente ha demandato conferma circa un eventuale cambiamento delle finalità di trattamento e se fosse stato adeguatamente, previamente informato della raccolta dei suoi dati in merito.

Nella risposta di CRIF (arrivata a un mese esatto dalla richiesta, nei termini di legge) si è evinto che i dati trattati erano nome, cognome, data di nascita e indirizzo di residenza (parzialmente obsoleti, oltretutto) ma soprattutto che la fonte di acquisizione era AZ Direct.

Secondo quanto segnalato da NOYB pare che l’interessato in passato non avesse avuto alcun rapporto né con CRIF né tantomeno con AZ Direct. Per la legge austriaca, AZ Direct sarebbe autorizzata, per la sua attività, a raccogliere e utilizzare dati personali in quanto “editore di indirizzi”, tuttavia solo per finalità di marketing da parte di terzi.

Il trattamento sarebbe avvenuto senza adempiere all’obbligo di informativa previsto dagli articoli 13 e 14 GDPR e senza neanche avvisare l’interessato di finalità di trattamento diverse e aggiuntive rispetto a quelle previste alla raccolta dei dati.

Peraltro, nella sua richiesta l’interessato non aveva mai chiesto la cancellazione dei dati, espressamente rifiutandola, bensì la loro limitazione (art. 18 GDPR), senza però che i titolari vi abbiano provveduto.

I principi del GDPR violati, secondo NOYB

Le violazioni di legge contestate riguardano il principio di limitazione delle finalità trattamento (art. dall’art. 5.1, lett. b) e art. 6.4 del GDPR) e il principio di liceità del trattamento (art. 6 GDPR).

Quanto alla prima violazione, l’accusa rivolta ad AZ Direct è che la società abbia venduto i dati degli interessati – acquisiti per fini di marketing – trasferendoli a CRIF, nella consapevolezza che quest’ultimo soggetto li avrebbe utilizzati per finalità di scoring creditizio. Finalità certamente incompatibili con quella originaria.

Sempre in tema di violazione del principio di limitazione delle finalità, si contesta a CRIF di mantenere un database unico e “misto”, in cui i dati per finalità di marketing e quelli per finalità di scoring risultano mischiati e confusi tra loro.

Secondo il reclamo sarebbe “irrealistico” supporre che CRIF – come pare affermi in sua difesa – abbia originariamente raccolto i dati del reclamante allo scopo di svolgere proprie attività di marketing, per poi ulteriormente elaborarli allo scopo di valutare l’affidabilità in materia creditizia: difatti l’interessato non avrebbe mai ricevuto alcuna comunicazione pubblicitaria da parte di CRIF, a smentita di tale ricostruzione.

Riguardo la violazione del principio di liceità del trattamento, risulterebbe che – dall’informativa fornita a seguito delle richieste avanzate da NOYB – il trasferimento dei dati da AZ Direct a CRIF sarebbe basato sul legittimo interesse della società di marketing.

Secondo NOYB, tuttavia, non sussisterebbe alcun interesse legittimo in capo ad AZ Direct e, qualora esistesse, sarebbe senz’altro subordinato alle libertà e ai diritti fondamentali dell’interessato.

Allo stesso modo anche CRIF non potrebbe raccogliere e successivamente trattare i dati dell’interessato sulla base di un proprio interesse legittimo: qualora vi fosse, sarebbe senz’altro non prevalente se paragonato agli interessi e ai diritti fondamentali del richiedente.

Che lezione trarre dal caso segnalato da NOYB

Quanto si ipotizza possa essere stato realizzato dalle due società non sarebbe un caso isolato. Secondo quanto affermato da NOYB, non sarebbe un segreto che le società di scoring acquisiscano montagne di dati personali da società di marketing.

Il caso potrebbe fare da apripista e generare una vera e propria reazione a catena. Secondo l’avv. Alan Dahi di NOYB, CRIF GmbH potrebbe aver acquisito milioni di record da società di marketing, per anni e senza mai informare un solo interessato, e ha dichiarato che “il marketing diretto e la valutazione del credito sono due scopi completamente diversi e incompatibili. CRIF e AZ Direct stanno entrambi violando il principio della limitazione degli scopi. Inoltre, ci sono possibili violazioni del diritto commerciale austriaco, che stiamo esaminando.”

Se l’autorità austriaca accoglierà il reclamo di NOYB, CRIF dovrà astenersi da simili trattamenti e dovrà provvedere con la cancellazione di tutti i dati raccolti in violazione del GDPR.

Inoltre, l’autorità potrà comminare sia a CRIF che ad AZ Direct una sanzione pecuniaria fino a 20 milioni di euro o di un ammontare pari al 4% del fatturato annuo di ogni società.

L’uso dei SIC in Italia e le possibili conseguenze

Ricordiamo che in Italia, peraltro, l’uso di dati personali per scoring creditizio, in quanto delicata e altamente impattante forma di profilazione, è soggetta non solo al GDPR e al Codice di protezione dei dati italiano ma anche al “Codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti”, emanato nel 12 settembre 2019 dal Garante italiano, ad adesione volontaria ma di fatto sottoscritto da quasi tutti gli utilizzatori.

Tale Codice di condotta, in un caso come quello descritto sopra, paleserebbe evidenti violazioni, specie alla luce degli artt. 5 (modalità di raccolta e registrazione dei dati) e 6 (base giuridica e Informazione agli interessati).

Il rischio sussiste per due categorie: da una parte i gestori delle banche dati SIC e dall’altra i partecipanti che attingono a tali banche dati (come ad es. un ente creditizio) per effettuare le valutazioni creditizie. Sebbene il rapporto sia di titolarità autonoma, pure i meri partecipanti potrebbero trovarsi colposamente coinvolti da errori e vizi dei dati conferiti dal gestore.

In definitiva, naturalmente si dovrà monitorare il caso austriaco per sapere se e come le accuse di NOYB verranno accolte dall’autorità di controllo e con quale esito.

Nondimeno questo caso può rappresentare fin d’ora un importante avviso sia per agenzie di marketing (che non devono condividere i dati raccolti per finalità non previste né pertinenti) che per gestori di servizi SIC (che dovrebbero avere contezza di non utilizzare dati personali da fonti non lecite).

Nonché per gli utilizzatori di tali servizi che potrebbero avviare una verifica interna e sui propri fornitori (ad es. mediante audit, visto che una mera garanzia contrattuale potrebbe non bastare) per evitare di essere coinvolti, un domani, in operazioni come quelle segnalate da NOYB.

Oltre ai potenziali profili sanzionatori lato privacy, si rischia di avere serie ripercussioni quanto alla brand reputation, specie per soggetti che fondano molto del loro rapporto sulla fiducia con gli utenti, come gli istituti di credito e finanziamento.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr