Nella newsletter n. 526 del 9 agosto 2024 (doc. web n. 10043752), il Garante dà notizia di due provvedimenti con cui l’autorità ha sanzionato una banca – per 1 milione di euro – e una società di leasing – per 250 mila euro – per violazioni legate ad accessi non autorizzati a banche dati per verifiche di affidabilità creditizia, connesse al noleggio auto, in aggiunta all’inadeguato riscontro all’esercizio dei diritti.
I provvedimenti sono stati emessi a seguito di un reclamo presentato da una utente che si era vista negare un voucher per il noleggio di un’auto perché inserita in una “black list”. La società di leasing e la banca coinvolte non avevano fornito risposte adeguate alle richieste dell’utente riguardo ai dati personali utilizzati per tale decisione.
Fatti
L’inchiesta dell’Autorità riguarda il caso di una reclamante che ha presentato istanze a una società di leasing titolare del trattamento per ottenere informazioni riguardanti il rifiuto del suo contratto di noleggio auto a lungo termine e il suo inserimento in una lista nera da parte di una Banca, che agiva per conto del titolare.
Poiché l’interessata ritiene di non aver ricevuto riscontro soddisfacente alle sue richieste per l’esercizio del diritto di accesso privacy, presenta reclamo al Garante.
A seguito dell’attività investigativa dell’autorità, emerge che l’istituto di credito – appartenente al medesimo gruppo societario della società di leasing titolare del trattamento e che agisce in base a un contratto di servizi in essere con la società di leasing – ha effettuato per conto di quest’ultima accessi a un sistema pubblico specializzato per prevenire il furto di identità e per garantire la sicurezza delle transazioni (SCIPAFI), gestito dal Ministero delle finanze (MEF).
SCIPAFI è basato su un archivio centrale informatizzato il cui accesso, in base alla legge istitutiva (dlgs. n. 141/2010, art. 30-ter), è consentito ai soggetti “aderenti” individuati nelle banche, fornitori di servizi di comunicazione elettronica, gestori dell’identità digitale, utilities, assicurazioni, gestori di informazioni creditizie, in aggiunta ai soggetti tenuti all’adeguata verifica della clientela. Il medesimo articolo conferisce al Ministro il potere di individuare ulteriori categorie di soggetti con diritto di accesso al sistema.
Allo stato dei fatti, solo la banca aveva diritto di accedere al sistema SCIPAFI e unicamente per proprie finalità dirette; quindi, non anche per conto terzi e nemmeno per finalità diverse da quelle consentite: ad esempio, come nel caso di specie, al fine di valutare se stipulare o meno contratti di autonoleggio.
Solo in seguito, il MEF concede l’autorizzazione alla partecipazione al sistema di prevenzione SCIPAFI anche alla società di leasing.
Continua…