Il Garante Privacy ha comminato una
sanzione di un milione di euro a Credit Agricole Auto Bank per
trattamento illecito di dati personali e reddituali di clienti
che richiedevano il finanziamento per il noleggio a lungo
termine di una autovettura. La banca accedeva al database
Scipafi (Sistema centralizzato di prevenzione delle frodi) -
anche per conto della controllata Drivalia, società di leasing
auto - pur essendo consapevole di non avere la necessaria
autorizzazione del Ministero dell'Economia e delle Finanze per
effettuare tali accessi. Auto Bank giustificava le verifiche al
fine di prevenire truffe, insolvenze, o altri eventi simili.
L'Autorità è intervenuta a seguito del reclamo di una cliente
che lamentava il mancato riscontro - da parte della Banca e di
Drivalia - alla sua richiesta di conoscere le motivazioni alla
base del diniego del noleggio a lungo termine di un'auto e
dell'inserimento del proprio nominativo nella lista dei cattivi
pagatori. In risposta alla richiesta di informazioni
dell'Autorità, la Banca affermava che il rifiuto del
finanziamento e l'inserimento del nominativo nella "black list"
erano dovuti all'esito negativo della verifica della situazione
reddituale della cliente effettuata nel database Scipafi. Nel
corso della complessa attività istruttoria, il Garante ha
accertato che la Banca non aveva l'autorizzazione del Mef per
poter consultare il database Scipafi per conto di Drivalia.
Inoltre, l'accesso era avvenuto senza che fosse stata prima
acquisita la dichiarazione dei redditi della cliente, documento
indispensabile per effettuare il confronto con le informazioni
contenute in Scipafi. Nel quantificare l'importo della sanzione
a CA Auto Bank, l'Autorità ha considerato la natura e la gravità
della violazione. Il Garante è intervenuto anche nei confronti
di Drivalia irrogando una sanzione di 250mila euro sempre per
trattamento illecito di dati personali. L'Autorità ha accertato
che la società non era autorizzata dal Mef ad acquisire e
trattare i dati dei clienti presenti in Scipafi, neanche
attraverso CA Auto Bank. Inoltre l'informativa resa ai clienti
non consentiva, all'epoca dei fatti, di individuare tipologia e
origine dei dati trattati, i database consultati per verificare
le posizioni reddituali dei clienti e se gli accessi ai database
fossero effettuati direttamente da Drivalia o tramite CA Auto
Bank. Entro il termine stabilito, CA Auto Bank e Drivalia si
sono avvalse della possibilità di estinguere il procedimento
mediante il pagamento in misura ridotta di un importo pari alla
metà della sanzione comminata.
Riproduzione riservata © Copyright ANSA
