ESPOSIZIONI DEBITORIE SIC: PERCHÉ IL TESTO UNICO BANCARIO NON PUÒ PREVALERE SUL GDPR

Esposizioni debitorie SIC: perché il Testo Unico Bancario non può prevalere sul GDPR

Su Privacy&, un saggio di Franco Estrangeros e Roberto Pavia analizza il primato della normativa GDPR rispetto all’istituto del preavviso nelle Centrali rischi private (SIC). Una riflessione intorno alle implicazioni delle pronunce della Corte di Cassazione che limitano l’ambito di applicazione della tutela privacy per il trattamento dei dati personali.

“Non sono dati sensibili in senso tecnico, ma indubbiamente lo sono nella sostanza”: si tratta dell’iscrizione delle esposizioni debitorie nelle centrali rischi, nelle quali viene di fatto esternato lo status di singoli individui. Ciò risulta essere “capace di incidere, per l’appunto sensibilmente, sulla sua reputazione economica e sulla sua stessa esistenza sociale e professionale”, in particolar modo qualora l’iscrizione denotasse una condizione patologica del credito dando adito alla fama di cattivo pagatore.

A questo attrito fra l’interesse del singolo alla tutela dei dati, e l’interesse sociale a un’efficiente allocazione del credito, dedicano un saggio gli Avv.ti Franco Estrangeros e Roberto Pavia, Soci dello Studio. Il loro testo è apparso sul numero di luglio della rivista Privacy&.

Si tratta di un terreno accidentato, questo della contrapposizione fra norme SIC, norme privacy, e norme bancarie, nel cui ambito stata chiamata ad esprimersi negli scorsi mesi la Corte di Cassazione. Nel corso del loro saggio gli Avv.ti Estrangeros e Pavia ricostruiscono le principali tappe di questa contrapposizione, a partire dalla legge 675/1996 che per prima volta riconosceva una nuova tutela agli individui interessati dai trattamenti dei propri dati personali e dalle susseguenti prime linee guida SIC, arrivate nel 2001. Punto di svolta, il provvedimento generale del Garante della privacy del 31 luglio 2002, che contemplava l’istituto del preavviso nei confronti del moroso, finalizzato a che l’interessato potesse intervenire prima della segnalazione da parte della centrale rischi privata. Il preavviso, all’epoca indicato a mezzo raccomandata con avviso di ritorno, trovava semplificazione e ammodernamento con il Codice di Condotta del 2019, contemplando, oltre a una semplice telefonata registrata, anche soluzioni digitali fruibili tramite l’area riservata delle app di home banking.

Ma la vera svolta era quella che si era verificata col D.L. 6 dicembre 2011, quando la tutela privacy, anche in Italia, è stata riservata alle sole persone fisiche, escludendone l’applicazione alle persone giuridiche. Ne conseguiva che solo alle prime poteva riconoscersi il diritto al preavviso.

Con due recenti pronunce – la n. 14382 del 25 maggio 2021 e la n. 39769 del 13 dicembre 2021 – la Cassazione, spiegano gli Autori, “ha inaugurato un orientamento giurisprudenziale innovativo, che determina una forte limitazione dell’ambito di applicazione della tutela privacy per il trattamento dei dati personali degli interessati nei SIC, in particolare con riferimento all’obbligatorietà della prestazione del preavviso”. Viene infatti praticata un’interpretazione estensiva dell’art. 125 TUB, in base a cui la Corte ha decretato che “il profilo di legittimità della segnalazione in relazione all’onere di preventivo avviso al debitore […] assume rilievo unicamente ove si tratti di segnalazioni per operazioni di credito al consumo” e che “dalla mancanza di prova del perfezionamento dell’avviso presso il destinatario non può esser tratta la conseguenza dell’illegittimità della segnalazione ove questa riguardo, invece, finanziamenti”, non afferenti a operazioni di credito al consumo.

Ciò comporta, come specificano gli Autori che venga ridotta “la portata applicativa del Codice di deontologia, limitandola ai soli interessati che siano titolari di un rapporto di credito al consumo”, e che pertanto vi siano casi in cui, “anche qualora sia accertato che il preavviso all’interessato non sia stato eseguito nel rispetto dei precetti espressi dal Codice di deontologia, la violazione accertata non sarà comunque idonea a determinare l’illegittimità della segnalazione negativa e, quindi, la sua cancellazione”.

“Ci troviamo quindi di fronte a un quadro chiaramente conflittuale”, continuano, domandandosi: “Può essere riconosciuto un primato del TUB rispetto ai principii espressi dal GDPR? Può una norma nazionale e settoriale divenire il centro di un ristretto cerchio normativo tale da travalicare il più esteso precetto delle norme sovranazionali?”. Muove da qui una riflessione che evidenzia “la criticità di una norma nazionale che preveda standard di protezione differenziata, cioè una gradazione di tutela, del diritto alla protezione dei dati personali”.

“Può dunque ritenersi pacifico”, concludono gli Avv.ti Estrangeros e Pavia, “che il Codice di condotta disponga l’obbligo di preavviso e lo faccia in piena coerenza con il dettato del GDPR in osservanza del diritto fondamentale della protezione dei dati personali. Alla luce di quanto sopra, contrariamente a quanto da ultimo rilevato dalla Corte di Cassazione, il dettato dell’art. 125 TUB, successivo all’introduzione dell’obbligo, ha il solo scopo di qualificare precisamente l’ordine di preavviso per attribuirgli rilevanza anche ai fini della trasparenza bancaria, assoggettando la relativa condotta al controllo della Vigilanza. Null’altro”.

L’articolo – intitolato Il primato del GDPR. Il discusso ambito applicativo del preavviso nelle Centrali rischi private – è disponibile in versione integrale sul sito di Privacy&; il pdf è scaricabile cliccando qui.