CONOSCERE LA CAMERA
DEPUTATI e ORGANI PARLAMENTARI
EUROPA e ESTERO
Cerca nel sito
MENU DI NAVIGAZIONE PRINCIPALE
Vai al contenuto
Strumento di esplorazione della sezione Lavori Digitando almeno un carattere nel campo si ottengono uno o più risultati con relativo collegamento, il tempo di risposta dipende dal numero dei risultati trovati e dal processore e navigatore in uso.
salta l'esploraResoconti stenografici delle indagini conoscitive
Torna all'elenco delle indagini
Torna all'elenco delle sedute
Commissione VI
12.
Mercoledì 25 novembre 2009
INDICE
COMMISSIONE VI
FINANZE
Pag. 3
PRESIDENZA DEL PRESIDENTE GIANFRANCO CONTE
Sulla pubblicità dei lavori.
Audizione del presidente dell'Autorità garante per la protezione dei dati personali.
Pag. 4
Pag. 5
Pag. 6
Pag. 7
Pag. 8
Pag. 9
Pag. 10
Pag. 11
Pag. 12
Pag. 13
Pag. 14
Pag. 15
Pag. 16
Mercoledì 25 novembre 2009
Sulla pubblicità dei lavori:
Conte Gianfranco, Presidente ... 3
INDAGINE CONOSCITIVA SUL CREDITO AL CONSUMO
Audizione del presidente dell'Autorità garante per la tutela dei dati personali:
Conte Gianfranco, Presidente ... 3 10 11 14 16
Fluvi Alberto (PD) ... 11
Fugatti Maurizio (LNP) ... 10
Pizzetti Francesco, Presidente dell'Autorità garante per la tutela dei dati personali ... 3 12 14 16
Sigle dei gruppi parlamentari: Popolo della Libertà: PdL; Partito Democratico: PD; Lega Nord Padania: LNP; Unione di Centro: UdC; Italia dei Valori: IdV; Misto: Misto; Misto-Movimento per le Autonomie-Alleati per il Sud: Misto-MpA-Sud; Misto-Minoranze linguistiche: Misto-Min.ling.; Misto-Liberal Democratici-MAIE:
Misto-LD-MAIE; Misto-Repubblicani; Regionalisti, Popolari: Misto-RRP.
FINANZE
Resoconto stenografico
INDAGINE CONOSCITIVA
Seduta di mercoledì 25 novembre 2009
La seduta comincia alle 14,05.
(La Commissione approva il processo verbale della seduta precedente).
PRESIDENTE. Avverto che la pubblicità dei lavori della seduta odierna sarà assicurata anche attraverso l'attivazione di impianti audiovisivi a circuito chiuso e la trasmissione televisiva sul canale satellitare della Camera dei deputati.
PRESIDENTE. L'ordine del giorno reca, nell'ambito dell'indagine conoscitiva sul credito al consumo, l'audizione del presidente dell'Autorità garante per la protezione dei dati personali, professor Francesco Pizzetti.
Il professor Pizzetti è accompagnato dal dottor Mario de Bernart, dal dottor Daniele De Paoli, dalla dottoressa Roberta Pacetti e dalla dottoressa Laura Tempestini.
La tematica in oggetto è stata ampiamente sviluppata nel corso delle precedenti audizioni. I numerosi soggetti che abbiamo ascoltato ci hanno offerto molti spunti di riflessione, alcuni relativi ad aspetti del credito al consumo che richiedono interventi normativi.
Ci interessa, presidente Pizzetti, avere il suo parere sull'andamento di tale settore. Le do quindi la parola.
FRANCESCO PIZZETTI, Presidente dell'Autorità garante per la protezione dei dati personali. Ringrazio il presidente e gli onorevoli deputati della Commissione, che hanno ritenuto utile audire l'Autorità garante per la protezione dei dati personali. Naturalmente, ogni occasione in cui abbiamo la possibilità di partecipare alle audizioni e di entrare in contatto con il Parlamento è per noi molto importante. Personalmente, considero non solo un dovere istituzionale - com'è ovvio - ma anche un interesse dell'Autorità partecipare all'attività conoscitiva parlamentare, poiché ciò ci consente di cogliere le indicazioni, gli indirizzi e le opinioni dei rappresentanti elettivi degli italiani e di mantenere un rapporto diretto con le istituzioni politiche e con quelle rappresentative della nostra società.
Richiamerò rapidamente gli aspetti più significativi del credito al consumo, dal punto di vista dell'Autorità garante per la protezione dei dati personali. In particolare, svolgerò alcune riflessioni sulle tendenze e sulle principali richieste che ci sono state rivolte per estendere il monitoraggio dell'affidabilità e della puntualità dei pagatori anche a settori diversi da quelli tipici del credito al consumo. Coglierò altresì l'occasione, anche su suggerimento del presidente, per formulare alcune riflessioni sul disegno di legge antifrode, approvato dal Senato e ora all'esame della Camera.
Innanzitutto, merita rilevare che, in Italia, il credito al consumo è, per un verso, esistente nell'ordinamento e, per altro verso, non adeguatamente disciplinato: vi sono alcuni riferimenti nel Testo
unico bancario e nel codice del consumo, almeno per quanto riguarda la definizione, ma la disciplina normativa, specialmente per la parte che più ci interessa, vale a dire quella concernente l'attività di accertamento svolta dai sistemi di informazione creditizia, è molto lacunosa. Lo è al punto che il riferimento normativo principale del fenomeno che analizziamo è costituito, in fondo, dal cosiddetto codice della privacy (il testo unico recante la normativa in materia di protezione dei dati personali) e dall'attività provvedimentale del Garante.
È avvenuto anche in altri settori - mi riferisco, per esempio, al fascicolo sanitario elettronico -, ma nel caso di specie si può dire ancora più fondatamente, in quanto nell'articolo 117 del decreto legislativo n. 196 del 2003 c'è uno specifico riferimento al credito al consumo, che l'Autorità ha esercitato, in questi anni, una funzione suppletiva: con i propri provvedimenti generali, segnatamente con quelli adottati in relazione al «Codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti», essa ha svolto un'attività di regolazione del settore, che ritengo essere stata molto positiva.
Come gli onorevoli presenti sanno benissimo, perché è stato più volte evidenziato nelle precedenti audizioni, il fenomeno ha assunto maggiore rilevanza a seguito della direttiva 2008/48/CE, di imminente attuazione all'interno del nostro ordinamento. Si tratta della direttiva relativa ai contratti di credito ai consumatori, che introduce importanti innovazioni e abroga la normativa precedente. La nuova direttiva, all'interno della quale il fenomeno del credito al consumo è ampiamente considerato, anche con numerosi riferimenti al relativo contratto, prevede che gli Stati membri non soltanto adottino misure appropriate per promuovere pratiche responsabili in tutte le fasi del rapporto di credito, ma provvedano inoltre affinché, prima della conclusione del contratto di credito, il creditore valuti il merito creditizio del consumatore sulla base di informazioni adeguate, ottenute, ove necessario, consultando la banca dati pertinente. È
perfino fatto obbligo agli Stati membri di garantire agli operatori comunitari nel caso di crediti transfrontalieri l'accesso alle banche dati utilizzate nel proprio territorio allo scopo di verificare il merito creditizio dei consumatori (la norma appare finalizzata a diminuire il rischio di frodi nei diversi Paesi).
Ci troviamo, dunque, di fronte a un fenomeno che, da un lato, è in larga misura disciplinato dalle norme in materia di protezione dei dati personali e dal codice deontologico ivi espressamente contemplato, nonché dall'attività provvedimentale del Garante e, dall'altro, diventa sempre più rilevante, non solo e non tanto - mi permetto di dire - dal punto di vista economico.
Come avete appreso dalla CRIF, la quale ha fornito alla Commissione indicatori specifici, il ricorso al credito al consumo, ancora relativamente contenuto in Italia, è tra i più bassi in Europa, mentre i casi di frode sono limitati a una percentuale molto bassa di quanti fanno ricorso a tale forma di credito.
Il credito al consumo può costituire un volano per l'economia, pur non rappresentando, nella specifica realtà italiana, un fenomeno significativo come in altri Paesi (ma questa è solo una connotazione di fatto). Come ho accennato, pur esistendo e rappresentando sicuramente un aspetto degno di considerazione, le frodi sono sostanzialmente limitate.
Ciò nonostante, si tratta di un fenomeno che richiama giustamente l'attenzione del legislatore, in questo caso della Commissione finanze della Camera, anche per la connessione che adesso ha con l'attuazione della menzionata direttiva europea.
Allo stato attuale, tornando all'ordinamento italiano, fanno esplicito riferimento al contratto di credito al consumo gli articoli 124 e seguenti del TUB, ai quali si aggiunge, per il credito al consumo in senso proprio, la previsione relativa al codice di deontologia e buona condotta, contenuta nell'articolo 117 del Codice in materia di protezione dei dati personali.
Poiché nella disposizione da ultimo citata è espressamente richiamato il trattamento dei dati personali effettuato nell'ambito di sistemi informativi utilizzati a fini di concessione di crediti al consumo, è opportuno ricordare, soltanto per memoria, che in Italia esiste da tempo, fin dalla fine degli anni Sessanta, la Centrale dei rischi della Banca d'Italia. Tale struttura, però, è collaterale rispetto all'argomento di nostro interesse: il suo compito è quello di accentrare le informazioni sugli affidamenti concessi ai singoli clienti, all'interno del sistema creditizio, da ciascun intermediario. Anche dopo la fusione tra la più antica Centrale dei rischi e il più recente Archivio accentrato per la rilevazione dei rischi di importo contenuto, il sistema informativo di cui stiamo discorrendo non è direttamente finalizzato alla gestione diretta delle operazioni di credito al consumo, ma mira, più in
generale, alla ricostruzione dell'indebitamento globale dei clienti nei confronti del sistema bancario e finanziario. Si tratta, dunque, di un fenomeno importante, ma che non esaurisce la tematica che ci interessa.
Preso atto dunque che l'attività dell'Autorità garante, nonché il codice deontologico da noi promosso, costituisce l'architrave del sistema oggi esistente, dobbiamo rilevare che siamo intervenuti a regolare un fenomeno già esistente: la nascita della CRIF risale al 1988, mentre la prima legge in materia di protezione dei dati personali, dalla quale poi è derivata una parte non irrilevante della nostra attività regolatrice, è entrata in vigore nel 1997.
Anche quando l'Autorità è intervenuta nel settore, lo ha fatto, dunque, per regolare fenomeni già in atto sorti nell'indifferenza dell'ordinamento, che disciplinava soltanto la Centrale dei rischi della Banca d'Italia, con gli effetti di cui abbiamo detto poc'anzi, ma non prestava attenzione al credito al consumo. Si era generato, in tal modo, un fenomeno spontaneo di autorganizzazione, non regolato e senza base giuridica, del quale l'Autorità si è dovuta necessariamente occupare fin dai suoi primi anni di vita, inizialmente attraverso l'adozione di provvedimenti regolatori e in seguito, quando con il testo unico del 2003 è stata apprestata un'esplicita base normativa, promuovendo il codice di deontologia e buona condotta per i sistemi di informazioni creditizie privati utilizzati a fini di concessione di crediti al consumo.
È opportuno ricordare che il codice deontologico è stato promosso dall'Autorità, elaborato dagli operatori interessati e quindi sottoposto all'Autorità per l'approvazione definitiva. A stretto rigore formale, si tratta di una normativa non propriamente eteronoma, in quanto autonomamente sviluppata dagli operatori del settore; tuttavia, poiché l'ordinamento prevede che la promozione e l'approvazione spettino all'Autorità, possiamo affermare che il codice deontologico ha natura di norma atipica, condivisa ed elaborata dagli interessati in dialogo con l'Autorità.
Il codice deontologico si è rivelato uno strumento utile, perché ha stabilito alcune regole chiare, concernenti, in particolare, le modalità di raccolta del consenso degli interessati all'inserimento dei loro dati nei sistemi di informazioni creditizie (in seguito semplicemente SIC, ovvero centrali rischi, secondo la definizione precedente all'adozione del codice deontologico), ed i modi e i tempi di conservazione dei dati, cercando di ridurre e differenziare questi ultimi a seconda che si tratti di dati relativi a mancati pagamenti ovvero a pagamenti effettuati puntualmente (nelle centrali rischi sono conservati, infatti, anche i dati dei pagatori che hanno rispettato i propri obblighi). Il codice deontologico ha anche disciplinato il diritto di accesso degli interessati ai dati che li riguardano contenuti nei SIC, al fine di chiederne, eventualmente, e quando legittimo, la rettifica o la cancellazione qualora il SIC non vi abbia provveduto in maniera
autonoma.
Inoltre, abbiamo elaborato un modello unico di informativa, che ha messo ordine e reso più trasparente e comprensibile il trattamento dei dati effettuato dai SIC. Un aspetto molto delicato, sul quale non è necessario che mi soffermi, dal momento che se n'è parlato più volte nelle precedenti audizioni, è proprio quello dell'inserimento
accidentale, del nominativo di un soggetto in una centrale rischi, che può determinare conseguenze anche estremamente negative per la persona interessata.
Avendo riguardo al codice deontologico e al modo in cui esso ha funzionato in questi anni, non mancano talune criticità: l'Autorità è consapevole dell'opportunità di rimettere mano a tale testo, per migliorarne e completarne alcune parti. Si tratta di uno degli obiettivi che certamente perseguiremo con applicazione, tenendo conto, naturalmente, delle indicazioni che la Commissione e il Parlamento vorranno trasmetterci. L'Autorità dovrebbe assumere un atteggiamento diverso, invece, qualora il legislatore, ritenendo che la via migliore per perfezionare ulteriormente la regolazione di settore non sia quella di migliorare il codice deontologico, si orientasse a produrre una regolazione di livello legislativo. Il codice deontologico ha dato buoni risultati, ma rimane uno strumento di soft law, subordinato alla legge e operante, fintanto che la legge lo consente, in assenza di una legislazione che disciplini direttamente il
settore.
Nell'ipotesi in cui il legislatore non intenda intervenire in tempi rapidi, abbiamo individuato alcuni profili di criticità e riteniamo che sarebbe opportuno promuovere comunque un aggiornamento del codice deontologico, che, peraltro, è previsto ed è del tutto coerente con il sistema.
Le modifiche che potrebbero essere utili riguardano una più precisa individuazione della tempistica di conservazione dei dati. Oggi, soprattutto nel caso dei cosiddetti cattivi pagatori, vi sono incertezze sul momento dal quale decorre il termine massimo di conservazione delle indicazioni relative agli inadempimenti. Non è chiaro, ad esempio, se i trentasei mesi previsti decorrano dalla scadenza del rapporto contrattuale o da un altro momento.
Vi sono specificazioni ulteriori che sarebbe opportuno inserire nel codice, anche per corrispondere a esigenze puntualmente rappresentate nelle audizioni precedenti, che ovviamente abbiamo seguito con molta attenzione, anche leggendone i resoconti.
È stato più volte rilevato, non infondatamente, come le centrali rischi svolgano una funzione limitata alla mera ricezione, registrazione e segnalazione di dati grezzi, ragion per la quale il mancato pagamento o il suo ritardo diventa, di per sé, elemento di alert, che può determinare un rifiuto del credito al consumo senza che venga fornita alcuna indicazione del motivo che lo ha determinato.
Ovviamente, può essere opportuno individuare particolari motivazioni: un congelamento dei mutui, una situazione eccezionale, un'evenienza del tutto imprevista a causa della quale il debitore non ha potuto far fronte al proprio debito, una calamità naturale o un evento grave che ha colpito le sue proprietà; nel corso di una precedente audizione si è fatto riferimento anche al caso della spesa funeraria imprevista, che fa venire meno la liquidità accantonata per il pagamento della rata.
Possono darsi, dunque, situazioni eccezionali, che potrebbero ragionevolmente essere segnalate (beninteso, mediante un codice, non ex professo, altrimenti provocheremmo un altro disastro, cioè renderemmo pubblico il momento di difficoltà di chi non ha adempiuto). In tal modo, l'intermediario potrebbe essere indotto ad approfondire la situazione economica del debitore prima di negargli genericamente il credito. Introducendo le opportune codifiche, le centrali rischi non si limiterebbero più, quindi, alla pura e semplice registrazione della morosità, ma sarebbero tenute ad operare anche una qualificazione degli inadempimenti.
Ho citato casi generali di emergenze impreviste, come quello del congelamento dei mutui, ma ancora più rilevante - da questo punto di vista il sistema attuale è carente - è la mancata segnalazione del fatto che l'insoluto possa derivare da una truffa o dalla sottrazione di un documento di identità e dall'erogazione di un credito al consumo a nome del debitore. Prima che riesca a ottenere un provvedimento dell'autorità giudiziaria che lo scagioni, il malcapitato rischia di rimanere bloccato a lungo. In una precedente audizione è stato
richiamato il caso di un imprenditore che, essendo rimasto vittima di una frode, è stato escluso dal credito per un determinato periodo di tempo, con conseguenze negative per la sua impresa.
Quello evidenziato è un elemento di criticità che noi per primi sappiamo dover essere corretto. In proposito, sarebbe assai utile avere un'indicazione dal Parlamento. In particolare, vorremmo sapere se possiamo cominciare a ovviare ad alcune tra le carenze più significative della disciplina attuale, eventualmente d'intesa con le centrali rischi, o se, invece, dobbiamo attendere che il Parlamento faccia conoscere i propri orientamenti.
Una seconda segnalazione riguarda un fenomeno del tutto diverso, anch'esso emerso nelle audizioni già svolte (quindi, la Commissione ne è già al corrente). Premesso che stiamo parlando di sistemi di informazioni creditizie in tema di credito al consumo, che prevedono per i soggetti che vi accedono (banche e società finanziarie) un contratto specifico, con caratteristiche particolari, ci viene continuamente rivolta, da soggetti che non operano nell'ambito del credito al consumo, la richiesta di essere autorizzati ad accedere ai predetti sistemi di informazioni creditizie, per potervi inserire i dati in loro possesso e consultare quelli segnalati dagli altri partecipanti. Ovviamente, i SIC (o centrali rischi) sono molto interessati, poiché l'autorizzazione consentirebbe loro di estendere l'ambito della propria attività alla gestione di informazioni utilizzabili per valutare il rischio di impresa in settori che nulla hanno a che vedere
con il credito al consumo e che - voglio essere chiaro - anche la direttiva europea esclude dal novero del credito ai consumatori.
A tale riguardo non dobbiamo avere incertezze: tutti i contratti di somministrazione periodica, le utility, le assicurazioni, e via elencando, sicuramente non rientrano nell'ambito del credito al consumo, neanche facendo riferimento alla normativa europea. Questo è uno dei motivi che ci hanno finora impedito di prendere in considerazione le richieste di cui ho detto: non possiamo considerare ricevibili, non solo per l'ordinamento italiano ma anche sulla base della normativa europea, richieste di accesso a centrali rischi organizzate nell'ambito del credito al consumo per attività che con questo non hanno a che vedere.
Ciò non significa che siano preclusi diversi apprezzamenti, politici prima di tutto e, di conseguenza, anche sistemici, dei quali l'Autorità prenderebbe ovviamente atto, a prescindere dalle questioni relative alla competenza a provvedere e alla natura del provvedimento da adottare. Infatti, il legislatore potrebbe considerare meritevole di attenzione l'interesse a diminuire i fenomeni antifrode anche in settori diversi da quello del credito al consumo. Questo, però, è un altro tema: l'importante è non confondere i due aspetti e, soprattutto, non immaginare che, quando sostiene l'impossibilità di estendere ad altri settori l'utilizzo delle centrali rischi operanti nell'ambito del credito al consumo, l'Autorità intenda esprimere una valutazione di tipo politico, che sicuramente non le compete. Noi facciamo semplicemente rilevare come, nel sistema giuridico vigente, manchi la base normativa per una scelta come quella
ipotizzata.
All'Autorità, che è una conoscitrice del fenomeno, al quale ha dedicato e dedica ampia parte della propria attività, non sfugge che il problema delle frodi esiste in molti settori dell'economia e, in particolare, in quello delle utility, che si basa su contratti di somministrazione e fornitura dei servizi con pagamento differito o anticipato. Si può comprendere, dunque, l'interesse a istituire forme di tutela dalle frodi interne al settore operativo specifico.
Desidero sottolineare che un'analisi più approfondita di tale problematica rivela la presenza di almeno due questioni.
Da un lato, se immaginassimo centrali rischi estremamente raffinate, la cui attività si estendesse fino alla profilazione del singolo soggetto, faremmo venir meno il rischio di impresa e, per certi versi, persino alcuni elementi necessari di alcuni tipi di contratti: un assicuratore che pretendesse di conoscere tutto dell'assicurato,
fino a poter valutare tutti i rischi del contratto assicurativo, cesserebbe di essere tale, dal momento che nell'assicurazione è necessariamente presente un'alea che ripartisce i rischi sul complesso degli utenti.
D'altra parte, il problema esiste in alcuni ambiti e va crescendo nel settore delle utility liberalizzate, in cui il cosiddetto cattivo pagatore ha la possibilità di cambiare più volte il fornitore, continuando ad avvantaggiarsi del servizio anche se moroso nei pagamenti. In mancanza di un'adeguata struttura di avviso, tale fenomeno può verificarsi.
Siamo stati interessati a queste tematiche dal settore dei telefonici e, più recentemente, dall'Autorità per l'energia elettrica e il gas, nonché da altri soggetti meno significativi, perché legati a situazioni residuali.
Rispetto ai principali settori, allo stato attuale, non possiamo che ripetere quanto abbiamo più volte affermato: manca una base normativa che consenta la costituzione di sistemi antifrode dedicati, diversi dalle centrali rischi e limitati ad alcuni operatori. L'eventuale diversa scelta implica, naturalmente, valutazioni squisitamente politiche, che ho individuato, sia pure in termini generali, non toccando ovviamente a me entrare nel merito.
Certamente, dobbiamo sempre tenere presente che esiste anche l'altra parte, cioè il soggetto debole, il quale può trovarsi a fronteggiare una situazione di particolare difficoltà economica. In simili casi, occorre considerare che la registrazione nell'archivio di un sistema antifrodi può determinare l'esclusione del predetto soggetto dall'accesso al credito, per un periodo più o meno prolungato.
Inoltre, l'utilizzazione di dati personali per le indicate finalità deve essere effettuata con modalità tali da evitare l'acquisizione di informazioni non pertinenti, atte a rivelare comportamenti o preferenze che nulla hanno a che vedere con il rapporto creditizio o debitorio. Si tratta, come si può agevolmente rilevare, di una tematica che è estremamente complicato affrontare.
Aggiungo che, almeno per quanto riguarda taluni settori, il giudizio potrebbe essere diverso da quello finora espresso se l'ipotesi prospettata fosse quella di affidare a entità pubbliche, magari agli stessi soggetti regolatori, l'istituzione di sistemi antifrode in grado di garantire la non utilizzabilità delle informazioni per finalità diverse da quelle istituzionali (questo sarebbe illegittimo per chiunque, anche per il privato). Sarebbe meglio se sistemi di tale delicatezza fossero organizzati in stretta relazione con settori specifici e determinati, sulla base di motivazioni particolarmente meditate e con le garanzie adeguate, a partire dai soggetti chiamati a gestirli.
Passando ai sistemi antifrode in senso proprio, viene in rilievo il disegno di legge approvato in un testo unificato dal Senato, assegnato a codesta Commissione in sede referente. Avevamo indicato, in maniera piuttosto puntuale e dettagliata, diverse criticità, auspicando alcune correzioni al testo originario. Purtroppo, il testo approvato dal Senato ha tenuto conto in maniera molto parziale delle nostre indicazioni e, in alcuni casi, non dico che abbia peggiorato la situazione, ma ha creato ulteriori elementi di criticità.
Anche se composto di soli sette articoli, il provvedimento presenta un alto grado di tecnicità. In linea di massima, esso si compone di due grandi parti, delle quali una è visibilmente applicata all'altra, un po' come il balconcino barocco che, nelle nostre città d'arte, capita di vedere inserito in una facciata gotica: è evidente che c'è stato un intervento successivo.
Mi riferisco al sistema di prevenzione delle frodi nel settore assicurativo, di cui all'articolo 7. La norma è palesemente incoerente con la restante parte del disegno di legge: riguarda un tema affatto diverso dalla prevenzione della frode legata al furto di identità. Quest'ultima, infatti, è volta a evitare che con l'identità di altri soggetti, di cui ci si è appropriati fraudolentemente, si acceda al credito al consumo, acquisendo vantaggi economici a danno della vittima del furto. I primi
cinque articoli del provvedimento fanno riferimento a un sistema di prevenzione limitato al furto di identità.
Come ho ricordato, avevamo manifestato alcune perplessità, di diverso tipo e genere, a cominciare dalla struttura organizzativa interna al Ministero dell'economia e delle finanze, che viene istituita con legge, anziché con regolamento ministeriale. Si è preferito creare una struttura rigida, mentre il trend istituzionale, come voi sapete, è da tempo orientato a rendere fluide e modificabili le strutture amministrative, in conformità a un modello secondo il quale il legislatore attribuisce la missione e ogni amministrazione si organizza come meglio ritiene. In questo caso, invece, il legislatore ha indicato come deve essere realizzata la struttura. Questo è il primo problema.
Quanto al secondo problema, il delineato sistema di prevenzione prevede la potenziale acquisizione di una grande massa di informazioni, come può anche essere necessario per ricostruire il furto di identità, dal momento che occorre risalire dall'identità rubata a quella del soggetto che se n'è fraudolentemente appropriato. A fronte di un'esigenza che può essere anche ragionevole, avevamo suggerito di stabilire che si utilizzassero i dati presenti nelle banche dati già esistenti, evitando di crearne una nuova.
Purtroppo, la versione finale del provvedimento contempla, all'articolo 2, comma 1, lettera c), il «modulo informatico di allerta», la cui realizzazione rende necessario conservare nell'archivio centrale informatizzato ulteriori dati per un tempo genericamente indicato come quello «necessario agli aderenti ad accertare l'effettiva sussistenza del rischio di frodi». Ciò determina inevitabilmente la creazione di una nuova banca dati di durata e contenuto incerti.
Un'ulteriore criticità sta nel fatto che, nel passaggio dalla Commissione all'Assemblea, sono state ulteriormente ampliate le categorie di dati utilizzabili e di soggetti che possono accedere al sistema di prevenzione delle frodi. Alcuni di questi hanno poco a che fare con il credito al consumo e aprono la via ad una diversa platea di interessati, tra cui i fornitori di servizi di comunicazione elettronica, il che fa apparire il sistema di prevenzione del furto d'identità come già aperto alle utility. Lo ripeto: qui non si tratta di prevenire le frodi nel settore del credito al consumo, ma di impedire il furto d'identità. Mentre ancora manca un meccanismo di prevenzione delle frodi per i soggetti del sistema economico, preoccupa l'Autorità il fatto che sia molto ampia - comprendendo fornitori di servizi di comunicazione elettronica, cioè gestori telefonici, fornitori di servizi interattivi associati e imprese di
assicurazione - la platea degli aderenti al sistema di prevenzione delle frodi configuranti furto di identità. Si prefigura, dunque, un sistema allargato. Questo è il terzo elemento di criticità.
Riassumendo, i tre elementi di criticità individuati sono: la creazione di una nuova banca dati, peraltro dai tempi e dai contenuti incerti; il numero molto ampio di dati acquisiti al fine di prevenire le frodi configuranti furto di identità; il numero dei soggetti che possono accedere al sistema, aumentato nel corso dell'iter del provvedimento presso il Senato.
Un'altra disposizione desta preoccupazione. Abbiamo osservato più volte - e credo sia alquanto evidente - che sono già molti i dati di cui il disegno di legge approvato dal Senato consente l'acquisizione. Ciò nonostante, il comma 2 dell'articolo 3 rimette a un decreto del Ministro dell'economia e delle finanze - previo parere non vincolante delle competenti Commissioni parlamentari, nonché istruttoria motivata e parere del Garante per la protezione dei dati personali, cosa di cui ringraziamo - l'individuazione di ogni altro dato idoneo al perseguimento delle finalità del provvedimento. L'Autorità garante apprezza molto, il Parlamento è comunque sentito, però viene rimesso al Ministero dell'economia e delle finanze, ossia a un settore dell'amministrazione, il compito di definire una questione delicata come quella dell'ampliamento dei dati oggetto di riscontro.
Questi sono i principali elementi di criticità concernenti il sistema antifrode e di prevenzione del furto di identità.
Molto più rilevante è l'articolo 7. Ho detto prima - e penso di poter parlare a nome di tutto il collegio - che l'Autorità non è pregiudizialmente contraria alla creazione di sistemi antifrode, né è inconsapevole del problema economico sottostante. Tuttavia, sebbene l'ordinamento ancora non disciplini compiutamente il credito al consumo, settore sostanzialmente rimesso alla supplenza dell'Autorità e al codice deontologico (nel quale già sono rilevabili molti elementi di criticità), l'articolo 7 apre a un altro sistema antifrode in un settore molto rilevante come quello assicurativo, con una norma sintetica che attribuisce un ruolo notevole ai Ministeri dell'economia e delle finanze, della giustizia, dell'interno e dello sviluppo economico.
Colpisce il fatto che il nuovo sistema definito per grandi tratti nell'articolo 7, finalizzato a prevenire le frodi in un ambito estraneo al credito al consumo, quando ancora quest'ultimo è regolato da norme di soft law, sia istituito in un settore in cui esiste già l'ISVAP, ossia una struttura pubblica deputata precisamente a tale compito.
Siamo a tal punto convinti della posizione sinteticamente espressa anche in questa sede che abbiamo responsabilmente collaborato con l'ISVAP, al quale abbiamo anche fornito un parere tempestivo sullo schema del nuovo regolamento adottato da tale Autorità. Proprio perché ci rendiamo conto che non si può essere insensibili alle problematiche che interessano il settore assicurativo, abbiamo ritenuto, per diverse ragioni - alcune di sistema (siamo pur sempre cittadini italiani anche noi), altre istituzionali (non abbiamo interesse al moltiplicarsi di banche dati e di strutture dedite al trattamento dei dati personali) -, che la via preferibile fosse quella di consentire all'ISVAP di svolgere al meglio il proprio lavoro. L'articolo 7, invece, istituisce comunque un nuovo e diverso sistema di prevenzione delle frodi nel settore assicurativo (delle frodi in senso tecnico, non di quelle configuranti furto d'identità).
Vi ringrazio.
PRESIDENTE. Presidente Pizzetti, lei sa, perché ne abbiamo già parlato quando ci siamo occupati del tema delle frodi, che in questa Commissione vi è una sensibilità diversa rispetto al Senato. Questa è anche la ragione per la quale la proposta di legge alla quale lei ha fatto riferimento - l'atto Camera n. 2699 - non è stata ancora inserita nel calendario dei nostri lavori. Tutte le perplessità da lei espresse, presidente, a partire dalla necessità di sopprimere l'articolo 7, sono da noi largamente condivise. Prevedo, dunque, che il provvedimento non farà molta strada.
Do la parola ai deputati che intendano intervenire per porre domande o formulare osservazioni.
MAURIZIO FUGATTI. Professor Pizzetti, i temi sui quali si è soffermato nella relazione ricalcano questioni che abbiamo sollevato anche nelle precedenti audizioni, soprattutto per quanto riguarda l'attività delle centrali rischi e i registri in cui vengono iscritti i cosiddetti cattivi pagatori. Al di là degli aspetti dei quali ha giustamente trattato, ve n'è uno specifico in ordine al quale mi interessa avere il suo parere.
Nel momento in cui una persona regolarizza l'inadempimento che ne ha causato la segnalazione a una centrale rischi, si provvede alla cancellazione dei dati ad essa relativi dopo un determinato periodo di tempo. Tuttavia, nonostante l'intervenuta cancellazione dagli archivi dei sistemi di informazione creditizia, sappiamo che i singoli istituti di credito possono conservare traccia degli inadempimenti relativi ai rapporti intrattenuti con la propria clientela anche per cinque, dieci o anche quindici anni: non c'è un limite. Questo, per quanto riguarda la privacy, è un aspetto molto importante. L'avete mai valutato? È vero che una norma prevede la cancellazione, ma il materiale cartaceo rimane all'interno degli istituti di credito anche
per molti anni, con pregiudizio per la privacy del singolo cittadino.
ALBERTO FLUVI. Ringrazio il professor Pizzetti, perché è sempre molto interessante ascoltare le audizioni dell'Autorità garante per la protezione dei dati personali.
La sua relazione, professore, è stata incentrata sul rapporto tra le banche dati, le centrali rischi e i soggetti che erogano il credito al consumo. Non sono moltissimi i soggetti abilitati a svolgere l'attività di informazione creditizia. Peraltro, come lei ci ha spiegato, tale attività è disciplinata, in assenza di una legislazione ad hoc, da un codice deontologico, promosso dall'Autorità, elaborato dai soggetti interessati e fatto proprio dall'Autorità medesima, che dà vita a un sistema di soft law.
Non so quali iniziative assumeremo al termine di questo ciclo di audizioni, ma sicuramente abbiamo avuto modo, in questi mesi, di farci un'idea piuttosto compiuta di tutto il comparto del credito al consumo.
Professore, vorrei chiederle di fornirci ulteriori delucidazioni, in sede di replica, in merito alle criticità del predetto codice deontologico, alle quali pure lei ha fatto più volte riferimento. Ad esempio - mi ricollego alle considerazioni svolte dall'onorevole Fugatti - merita qualche chiarimento la questione dei tempi di conservazione dei dati: non ne sono a conoscenza, ma immagino che i termini siano diversificati. Le chiedo se può essere più preciso.
Inoltre - svolgo un ragionamento valido sul piano teorico -, ricordo soprattutto a me stesso che le centrali rischi non effettuano alcuna valutazione concernente il merito creditizio, ma si limitano a mettere i dati contenuti nei propri archivi a disposizione dell'istituto di credito o del diverso intermediario finanziario, il quale valuta sulla base di tali dati se erogare o meno il credito richiesto.
Mi rendo conto che si tratta di un discorso teorico ma, paradossalmente, l'adozione di criteri rigidi è a maggiore garanzia della quasi totalità della platea dei possibili utilizzatori del credito al consumo o di altri strumenti finanziari. Per questo motivo, vorrei capire, se l'Autorità dispone di dati specifici, quanti risultino penalizzati - nel senso che non viene loro erogato il credito al consumo, il mutuo o altra facilitazione finanziaria - a causa delle segnalazioni delle centrali rischi relative a una rata insoluta o a una bolletta non pagata. Avete dati? Siamo in grado di avere le quantità? In base a un ragionamento di carattere generale, un rigore maggiore va teoricamente a vantaggio del consumatore che rispetta i propri impegni, perché riduce i costi.
Infine, lei sa benissimo, professore, che dal 1o novembre di quest'anno la platea dei soggetti che possono erogare credito al consumo si è molto allargata (si sono aggiunti la grande distribuzione e altri operatori economici). Credo di aver capito, ma chiedo conferma: questi soggetti possono accedere alle centrali rischi oppure no?
Sulle questioni relative al furto d'identità mi riservo di intervenire in altra sede.
PRESIDENTE. Presidente Pizzetti, lei conosce bene la mia posizione in merito al consenso da esprimere per il trattamento dei dati personali. Dal ciclo di audizioni è venuto fuori - ahimè - che anche nel caso dei contratti rientranti nell'ambito del credito al consumo, il consumatore viene messo davanti a tanta e tale documentazione che finisce per apporre la propria firma negli spazi contrassegnati da due semplici crocette, senza leggere alcunché.
Vorrei sapere, quindi, se l'Autorità stia valutando la proposta - che dal mio punto di vista considero valida - di sottoporre al consumatore un apposito modulo di autorizzazione al trattamento dei propri dati, separato dal contratto, in mancanza del quale il consenso dovrebbe presumersi negato. Poiché ci sta a cuore anche la chiarezza nella formulazione dei contratti, l'argomento non è secondario: il consumatore, infatti, soprattutto nel caso di credito al consumo, è disposto a sottoscrivere qualsiasi clausola pur di ottenere il finanziamento di cui ha bisogno. Mi piacerebbe
conoscere il suo parere al riguardo, presidente.
I colleghi Fluvi e Fugatti hanno affrontato la questione dei termini di conservazione dei dati all'interno dei sistemi di informazione creditizia. Credo si possa affermare, dopo questo lungo ciclo di audizioni, che i colleghi abbiano individuato un aspetto molto critico della disciplina vigente. Come anche lei ha riconosciuto, presidente, le audizioni svolte hanno consentito di rilevare come quello che dovrebbe essere un servizio, anche a garanzia del consumatore, si trasformi, in realtà, in una trappola infernale.
Il codice deontologico prevede, per un verso, che si possa accedere ai dati negativi registrati in un sistema di informazioni creditizie a decorrere da un termine che varia a seconda del tipo di sistema, del soggetto inadempiente, del numero e della successione temporale degli inadempimenti e, per un altro verso, che i dati relativi alle morosità di due rate o di due mesi poi regolarizzate possono essere conservati per dodici mesi.
Vorrei conoscere il suo parere, presidente, su queste e sulle altre specifiche modalità di conservazione dei dati.
Credo si possa affermare con chiarezza, come abbiamo detto anche alla CRIF, che le segnalazioni da parte dei sistemi di informazioni creditizie dovrebbero essere accompagnate dall'indicazione - l'idea di adottare dei codici è sicuramente molto buona - del motivo che ha causato l'inadempimento. È anche vero, d'altra parte, che manca un sistema per informare il consumatore circa le conseguenze della registrazione in un SIC (ad esempio, negli archivi della CRIF). Sarebbe opportuno instaurare una comunicazione diretta fra chi svolge il servizio di registrazione e il consumatore: dopo il primo ritardo, si potrebbe scrivere, avvisando che il mancato pagamento di un'altra rata e/o il decorso del termine previsto comportano la registrazione dell'inadempimento e la conservazione dei relativi dati per un certo numero di mesi, con la conseguenza che potrebbero essere rifiutati, eventualmente, ulteriori finanziamenti. Tale meccanismo tutelerebbe maggiormente il consumatore e
realizzerebbe una vera disclosure delle attività svolte dai SIC (forse, il servizio dovrebbe essere reso dalle banche).
Il problema è che le banche tardano nel comunicare l'eventuale pagamento sopravvenuto alla CRIF (o a un altro SIC), ragion per cui il cliente, pur avendo provveduto a regolarizzare l'inadempimento, si trova comunque incastrato in un congegno infernale: nonostante abbia pagato, la registrazione e la conservazione dei dati relativi all'inadempimento potranno marchiare a vita la sua reputazione creditizia.
Presidente, sono sanzionabili i comportamenti scorretti o le omissioni degli attori che sono sul mercato?
Do la parola al presidente Pizzetti per la replica.
FRANCESCO PIZZETTI, Presidente dell'Autorità garante per la protezione dei dati personali. Vi ringrazio molto per avermi rivolto domande estremamente interessanti, alle quali spero di riuscire a rispondere in maniera soddisfacente.
Alla domanda dell'onorevole Fugatti, riferita a quello che succede all'interno del sistema bancario, rispondo che abbiamo già predisposto apposite linee guida in tema di trattamento di dati personali della clientela nell'ambito di rapporti bancari, le quali disciplinano i rapporti tra banche e clienti.
Anche a seguito di segnalazioni, da circa un anno e otto mesi, dalla primavera del 2008, stiamo sviluppando un'attività ispettiva molto intensa. Proprio domani il collegio dovrebbe deliberare la prosecuzione e conclusione di tale attività per una prima importante tranche, che riguarderà la circolazione delle informazioni all'interno dei sistemi bancari. Per intenderci, banalizzando molto - con l'avvertenza che si tratta soltanto della punta dell'iceberg -, mi riferisco a un fenomeno che può capitare un po' a tutti noi di constatare. Anche recandoci in un'agenzia diversa da quella presso la quale abbiamo aperto il conto, con poche operazioni, il dipendente allo sportello può venire a conoscenza di
tutti i movimenti effettuati sul conto: è un'indiscussa comodità, ma anche un grandissimo rischio. Ripeto che si tratta soltanto della punta dell'iceberg. Abbiamo bisogno di capire come avvengono le comunicazioni all'interno delle holding, fra banche e banche, e se rimane traccia dei soggetti che effettuano accessi ai conti correnti. È certamente innegabile la comodità di accedere al proprio conto da una qualsiasi agenzia, ma un domani, se dovesse sorgere il dubbio di un accesso illecito, dovrebbe essere almeno possibile rintracciare quando, come e da quale postazione esso è stato effettuato.
Nell'ambito di tale attività - non è la risposta alla sua domanda, onorevole Fugatti, ma serve a darle il quadro dell'attenzione che prestiamo al trattamento dei dati personali in ambito bancario e anche un anticipo di alcune indicazioni emerse dalle ispezioni che stiamo conducendo -, abbiamo verificato, in particolare, che un gruppo bancario italiano si è dotato di strutture di alert, di controllo e di verifica particolarmente efficaci, significative e incisive. Peraltro, attraverso tali dispositivi è stato possibile, nel corso degli accertamenti ispettivi svolti dall'Autorità presso istituti bancari, risalire ai soggetti che avevano effettuato accessi indebiti ai dati bancari dei clienti, nonché quando tali accessi erano avvenuti e le interrogazioni effettuate. Anche altri istituti si sono dotati di analoghi sistemi.
La nostra prospettiva è, dunque, quella di completare l'attività ispettiva presso altri gruppi del sistema bancario italiano, per avere un quadro completo della situazione, sulla base del quale predisporre, spero entro il mese di marzo, alcune linee guida o prescrizioni che consentano di mettere in sicurezza, nell'ambito dei sistemi bancari, gli accessi ai dati dei clienti e la circolazione delle informazioni.
Siamo impegnati - voglio dirlo, scusandomi se vi rubo trenta secondi - in un enorme sforzo a tutto campo: abbiamo svolto questo lavoro sui gestori di servizi telefonici e lo stiamo svolgendo sull'anagrafe tributaria (il presidente ci ha seguito, nella passata legislatura, con grande attenzione e condivisione), sul sistema bancario e su altre strutture dell'ordinamento, perché è molto accentuata la sottovalutazione dei pericoli derivanti dalla trasmissione incontrollata dei dati e dalla loro conservazione nelle banche dati in un mondo sempre più dominato dall'elettronica. Tutti abbiamo chiaro che, se si ha una cassetta di sicurezza, si vede com'è gestita e ci si compiace che ci sia un grosso lucchetto. Sul conto corrente, sul deposito titoli, su tutti i beni mobiliari, che sono semplicemente dati memorizzati, l'attenzione del cliente e dell'istituto è diversa. Se ci rappresentiamo come clienti che possiedono una cassetta di sicurezza nel
caveau della banca, pensiamo immediatamente alle belle porte blindate che la proteggono, mentre ci sfugge quale possa essere il sistema informativo utilizzato per la protezione dei dati. Su questo stiamo lavorando, onorevole, e continueremo a farlo.
Un altro settore nel quale siamo impegnati è quello dei dati bancari, contenenti una notevole quantità di informazioni sul cliente, per essere sicuri che siano trattati esclusivamente per fini bancari. Dai movimenti di un conto corrente si può ricavare una quantità di informazioni spaventosa.
Prima o poi dovremo chiederci, per rassicurare i cittadini italiani, se i dati dei clienti deducibili dalla carta di credito o da un estratto conto siano trattati sempre e soltanto per le finalità istituzionali del contratto. Quello appena formulato è, ovviamente, un interrogativo, non un'accusa: non abbiamo alcun elemento per una valutazione, però sentiamo la responsabilità di procedere ad opportune verifiche.
Per esempio, abbiamo constatato un'impressionante attività di profilazione dei clienti da parte dei gestori telefonici, i quali utilizzavano i dati di traffico non per pubblicarli sui giornali, ma per trarne informazioni sulla loro clientela. Se, per un verso, questo tipo di attività è utile, perché consente di ricevere l'offerta commerciale adatta al proprio tipo di traffico telefonico, per un altro, tuttavia, può essere terribilmente inquietante se fatta
senza alcuna consapevolezza da parte dell'utente. Se un cliente ha un consistente traffico telefonico nella stessa provincia, è quello ideale a cui inviare un'offerta di contratto di tipo provinciale (comunque, c'è già un indicatore che è stato individuato come un certo tipo di cliente). La profilazione dei dati è importante, purché fatta rendendone consapevole il cliente. Ai gestori telefonici, infatti, stiamo avanzando due richieste: in primo luogo, di comunicarci come organizzano tale sistema e di chiedere la nostra autorizzazione preventiva; in secondo luogo, di informare i clienti. Faremo lo stesso per le banche.
Il fenomeno che lei ha segnalato, onorevole Fugatti, si può, di fatto, verificare, ma è palesemente illecito. La banca custodisce i dati relativi agli inadempimenti soltanto per le sue finalità istituzionali e fin quando servono sono necessari per le finalità per le quali sono raccolti, ma quando manca la base normativa che consente la conservazione, tutto ciò che tratta è illecito. Dopo di che, come non si può chiedere alla polizia di garantire che nessuno rubi mai, ovvero che non si verifichino più scippi, a minor ragione si può chiedere a noi, anche tenendo conto delle nostre reali forze, di garantire che non vi siano trattamenti illeciti dei dati personali.
PRESIDENTE. Posso chiederle, presidente, perché si dovrebbe trattare diversamente la profilazione dei clienti a seconda che sia operata dalle banche o dalle assicurazioni?
Lei sostiene di non poter consentire che le assicurazioni utilizzino dati, perché viene meno il rischio di impresa. A me sembra che le banche utilizzino a proprio vantaggio lo stesso sistema: utilizzando la banca dati, profilano l'utente come buono o come cattivo pagatore. Il rischio di impresa e l'intuitus personae dove vanno a finire? Perché le due situazioni sono diverse?
FRANCESCO PIZZETTI, Presidente dell'Autorità garante per la protezione dei dati personali. Nel riferirmi alle assicurazioni, ho svolto una considerazione incidentale, forse in maniera troppo rapida. Intendevo dire che, se un assicuratore potesse conoscere - non che accada, beninteso -, grazie a banche dati, la struttura del DNA del cliente il quale desiderasse stipulare un contratto assicurativo sulla propria aspettativa di vita, disporrebbe di un'informazione che potrebbe persino azzerare, in certi casi, il rischio di impresa. Comunque, partendo da un determinato profilo, una tecnologia sanitaria in continuo progresso potrebbe consentire di formulare previsioni sempre più prossime alla realtà e, conseguentemente, di ridurre in misura sempre maggiore il rischio d'impresa. Dobbiamo abituarci al fatto che viviamo in una società in cui l'incrocio dei dati, per niente
oneroso ed estremamente facile, può creare situazioni molto pericolose per i cittadini. Questo era il senso del mio discorso per quanto riguarda le assicurazioni.
Quanto alle banche, ho voluto sottolineare non che esse profilano i clienti per diminuire il rischio d'impresa, perché questo è un problema da centrali rischi, ma che dall'estratto conto di una carta di credito possono conoscere il tipo di cliente, i suoi gusti, i posti che frequenta, i viaggi che preferisce fare. La banca non può servirsi del patrimonio di informazioni che si possono desumere da una carta di credito - e che costituisce un valore economico, come voi capite - per finalità diverse da quella di vedere onorati i pagamenti promessi dal cliente quando l'ha utilizzata. Non dico che succeda, anzi spero che non succeda affatto, però è uno dei tanti aspetti da considerare. Laddove c'è un uso massiccio di dati per finalità contrattuali, tocca a noi garantire, nei limiti delle nostre possibilità, che tali dati siano trattati nel rispetto del contratto e non siano utilizzati, invece, per finalità
diverse da quelle contrattuali.
Per i gestori telefonici, come ho accennato, stiamo svolgendo un lavoro notevole, finalizzato a garantire che essi usino i dati per finalità strettamente contrattuali e che, ove desiderino servirsene per profilare i clienti, lo facciano con il loro consenso e non per finalità ulteriori.
Il problema interessa la Commissione, la cui competenza abbraccia molteplici settori economici, perché è evidente che i dati di cui stiamo discorrendo hanno un enorme valore economico. Tuttavia, non va sottaciuto come, nello stesso tempo, tali dati attengano anche alla sfera di libertà del cittadino: l'estratto conto della carta di credito, se usato in un certo modo, può far sì che una persona non sia più libera di fare alcunché senza che il funzionario della banca che ha rilasciato la carta venga a saperlo.
Per quanto riguarda i comportamenti da lei indicati, onorevole Fugatti, è ovvio che, se dovessimo verificarne l'esistenza, non potremmo che dichiararne l'illiceità e applicare le sanzioni conseguenti. Tenevo, però, a far sapere alla Commissione che sul settore bancario (come su altri) lavoriamo da anni, perché siamo mossi dalla preoccupazione che ho voluto rappresentare.
Per quanto concerne le criticità del codice deontologico sotto il profilo dei tempi di conservazione dei dati, posso fornire indicazioni precise: i dati riferiti agli inadempimenti regolarizzati sono conservati fino a un massimo di ventiquattro mesi dalla regolarizzazione; quelli riguardanti inadempimenti non regolarizzati sono conservati per trentasei mesi, ma il termine è mobile, perché la formula normativa non è chiara circa il momento di decorrenza (tale aspetto, come ho detto in precedenza, rappresenta una delle criticità del codice deontologico).
Vi colpirà sapere che sono registrati anche i dati positivi: voi pagate la rata e il dato rimane per trentasei mesi dalla data di cessazione del rapporto o di scadenza del contratto, perché i SIC sono finalizzati a creare la vostra credit identity, ossia la vostra identità in quanto pagatori. A loro interessano il cattivo pagatore e quello buono. Infatti, sostengono di svolgere una funzione fluidificante: quando si sa che un cliente è un buon pagatore, come nella pubblicità televisiva in cui si fa un'asta per aggiudicarsi il contratto con un assicurando, tutto sommato, si ha interesse a facilitargli l'accesso al credito; se si tratta di un cattivo pagatore, si ha interesse a escluderlo dal credito; se si sa che ha regolarizzato gli inadempimenti, ci si può riservare di valutare.
Con riferimento ai soggetti segnalati nelle centrali rischi, all'inizio della propria attività l'Autorità riceveva centinaia di ricorsi, perché il fenomeno non era noto. Grazie anche al nostro intervento regolatore, la problematica è diventata nota e, quindi, i debitori, al momento della sottoscrizione dei contratti, sono informati. Diventa, quindi, meno frequente il ricorso, che viene presentato all'Autorità o per chiedere l'accesso per ottenere il dato, o per chiederne la rettifica o la cancellazione.
Un altro aspetto, altrettanto interessante, riguarda la sofferenza: la possiamo registrare limitatamente, perché la persona che è in sofferenza, ma che conosceva il fenomeno, non si fa sentire; soltanto la povera gente talvolta ci scrive, con lettere anche particolarmente coinvolgenti dal punto di vista emotivo, anche se noi, naturalmente, non possiamo fare nulla se tutto è stato regolato.
Un'osservazione del presidente - che, come lui sa, mi tocca profondamente - solleva la questione se, non essendo chiare la comunicazione e l'informazione, abbia un senso la richiesta di consenso. Questo è il nostro grande problema. È inutile fornire un'informativa se non è chiara e, ancora di più, che si chieda di esprimere il consenso su qualcosa che non si capisce.
Il problema - è bene che lo sappiamo tutti, indipendentemente dal ruolo che ricopriamo - è rilevante, perché l'informativa fornita agli interessati è spesso redatta utilizzando un linguaggio tecnico e strettamente giuridico, non comprensibile al cittadino. Tuttavia, è anche vero che usando il linguaggio comune si rischiano ambiguità. È una situazione che produce effetti terribili: mina alla base la nostra autorevolezza e fa parlare abitualmente di maledetta «firmetta per la privacy».
In molti casi, siamo riusciti a trovare soluzioni equilibrate: per i sistemi di videosorveglianza nei locali, ad esempio, abbiamo predisposto un'apposita informativa
«semplificata» che attraverso un ideogramma informa della presenza di telecamere. Sogno da tempo di poter semplificare le modalità di informativa e di richiesta del consenso attraverso un logo che utilizzi l'immagine di un lucchetto chiuso o aperto. Probabilmente, sarà una delle strade da percorrere, ma la questione è difficile. È più facile dire che è vietato fumare: si disegna una sigaretta con sopra una croce, ed è fatta. Spiegare le conseguenze di un consenso al trattamento dei dati è, invece, più complesso: il presidente lo sa benissimo.
Infine, cosa significa essere registrati in un sistema di informazioni creditizie (si è fatto riferimento alla CRIF)? Se dovessi esprimermi in termini strettamente giuridici, direi che significa avere una determinata credit identity. Dal momento in cui si accede al credito al consumo, si viene registrati in un sistema di informazioni creditizie e, senza saperlo, capirlo o rendersene conto, si acquisisce l'identità di buono o di cattivo pagatore. Sarebbe molto importante che ciò fosse comunicato al cittadino. Penso di avere risposto, più o meno, a tutte le vostre domande.
PRESIDENTE. La ringraziamo, presidente Pizzetti, per il contributo che ha voluto fornire alla Commissione.
FRANCESCO PIZZETTI, Presidente dell'Autorità garante per la protezione dei dati personali. Grazie a voi per questa opportunità, che mi ha anche consentito di rappresentarvi alcuni dei nostri problemi.
PRESIDENTE. Dichiaro conclusa l'audizione.
La seduta termina alle 15,15.