Il Garante Privacy si è espresso favorevolmente su due schemi di convenzione in merito al funzionamento del sistema di prevenzione delle frodi nel settore del credito al consumo, riferendosi – nello specifico – alla delicata questione del furto di identità (sistema istituito dal decreto legislativo 11 aprile 2011, n. 64).

Il sistema sarà gestito da Consap Spa su incarico del Ministero dell’Economia e delle Finanze (MEF), e sarà costituito da un archivio centrale informatizzato che permetterà di consultare le banche dati di vari enti pubblici – tra cui: Agenzia delle Entrate, Ministero dell’interno, Ministero dei trasporti e delle infrastrutture, INPS, INAIL, etc. – con l’obiettivo di prevenire i fenomeni di sostituzione di persona, tra cui, ad esempio, la falsificazione dei documenti.

Il primo documento su cui il Garante si è espresso – senza rilievi – con il “Parere su uno schema tipo di convenzione tra l’ente gestore (Consap s.p.a.) e gli “aderenti diretti” al sistema pubblico di prevenzione, sul piano amministrativo, delle frodi nel settore del credito al consumo“, del 9 ottobre 2014, definisce le regole a cui devono attenersi quelle società, ossia gli aderenti diretti, che ricevono una domanda di finanziamento o altri servizi per poter accedere al sistema: banche, intermediari finanziari, fornitori di servizi di comunicazione elettronica o di altri servizi, imprese di assicurazione.

Nello specifico, la convenzione disciplina i rapporti tra Consap s.p.a. e l’aderente diretto in merito alla partecipazione di quest’ultimo al sistema di prevenzione delle frodi (art. 2, comma 1, dello schema) e, in particolare, alle modalità di accesso dell’aderente all’archivio centrale informatizzato al fine di verificare l’autenticità dei dati contenuti nella documentazione fornita dalle persone fisiche (art. 2, comma 2).

Inoltre, per quanto concerne le modalità e i termini per l’utilizzo del servizio, l’aderente partecipa al sistema di prevenzione delle frodi solo per i dati personali, pertinenti e non eccedenti, necessari per le finalità del settore commerciale di appartenenza (art. 5, comma 1 dello schema).

A tal proposito, lo schema di convenzione individua espressamente i dati che possono essere oggetto di riscontro, fra quelli elencati dal regolamento (relativi ai documenti di identità, alla tessera sanitaria, al codice fiscale, alla partita IVA, ai documenti attestanti il reddito e alle posizioni contributive previdenziali e assistenziali; art. 9 reg. n. 95/2014), da parte delle diverse categorie di aderenti diretti (art. 5, comma 2, dello schema).

La convenzione, pertanto, obbliga gli stessi aderenti a garantire e assicurare l’esattezza e la completezza dei dati inseriti nelle richieste di verifica (art. 6, comma 3, dello schema), mentre il gestore avrà il compito di verificare l’autenticità dei dati contenuti nelle predette richieste e fornire all’aderente il relativo riscontro (art. 7 dello schema).

La seconda convenzione su cui il Garante si è espresso, con il “Parere su uno schema di convenzione con la quale devono essere individuati i cc.dd. "aderenti indiretti" al sistema pubblico di prevenzione, sul piano amministrativo, delle frodi nel settore del credito al consumo“, individua i cosiddetti aderenti indiretti e ne regolamenta le modalità di partecipazione al sistema di prevenzione, oltre alle modalità di trattamento dei dati personali (art. 1, comma 1, dello schema). 

Gli aderenti indiretti, ossia i gestori di sistemi di informazioni creditizie (SIC) e le imprese che offrono servizi assimilabili, possono partecipare al sistema di prevenzione con l’obiettivo di accertare, per conto degli aderenti diretti, la veridicità della documentazione presentata.

A tal proposito, lo schema precisa che gli aderenti indiretti assicurano i predetti servizi mediante l’utilizzo di procedure telematiche compatibili con le caratteristiche tecniche del sistema di prevenzione (art. 4 dello schema), e che gli stessi possono effettuare le "sole operazioni di trattamento necessarie per la finalità" loro attribuita dal regolamento.

Con il parere favorevole espresso per il testo delle due menzionate convenzioni, il Garante Privacy ha inteso inoltre precisare che, al fine di impedire eventuali trattamenti illeciti dei dati personali, tutti i soggetti coinvolti dovranno utilizzare solo i dati pertinenti e non eccedenti, nonché garantire la loro massima protezione mediante adeguate misure di sicurezza, e conservare i dati stessi solo per il tempo strettamente necessario.