Le verifiche telefoniche presso il datore di lavoro nell’ambito del processo di concessione di prestiti personali ai clienti: sono legittime in ottica data protection?

di Raffaele Riccio


Introduzione 

Una problematica particolarmente interessante sotto il profilo data protection che potrebbe coinvolgere in particolar modo gli istituti di credito riguarda il tema della conformità e della legittimità – rispetto a quanto previsto dal GDPR – delle procedure aziendali volte a verificare informazioni e dati sull’attività lavorativa del soggetto richiedente la concessione di un prestito personale (o del coobbligato o del garante). 

In particolare, si pensi al caso in cui le banche possano regolare – con proprie normative interne – il predetto processo di verifica prevedendo, nelle fasi preliminari della concessione del prestito, l’effettuazione di determinati controlli formali sulle informazioni ricevute dal soggetto richiedente il prestito, ad esempio: la verifica della sussistenza del rapporto di lavoro e l’esistenza del datore di lavoro oppure le verifiche documentali o telefoniche presso il datore di lavoro. A tal proposito è opportuno chiedersi: in ottica data protection, tali verifiche sono legittime? 

Il potere di controllo della banca e le relative implicazioni 

A fronte della richiesta di prestiti personali, lo svolgimento di attività di verifica dell’effettivo coinvolgimento del richiedente (del coobbligato o del garante, in ogni caso qualificati come interessati) in un rapporto lavorativo ancora in essere al momento della richiesta nonché la verifica dell’esistenza del datore di lavoro stesso possono senza ombra di dubbio rispondere ad una legittima esigenza delle banche nell’ambito della valutazione della ricorrenza delle condizioni necessarie per la concessione dei prestiti. È cio che, infatti, accade già nelle fasi propedeutiche all’instaurazione del rapporto con il cliente, momento in cui le banche esercitano un vero e proprio potere di controllo rispetto alla veridicità delle dichiarazioni rese dal cliente e della documentazione prodotta a garanzia della sua solvibilità e affidabilità negli adempimenti contrattuali. 

Naturalmente, l’attuazione del predetto potere di controllo comporta un trattamento dei dati personali dei (potenziali) clienti richiedenti ovvero dei suoi coobbligati e garanti, che la banca effettua in qualità di titolare allo scopo di soddisfare una precisa finalità di trattamento, coincidente appunto con la verifica delle garanzie fornite in funzione della concessione del prestito e regolate anche da specifiche procedure interne alla banca. Ad esempio, nella procedura interna, la banca potrà prevedere: 

▪ la possibilità di accedere – sulla base del suo interesse legittimo ai sensi dell’art. 6, par. 1, lett. f) del GDPR – alle informazioni contenute nella visura camerale del datore di lavoro del richiedente, tramite la quale possono reperirsi informazioni di pubblico dominio, reperibili presso la Camera di commercio ed utilizzabili pur sempre entro i limiti della normativa; 

▪ la possibilità di effettuare verifiche connesse con il sistema di informazioni creditizie (es. gestito da Cerved), che – a sua volta – comporta in particolare l’applicazione del Codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti, pubblicato dall’Autorità Garante con il provvedimento del 12 settembre 2019 e che, anche in tal caso, può considerarsi giustificata dall’interesse legittimo di cui all’art. 6, par. 1, lett. f) del GDPR; 

▪ la possibilità di condurre verifiche documentali, per mezzo delle quali si procede a raffronti e interconnessioni delle informazioni riguardanti gli interessati, la cui legittimità può dirsi supportata, al pari dei casi sopra menzionati, dall’interesse legittimo facente capo alla Banca stessa in forza dell’art. 6, par. 1, lett. f) del GDPR; 

▪ verifiche telefoniche presso il datore di lavoro. 

Su tale ultima possibilità è doveroso soffermarsi e chiedersi: il titolare del trattamento (la banca) può legittimamente chiedere a un terzo (datore di lavoro) informazioni relative ai dati personali del richiedente la concessione di un prestito (interessato)? 

L’inquadramento normativo della fattispecie 

Nel caso delle suddette ultime verifiche la banca, contattando telefonicamente il datore di lavoro degli interessati, si troverebbe inevitabilmente costretta a fornire a tale soggetto informazioni riguardanti i predetti interessati. Si presume però che tali informazioni siano connotate da una ragionevole aspettativa (nutrita da parte dell’interessato) di riservatezza e discrezione, anche solo nel caso in cui esse possano comprendere la 

semplice e oggettiva circostanza che l’interessato abbia richiesto un prestito personale, senza che siano rivelati ulteriori dettagli. In ogni caso, la banca in modo evidente si troverebbe a fornire dati personali relativi ai soggetti interessati. 

Tale dinamica descritta, dunque, si tradurrebbe inevitabilmente in una comunicazione di dati personali, da intendersi come una particolare operazione di trattamento (art. 4 GDPR) che comporta una trasmissione di informazioni rilevanti ai sensi della normativa privacy verso soggetti terzi rispetto al titolare e non specificamente autorizzati al trattamento di quegli stessi dati. Deve ritenersi che una comunicazione di dati personali possa verosimilmente verificarsi anche ove la banca, pur attenendosi al rispetto del principio di minimizzazione ex art. 5, par. 1, lett. c) del GDPR, si limiti soltanto a lasciar intendere l’esistenza di un generico rapporto tra essa e l’interessato, rapporto rispetto al quale il datore non dovrebbe poter vantare – almeno in termini generali – alcuna prerogativa di conoscenza. 

Le tesi sul campo 

Sulla legittimità della comunicazione di dati personali di cui sopra potrebbero contrapposti due diversi orientamenti: la tesi della conformità e quella della non conformità delle predette telefonate rispetto al quadro normativo in ambito data protection. 

In particolare, a voler propendere per la prima tesi, si riconoscerebbe dunque la piena legittimità della comunicazione di dati personali nei termini descritti sino ad ora. La comunicazione, infatti, al pari di tutte le altre operazioni descritte tassativamente ex art. 4, n. 2 GDPR, costituirebbe una delle modalità di gestione dei dati personali riconosciute dalla normativa al titolare del trattamento per l’adempimento degli obblighi contrattuali nei confronti della controparte (il richiedente). La banca, infatti, nell’informativa privacy consegnata al cliente in fase di entrata in relazione, indicherà in termini generali quali sono le finalità e basi giuridiche del trattamento dei dati personali raccolti dall’interessato, senza tuttavia specificare in dettaglio le singole operazioni che essa sarà in grado di compiere con i suddetti dati (come ad esempio, l’utilizzo dei dati ricevuti per verifiche e controlli sulla veridicità dei medesimi, anche tramite la comunicazione a terzi). 

La tesi della illegittimità delle condotte suindicate rispetto al vigente quadro normativo, invece, potrebbe essere supportata da numerose argomentazioni. 

In particolare, come già evidenziato in precedenza, le verifiche telefoniche presso il datore di lavoro nell’ambito del processo di concessione di prestiti personali volte ad accertare l’effettiva sussistenza del rapporto e nonché l’esistenza del datore di lavoro potrebbero costituire un’ipotesi di comunicazione a terzi (dalla banca al datore di lavoro) di dati personali relativi al cliente che ha richiesto la concessione di un prestito. 

La comunicazione a soggetti terzi di dati personali della clientela è una fattispecie specificamente disciplinata nel Provvedimento dell’Autorità Garante “Linee guida per trattamenti dati relativi al rapporto banca-clientela“, documenti che, pur essendo stato pubblicato in epoca risalente (il 25 ottobre 2007), deve ritenersi ancora generalmente applicabile per effetto dell’art. 22, comma 4 del D. Lgs. 101/2018, ai sensi del quale “A decorrere dal 25 maggio 2018, i provvedimenti del Garante per la protezione dei dati personali continuano ad applicarsi, in quanto compatibili con il suddetto regolamento e con le disposizioni del presente decreto”. 

In merito all’ipotesi di cui sopra, il provvedimento prevede che la comunicazione a terzi risulta “ammessa se lo stesso vi acconsente (art. 23 del Codice [oggi abrogato] – art. 6 GDPR) o se ricorre uno dei casi in cui il trattamento può essere effettuato senza il consenso (art. 24 del Codice [oggi abrogato] – art. 6 GDPR); a tale ultimo riguardo, il provvedimento elenca l’ipotesi della comunicazione dei dati “strumentali alle prestazioni richieste e ai servizi erogati” (per i quali, dunque, non è necessario ottenere il consenso degli interessati: art. 24, comma 1, lett. b), del Codice). Tale ipotesi, tuttavia, non sembrerebbe direttamente calzare rispetto al caso di specie oggetto d’esame. 

Infatti, ciò che si analizza è il caso più specifico di comunicazione di dati della clientela al datore di lavoro, qualificata quale comunicazione cc.dd. indebita laddove (come riportato testualmente nel citato provvedimento) le comunicazioni di dati della clientela (nel caso di specie: le informazioni bancarie) siano effettuate nei confronti di “soggetti legati da un rapporto di lavoro con l’interessato” (datore di lavoro), in 

quanto “terzi che non siano in alcun modo autorizzati dall’interessato a porre in essere operazioni per suo conto o a conoscere il contenuto della relazione contrattuale in essere con la banca”. 

In ogni caso, il provvedimento ricorda che “[…] gli istituti di credito e il personale incaricato dell’esecuzione delle operazioni bancarie di volta in volta richieste devono mantenere il riserbo sulle informazioni utilizzate”. Secondo il linguaggio e le logiche normative nuove del GDPR, dunque, le indicazioni testualmente riportate sembrerebbero far trasparire l’esigenza che, a supporto del trattamento in questione, venga espresso dall’interessato un apposito, specifico e informato consenso ai sensi dell’art. 6, par. 1, lett. a) del GDPR. 

Le altre basi giuridiche del trattamento di cui all’art. 6, par. 1 del GDPR sembrerebbero particolarmente deboli o persino non idonei a legittimare l’attività oggetto d’esame. 

Le verifiche telefoniche, infatti, non potrebbero considerarsi strettamente necessarie all’esecuzione delle misure precontrattuali adottate su istanza del richiedente ai sensi dell’art. 6, par. 1, lett. b): nella fase che precede la concessione di un prestito, infatti, la possibilità di un contatto telefonico dalla banca al datore di lavoro degli interessati potrebbe tradursi in un trattamento “eccedente” nel contesto delle misure precontrattuali e, conseguentemente, sproporzionato rispetto alle finalità perseguite. 

E, ancora, il medesimo trattamento, potrebbe anche andare oltre il legittimo interesse del titolare ex art. 6, par. 1, lett. f), trattandosi di un’attività che potrebbe collocarsi al di là delle ragionevoli aspettative degli interessati ed essere percepita qualche indebita ingerenza nella sfera dei rapporti della loro vita privata. 

Addirittura potrebbero sorgere dubbi anche sulla possibilità di invocare il consenso ex art. 6, par. 1, lett. a) del GDPR quale base giuridica del trattamento, sebbene sia previsto dal provvedimento dell’Autorità. Infatti, l’interessato dovrebbe essere sempre in grado di esprimere il suo consenso in modo libero e incondizionato, situazione che, nel caso di specie, non sembrerebbe possibile affermare dal momento che il richiedente, il coobbligato o il garante soggiacciono a una dipendenza economica dalla banca in ordine alla concessione del prestito e, pertanto, ciò potrebbe finire per svuotare di senso e di significato un eventuale consenso privacy. 

3. Considerazioni conclusive 

Alla luce dell’analisi svolta, accogliendo la seconda delle tesi esposte, sarebbe corretto concludere che, in ottica data protection, lo svolgimento delle verifiche telefoniche che banca potrebbe aver interesse ad effettuare presso il datore di lavoro degli interessati nell’ambito del processo di concessione di prestiti personali alla clientela potrebbe potenzialmente considerarsi come un’azione indebita e pertanto vietata. Laddove fosse ritenuta tale dall’Autorità Garante infatti, essa darebbe luogo all’irrogazione di sanzioni amministrative pecuniarie, in astratto, fino a 20.000.000 EUR, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore (art. 83, par. 5, lett. a) del GDPR). 


Autore:

it_IT
en_US it_IT