Parere del Garante europeo della protezione dei dati sullaproposta di direttiva del Parlamento europeo e del Consiglio in merito aicontratti di credito relativi ad immobili residenziali

(Pubblicato sulla GUUE n. C 377 del 23.12.2011)

IL GARANTE EUROPEO DELLA PROTEZIONEDEI DATI,

visto il trattato sul funzionamentodell’Unione europea, in particolare l’articolo 16,

vista la Carta dei dirittifondamentali dell’Unione europea, in particolare gli articoli 7 e 8,

vista la direttiva 95/46/CE delParlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tuteladelle persone fisiche con riguardo al trattamento dei dati personali, nonchéalla libera circolazione di tali dati ⁽¹⁾,

visto il regolamento (CE) n. 45/2001del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente latutela delle persone fisiche in relazione al trattamento dei dati personali daparte delle istituzioni e degli organismi comunitari, nonché la liberacircolazione di tali dati ⁽²⁾, in particolare l’articolo 28,paragrafo 2,

HA ADOTTATO IL SEGUENTE PARERE

1. INTRODUZIONE

1. Il 31 marzo 2011 la Commissione haadottato una proposta di direttiva del Parlamento europeo e del Consiglio inmerito ai contratti di credito relativi ad immobili residenziali (in prosieguo«la proposta»).

1.1. Consultazione del GEPD

2. La proposta è stata inviata dallaCommissione al GEPD il 31 marzo 2011. Il GEPD considera questa comunicazioneuna richiesta di informazione delle istituzioni e degli organismi comunitari,secondo quanto previsto dall’articolo 28, paragrafo 2, del regolamento (CE) n.45/2001 del 18 dicembre 2000 concernente la tutela delle persone fisiche inrelazione al trattamento dei dati personali da parte delle istituzioni e degliorganismi comunitari, nonché la libera circolazione di tali dati [in appresso «regolamento(CE) n. 45/2001»]. In precedenza ⁽³⁾, prima dell’adozione della proposta, la Commissione aveva datoal GEPD la possibilità di esprimere osservazioni informali. Il GEPD accogliecon favore l’apertura del processo, che ha contribuito a migliorare il testodal punto di vista della protezione dei dati in una fase iniziale. Alcune ditali osservazioni sono state prese in considerazione nella proposta. Il GEPD èfavorevole a un riferimento esplicito alla presente consultazione nel preambolodella proposta.

1.2. Contesto generale

3. La proposta definisce laconcessione responsabile come l’attenzione mostrata da creditori e intermediaridel credito nel prestare somme di denaro che i consumatori possano sostenere enel soddisfare le loro esigenze e condizioni. Il concetto di accensioneresponsabile di mutui implica per i consumatori la necessità di fornireinformazioni pertinenti, complete e accurate sulla loro situazione finanziariae li esorta ad adottare decisioni informate e sostenibili.

4. La proposta elenca diversi fattoriche dettano la decisione di concedere un determinato credito ipotecario, lascelta del prodotto da parte del mutuatario e la capacità del mutuatario dirimborsare il prestito. Tra questi figurano la situazione economica, le asimmetrieinformative, i conflitti di interessi, le lacune e le incoerenze normative,nonché altri fattori quali la cultura finanziaria del mutuatario e le strutturedi finanziamento del credito ipotecario. Nell’ottica della proposta, ilcomportamento irresponsabile di alcuni operatori del mercato è all’originedella crisi finanziaria; pertanto, la questione della concessione edell’accensione irresponsabile dei mutui deve essere affrontata dall’iniziativalegislativa per evitare il ripetersi della crisi finanziaria.

5. La proposta introduce dunquerequisiti prudenziali e di vigilanza per gli istituti di credito, nonchéobblighi e diritti per i mutuatari, allo scopo di stabilire un chiaro quadrogiuridico volto a preservare il mercato del credito ipotecario dell’UE daglieffetti deleteri subiti nel corso della crisi finanziaria.

1.3. Nesso con il regime diprotezione dei dati dell’UE

6. La proposta riguarda un ristrettonumero di attività rilevanti nel quadro del regime di protezione dei datidell’UE. Tali attività si riferiscono principalmente alla consultazione deicreditori e degli intermediari del credito della cosiddetta «banca datirelativa ai crediti», con l’intento di valutare il merito di credito deiconsumatori, nonché alla divulgazione di informazioni da parte dei consumatoriai creditori o agli intermediari del credito.

7. Il GEPD constata con soddisfazionel’inserimento di importanti riferimenti alle norme pertinenti sulla tutela deidati personali nel testo attuale della proposta; tuttavia, gradirebbesottolineare l’esigenza di alcuni chiarimenti. Da un lato, la proposta nondovrebbe introdurre disposizioni troppo dettagliate circa il rispetto deiprincipi di protezione dei dati, garantito dall’applicabilità delle normativenazionali di recepimento della direttiva 95/46/CE a qualsiasi operazione ditrattamento dei dati. D’altro lato, il GEPD suggerisce alcuni miglioramenti deltesto allo scopo di chiarirlo ed evitare l’affidamento alla legislazionedelegata dei criteri che determinano i diritti di accesso alla banca datirelativa ai crediti.

2. ANALISI DELLAPROPOSTA

2.1. Riferimento alla direttiva95/46/CE e obbligo di valutazione del merito di credito del consumatore

Considerando 30

8. Il GEPD è lieto di osservare chela proposta ha introdotto il riferimento alla direttiva 95/46/CE nel preamboloal testo della direttiva. Il considerando 30 introduce l’applicazione generaledella direttiva 95/46/CE alle attività di trattamento dei dati svolte nelcontesto della valutazione del merito di credito del consumatore.

9. Tuttavia, per tener conto delfatto che le operazioni di trattamento dei dati devono essere effettuateconformemente alle normative di recepimento e che le varie normative nazionalidi recepimento della direttiva costituiscono i riferimenti adeguati, laproposta potrebbe introdurre un articolo di portata generale come quello riportatodi seguito: «I trattamenti di dati personali effettuati ai sensi della presentedirettiva devono essere conformi alle pertinenti normative nazionali direcepimento della direttiva 95/46/CE». L’introduzione di un simile articolocomporterebbe l’eliminazione dei riferimenti specifici alla direttivanell’articolo 15, paragrafo 3, e nell’articolo 16, paragrafo 4.

Articolo 14

10. L’articolo 14 della propostaintroduce per i creditori l’obbligo di procedere a una valutazione approfonditadel merito creditizio del consumatore. Questa valutazione dovrebbe basarsi sudeterminati criteri quali reddito, risparmi, debiti e altri impegni finanziaridel consumatore. Tale obbligo potrebbe causare effetti notevoli sullariservatezza dei soggetti che accedono al credito, dal momento che il tipo e laquantità di informazioni cui il creditore può accedere sono potenzialmentemolto ampi. Pertanto, il GEPD accoglie con favore l’introduzione diprecisazioni all’interno del testo per quanto riguarda la limitazione dellaricerca del creditore alle informazioni «necessarie» ottenute dal creditore. Intermini generali, l’articolo stabilisce la possibilità di ottenere taliinformazioni solo attraverso «fonti interne o esterne pertinenti». Il GEPD èfavorevole al riferimento esplicito ai principi di necessità e proporzionalitàsanciti dall’articolo 6 della direttiva 95/46/CE; ciononostante suggerisce dispecificare in modo più dettagliato, per quanto possibile, le fonti da cui èpossibile ricevere informazioni.

2.2. Consultazione della banca datirelativa ai crediti

11. La banca dati relativa ai creditiviene citata in primo luogo nel considerando 27, dove la sua utilità vieneevidenziata nel quadro della valutazione del merito di credito e per l’interadurata del prestito. Il considerando precisa inoltre che, a norma delladirettiva 95/46/CE, i consumatori debbono essere informati sulla consultazionedella banca dati, oltre ad avere il diritto di accesso, rettifica,cancellazione o blocco dei dati contenuti in tale banca dati. L’articolo 14introduce obblighi specifici per il creditore concernenti l’eventuale rifiutodella richiesta di credito, in particolare qualora legato alla consultazionedella «banca dati relativa ai crediti».

12. Disposizioni più generali chestabiliscono i criteri di «accesso alle banche dati» sono contenutenell’articolo 16, che presenta una formulazione molto generica («Ciascuno Statomembro garantisce a tutti i creditori l’accesso non discriminatorio alle banchedati utilizzate nello Stato membro in questione per valutare il meritocreditizio e per verificare che i consumatori rispettino gli obblighi dicredito [...]»). Il testo non specifica se le banche dati devono essererealizzate in modo specifico per consentire i controlli sul merito creditizio,né stabilisce la persona responsabile delle banche dati, il tipo diinformazioni eventualmente contenute in esse, le implicazioni della «verifica»relativa al rispetto degli obblighi da parte dei consumatori, ecc. Il GEPDcomprende il fatto che le banche dati relative ai crediti presentino diversestrutture e siano contemplate nei quadri giuridici di diversi Stati membri. IlGarante, inoltre, considera che una piena armonizzazione dei criterisummenzionati trascenderebbe l’ambito di applicazione della direttiva. Lo scopodella proposta, però, consisterebbe nell’introdurre condizioni di accessoarmonizzate alle banche dati per far sì che un creditore del Belgio, adesempio, possa accedere alla storia dei crediti di un consumatore italiano(benché la banca dati belga e quella italiana possano differire tra loro) allestesse condizioni dei creditori italiani, qualora il consumatore chieda unmutuo ipotecario in Belgio. I dettagli relativi ai criteri per l’accessoarmonizzato devono essere maggiormente specificati in appositi atti delegatidella Commissione (cfr. articolo 16, paragrafo 2). Il GEPD rileva altresì ilriferimento alla direttiva 95/46 nell’articolo 16, paragrafo 4 ⁽⁴⁾.

13. Il GEPD ha già evidenziato comele misure che determinano effetti notevoli sulla riservatezza dei cittadini nondovrebbero essere prese in considerazione nella legislazione delegata. Senzadubbio è possibile stabilire alcuni dettagli nell’ambito di detta legislazione;tuttavia, occorre chiarire e concordare le principali conseguenze per i cittadiniall’interno della legislazione adottata conformemente alla proceduralegislativa ordinaria. Dal punto di vista della protezione dei dati, il GEPD sidimostra particolarmente preoccupato per l’apparente contraddizione tra lagenerica possibilità di consultazione della banca dati da parte di (un numeronon ancora identificato di) operatori del credito, a norma dell’articolo 16, eil «lieve» obbligo menzionato solo nel considerando 27 in cui, di fatti, vienestabilito che «i consumatori debbono essere informati [...] della consultazionedella banca dati relativa ai crediti» e «debbono avere il diritto di accedereai dati personali che li riguardano [...] in modo da poter [...] rettificarli,cancellarli o bloccarli [...]». Nell’ottica del GEPD, la possibilità concretadi esercitare i diritti della persona interessata, ai sensi della direttiva95/46/CE, è connessa all’opportunità di identificare i possibili destinataridei dati personali contenuti nella banca dati relativa ai crediti. Pertanto,l’efficacia del riferimento ai diritti menzionati nella direttiva 95/46/CEpotrebbe essere neutralizzato dall’impossibilità per la persona interessata diidentificare in modo chiaro e preventivo le persone fisiche o giuridiche chepossono accedere alla banca dati relativa ai crediti.

14. Pertanto, il GEPD suggeriscealcune modifiche al testo della direttiva con l’intento di affrontare i puntideboli individuati in precedenza. Ogni ⁽⁵⁾ accesso alla banca dati deve avvenire nel rispetto delleseguenti condizioni da introdurre nel testo dell’articolo 16: i) definizionedei criteri in base ai quali i creditori o gli intermediari del credito possonoaccedere alla banca dati e, in particolare, chiarimenti sulla possibilità diaccedere ai dati personali di una persona riconosciuta solo ai creditori ointermediari del credito che hanno concluso un contratto con un consumatore o,su richiesta di quest’ultimo, eseguono misure volte a concludere un rapportocontrattuale ⁽⁶⁾; ii) obbligo di comunicare inanticipo al consumatore il fatto che un determinato creditore o intermediariodel credito abbia intenzione di accedere ai suoi dati personali contenuti nellabanca dati; iii) obbligo di comunicare contemporaneamente al consumatore i suoidiritti di accesso, rettifica, blocco o cancellazione dei dati contenuti nellabanca dati, in linea con i principi esposti nella direttiva 95/46/CE.

15. Introducendo tali criteri eobblighi generali all’interno del testo è possibile eliminare la disposizionespecifica di cui all’articolo 14, paragrafo 2, lettera c), e al considerando29, relativa all’obbligo di comunicare al consumatore l’accesso alla banca datiin caso di rifiuto della richiesta di credito.

3. CONCLUSIONE

16. Il GEPD accoglie con favore ilriferimento specifico alla direttiva 95/46/CE. Tuttavia, suggerisce alcunelievi modifiche del testo per chiarire l’applicabilità dei principi diprotezione dei dati alle operazioni di trattamento oggetto della proposta. Inparticolare:

— per sancire con maggiorchiarezza che le normative nazionali di recepimento della direttiva 95/46/CEcostituiscono i riferimenti adeguati e per sottolineare la necessità dieffettuare le operazioni di trattamento dei dati conformemente alle normativedi recepimento, il GEPD suggerisce l’introduzione di un nuovo articolo con unaformulazione specifica a tal riguardo. Questo consentirebbe altresìl’eliminazione di altri riferimenti alla direttiva 95/46/CE nel testo dellaproposta,

— il testo della proposta potrebbeprecisare in modo più dettagliato le fonti da cui è possibile ricevereinformazioni riguardanti il merito creditizio del creditore,

— il testo della propostadovrebbe comprendere la definizione di criteri legati alla possibilità diconsultare la banca dati relativa ai crediti e gli obblighi di comunicare idiritti degli interessati prima di qualsiasi accesso alla banca dati inquestione, garantendo così a tali soggetti possibilità reali ed efficaciconcernenti l’esercizio dei propri diritti.

Fatto a Bruxelles, il 25 luglio 2011

Giovanni BUTTARELLI

Garante europeo aggiunto dellaprotezione dei dati

NOTE                                      

(1) GU L 281del 23.11.1995, pag. 31, (in appresso «direttiva 95/46/CE»).

(2) GU L 8 del12.1.2001, pag. 1.

(3) Neldicembre 2010.

(4) L’articolorecita «non pregiudica l’applicazione della direttiva 95/46/CE [...]».Tuttavia, cfr. il paragrafo 9 in cui viene suggerita una modifica dell’articoloin questione.

(5) Questotermine va inteso come accesso effettuato in qualsiasi momento da parte di uncreditore autorizzato.

(6) Cfr.l’articolo 7, lettera b), della direttiva 95/46/CE.