Una sanzione pesante per la violazione della privacy
Il Garante per la Privacy ha inflitto una pesante sanzione di un milione di euro a Credit Agricole Auto Bank per il trattamento illecito di dati personali e reddituali dei clienti. L’accusa? L’accesso non autorizzato al database Scipafi, il Sistema centralizzato di prevenzione delle frodi, per la verifica della situazione reddituale dei clienti che richiedevano finanziamenti per il noleggio a lungo termine di un’autovettura.
La banca, insieme alla sua controllata Drivalia, società di leasing auto, ha effettuato queste verifiche per prevenire truffe e insolvenze, ma senza l’autorizzazione necessaria del Ministero dell’Economia e delle Finanze. Il Garante ha ritenuto che l’accesso al database Scipafi senza autorizzazione, e senza la preventiva acquisizione della dichiarazione dei redditi dei clienti, costituisse una grave violazione della privacy.
La decisione del Garante è scaturita dal reclamo di una cliente che si è vista negare il noleggio a lungo termine e inserita nella lista dei cattivi pagatori, senza ricevere spiegazioni chiare sulla motivazione del rifiuto. In risposta alla richiesta di informazioni dell’Autorità, la banca ha ammesso che il diniego era dovuto all’esito negativo della verifica della situazione reddituale della cliente effettuata nel database Scipafi.
“L’Autorità ha accertato che la Banca non aveva l’autorizzazione del Mef per poter consultare il database Scipafi per conto di Drivalia. Inoltre, l’accesso era avvenuto senza che fosse stata prima acquisita la dichiarazione dei redditi della cliente, documento indispensabile per effettuare il confronto con le informazioni contenute in Scipafi”, ha dichiarato il Garante in un comunicato stampa.
La sanzione per Drivalia e la possibilità di estinguere il procedimento
Non solo Credit Agricole Auto Bank è stata sanzionata. Anche Drivalia ha ricevuto una multa di 250mila euro per trattamento illecito di dati personali. L’Autorità ha accertato che Drivalia non era autorizzata dal Mef ad acquisire e trattare i dati dei clienti presenti in Scipafi, neanche attraverso CA Auto Bank.
Inoltre, l’informativa fornita ai clienti non era sufficientemente chiara e non consentiva di individuare tipologia e origine dei dati trattati, i database consultati e se gli accessi fossero effettuati direttamente da Drivalia o tramite CA Auto Bank.
Entrambe le società hanno la possibilità di estinguere il procedimento mediante il pagamento in misura ridotta di un importo pari alla metà della sanzione comminata.
La tutela della privacy e la necessità di trasparenza
Questo caso evidenzia la crescente importanza della tutela della privacy e la necessità di trasparenza da parte delle aziende che trattano dati personali. È fondamentale che le aziende rispettino la normativa vigente e che informino i clienti in modo chiaro e completo su come vengono utilizzati i loro dati. La sanzione comminata a Credit Agricole Auto Bank e Drivalia è un monito per tutte le aziende che operano nel settore finanziario e non solo, a rispettare la privacy dei propri clienti e a garantire la massima trasparenza nelle loro operazioni.