Tempi di conservazione dei dati sui SIC – dopo 24 mesi dalla regolarizzazione devono essere eliminati i dati negativi

Commento al Provvedimento GPDP Docweb n. 9547248 del 27 gennaio 2021

Il caso riguarda un reclamo presentato al Garante per la protezione dei dati personali nei confronti di un istituto di credito che ha segnalato i nominativi dei clienti presso il sistema di informazioni creditizie di Crif S.p.A. a causa di inadempimenti in relazione al piano di ammortamento di un contratto di mutuo fondiario. I reclamanti contestavano la segnalazione e chiedevano la cancellazione delle informazioni creditizie negative, ma l’istituto di credito ha rifiutato la richiesta, sostenendo la legittimità e la correttezza della sua condotta. Di fronte al mancato accoglimento della richiesta, gli interessati hanno proposto un reclamo all’Autorità di controllo.

La questione principale è se le informazioni creditizie di tipo negativo relative ai ritardi nei pagamenti possono essere conservate dopo la definizione del rapporto creditizio mediante accordo transattivo a saldo e stralcio e l’estinzione delle obbligazioni debitorie derivanti dal contratto. In particolare, il Garante per la protezione dei dati personali è stato chiamato a valutare la corretta applicazione del termine di conservazione dei dati previsto dal Codice deontologico, che nella fattispecie trova applicazione secondo il principio tempus regit actum. Si osserva che il Codice di condotta attualmente applicabile prevede disposizioni analoghe in materia di tempi di conservazione dei dati relativi ai ritardi nei pagamenti regolarizzati.

Durante l’istruttoria, il Garante ha chiesto informazioni a Crif S.p.A. sulla cancellazione dei nominativi. Dopo aver acquisito gli elementi necessari, l’Ufficio ha avviato un procedimento per adottare i provvedimenti di cui all’art. 58, par. 2, del GDPR. Nel frattempo, l’Istituto di credito ha aggiornato le proprie procedure interne, riducendo il periodo di mantenimento delle informazioni creditizie negative sui SIC da 36 mesi a 24 mesi. Nel provvedimento del Garante, viene affermato che la definizione di posizioni debitorie per effetto di un accordo transattivo a saldo e stralcio rientra pienamente fra le modalità di regolarizzazioni degli inadempimenti previste dal Codice deontologico. Pertanto, le informazioni creditizie negative avrebbero dovuto essere cancellate dal SIC di Crif S.p.A. entro 24 mesi dall’avvenuta regolarizzazione. Dato il comportamento attivo e correttivo dell’Istituto di credito, il Garante ha deciso di non adottare misure correttive ai sensi dell’art. 58, par. 2, del GDPR, ma ha emesso un ammonimento, considerando il caso come una violazione minore.