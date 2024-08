Il Garante privacy ha comminato una sanzione di un milione di euro a Credit Agricole Auto Bank per trattamento illecito di dati personali e reddituali di clienti che richiedevano il finanziamento per il noleggio a lungo termine di una autovettura. Lo comunica il Garante, spiegando che la banca accedeva al database Scipafi (Sistema centralizzato di prevenzione delle frodi) - anche per conto della controllata Drivalia, società di leasing auto - pur essendo consapevole di non avere la necessaria autorizzazione del ministero dell’Economia e delle Finanze per effettuare tali accessi. Il Garante è intervenuto anche nei confronti di Drivalia irrogando una sanzione di 250mila euro sempre per trattamento illecito di dati personali.

In particolare, l’Autorità è intervenuta a seguito del reclamo di una cliente che lamentava il mancato riscontro - da parte della Banca e di Drivalia - alla sua richiesta di conoscere le motivazioni alla base del diniego del noleggio a lungo termine di un’auto e dell’inserimento del proprio nominativo nella lista dei cattivi pagatori.Dopo il reclamo della cliente, in risposta alla richiesta di informazioni dell’Autorità, la Banca affermava che il rifiuto del finanziamento e l’inserimento del nominativo nella “black list” erano dovuti all’esito negativo della verifica della situazione reddituale della cliente effettuata nel database Scipafi. Come spiega ancora il Garante, nel corso della complessa attività istruttoria, l'Autorità ha accertato che la Banca non aveva l’autorizzazione del Mef per poter consultare il database Scipafi per conto di Drivalia. Inoltre, l’accesso era avvenuto senza che fosse stata prima acquisita la dichiarazione dei redditi della cliente, documento indispensabile per effettuare il confronto con le informazioni contenute in Scipafi. Nel quantificare l’importo della sanzione a CA Auto Bank, l’Autorità ha considerato la natura e la gravità della violazione.

Per quanto riguarda Drivalia, l’Autorità ha accertato che la società non era autorizzata dal Mef ad acquisire e trattare i dati dei clienti presenti in Scipafi, neanche attraverso CA Auto Bank. Inoltre l’informativa resa ai clienti non consentiva, all’epoca dei fatti, di individuare tipologia e origine dei dati trattati, i database consultati per verificare le posizioni reddituali dei clienti e se gli accessi ai database fossero effettuati direttamente da Drivalia o tramite CA Auto Bank. Entro il termine stabilito, CA Auto Bank e Drivalia si sono avvalse della possibilità di estinguere il procedimento mediante il pagamento in misura ridotta di un importo pari alla metà della sanzione comminata.