Il Garante Privacy ha comminato una sanzione di un milione di euro a Credit Agricole Auto Bank per trattamento illecito di dati personali e reddituali di clienti che richiedevano il finanziamento per il noleggio a lungo termine di una autovettura.
La banca accedeva al database Scipafi (Sistema centralizzato di prevenzione delle frodi) – anche per conto della controllata Drivalia, società di leasing auto – pur essendo consapevole di non avere la necessaria autorizzazione del Ministero dell’Economia e delle Finanze per effettuare tali accessi. Auto Bank giustificava le verifiche al fine di prevenire truffe, insolvenze, o altri eventi simili.
L’Autorità è intervenuta a seguito del reclamo di una cliente che lamentava il mancato riscontro – da parte della Banca e di Drivalia – alla sua richiesta di conoscere le motivazioni alla base del diniego del noleggio a lungo termine di un’auto e dell’inserimento del proprio nominativo nella lista dei cattivi pagatori.
In risposta alla richiesta di informazioni dell’Autorità, la Banca affermava che il rifiuto del finanziamento e l’inserimento del nominativo nella “black list” erano dovuti all’esito negativo della verifica della situazione reddituale della cliente effettuata nel database Scipafi.
Nel corso della complessa attività istruttoria, il Garante ha accertato che la Banca non aveva l’autorizzazione del Mef per poter consultare il database Scipafi per conto di Drivalia. Inoltre, l’accesso era avvenuto senza che fosse stata prima acquisita la dichiarazione dei redditi della cliente, documento indispensabile per effettuare il confronto con le informazioni contenute in Scipafi.
Nel quantificare l’importo della sanzione a CA Auto Bank, l’Autorità ha considerato la natura e la gravità della violazione.
Il Garante è intervenuto anche nei confronti di Drivalia irrogando una sanzione di 250mila euro sempre per trattamento illecito di dati personali. L’Autorità ha accertato che la società non era autorizzata dal Mef ad acquisire e trattare i dati dei clienti presenti in Scipafi, neanche attraverso CA Auto Bank. Inoltre l’informativa resa ai clienti non consentiva, all’epoca dei fatti, di individuare tipologia e origine dei dati trattati, i database consultati per verificare le posizioni reddituali dei clienti e se gli accessi ai database fossero effettuati direttamente da Drivalia o tramite CA Auto Bank.
Entro il termine stabilito, CA Auto Bank e Drivalia si sono avvalse della possibilità di estinguere il procedimento mediante il pagamento in misura ridotta di un importo pari alla metà della sanzione comminata.