Il Garante Privacy ha inflitto una maxi sanzione a Credit Agricole Auto Bank e Drivalia a causa di un trattamento illecito dei dati personali e reddituali dei clienti che richiedevano un finanziamento per il noleggio a lungo termine di automobili.
Illecita gestione dei dati e intervento del garante
Credit Agricole Auto Bank ha precedentemente fatto accesso al database Scipafi – Sistema centralizzato di prevenzione delle frodi – senza essere in possesso dell’autorizzazione necessaria del Ministero dell’Economia e delle Finanze, violando le normative in vigore. CA Auto Bank, agendo anche per conto della controllata Drivalia – società di leasing auto – ha utilizzato il database Scipafi per effettuare verifiche sui clienti. Nonostante mancasse l’autorizzazione per effettuare tali operazioni, queste verifiche venivano comunque effettuate e giustificate dalla banca come indagini necessarie al fine di prevenire truffe, insolvenze o altri eventi simili.
Nel caso specifico, l’intervento del Garante è stato sollecitato dal reclamo di un cliente che lamentava il mancato riscontro da parte della banca e di Drivalia. In particolare, il cliente aveva esposto la richiesta di conoscere le motivazioni del rifiuto del noleggio a lungo termine di un’auto e del suo inserimento nella lista dei cattivi pagatori.
In risposta alle richieste dell’Autorità, Credit Agricole Auto Bank ha affermato che il rifiuto del finanziamento e l’inserimento nella “black list” erano legati a una verifica negativa della situazione reddituale del cliente effettuata attraverso il database Scipafi.
CA Auto Bank e Drivalia: violazioni riscontrate e sanzioni
A seguito dell’attività istruttoria, il Garante ha rilevato diverse attività illecite in materia di trattamento di dati personali.
Per quanto riguarda Credit Agricole Auto Bank, gli illeciti verificano sono:
- Mancata autorizzazione di CA Auto Bank, da parte del MEF, a consultare il database Scipafi per conto di Drivalia;
- L’accesso al database era avvenuto senza aver previamente acquisito la dichiarazione dei redditi del cliente, un documento indispensabile per confrontare le informazioni presenti in Scipafi.
Inoltre, il Garante ha verificato delle violazioni da parte di Drivalia, tra cui:
- Mancata autorizzazione al trattamento dei i dati dei clienti presenti in Scipafi (neanche tramite Credit Agricole Auto Bank);
- L’informativa fornita ai clienti non specificava in modo chiaro la tipologia e l’origine dei dati trattati, né i database consultati per le verifiche sulla situazione reddituale, né se gli accessi ai database fossero effettuati direttamente da Drivalia o tramite la banca.
A seguito degli illeciti verificati, il Garante ha imposto alla banca una multa di un milione di euro, mentre alla società di leasing è stata sanzionata per 250 mila euro. Nella determinazione dell’importo della sanzione, il Garante ha considerato la gravità e la natura delle violazioni.
Entro il termine stabilito, Credit Agricole Auto Bank e Drivalia hanno scelto di estinguere il procedimento mediante il pagamento di un importo ridotto, pari alla metà della sanzione.