Le clausole di consenso concernenti il trattamento dei dati nelle richieste di carte di credito sollevano sistematicamente domande e critiche da parte della popolazione. Abbiamo quindi esaminato in profondità le formulazioni corrispondenti dei principali emittenti di carte e le abbiamo valutate in considerazione del trattamento dei dati che implicavano. Siamo giunti alla conclusione che queste clausole sembrano alla lettura peggiori di quanto non lo siano realmente. Nell’intento di aumentare la trasparenza in questo settore, abbiamo deciso di elaborare clausole standard e di metterle a disposizione degli emittenti di carte di credito.
Nel 2003 e nel 2004 abbiamo ricevuto numerose domande da parte della popolazione che si riferivano alle formulazioni contenute rispettivamente nelle condizioni generali (CG) e nei moduli di domanda per l’ottenimento di una carta di credito. La maggior parte delle domande riguardava le clausole nelle quali il richiedente si dichiara d’accordo con un trattamento dei dati descritto in modo più o meno chiaro (clausola di consenso). Per diversi interessati le formulazioni apparivano molto generiche e poco trasparenti.
All’inizio del 2004 abbiamo deciso di esaminare le clausole di consenso dei principali emittenti di carte di credito. L’esame verteva, da un lato, sulla chiarezza e la comprensibilità delle formulazioni, ossia sulla loro trasparenza, e, dall’altro, su quali trattamenti di dati si nascondevano dietro le clausole di consenso.
La prima valutazione, basata solamente sullo studio delle clausole di consenso, è risultata negativa. In effetti, le formulazioni esaminate non davano un’idea chiara del trattamento previsto. Abbiamo elaborato con vari emittenti di carte alcuni miglioramenti per le formulazioni che saranno apportati nella prossima versione delle CG o sono già stati apportati. Questi miglioramenti non erano però sufficienti per riconsiderare la nostra valutazione.
Dobbiamo ammettere che non siamo in grado di esaminare nei dettagli tutti i trattamenti dei dati che si svolgono nel sistema di pagamento delle carte di credito, a causa della complessità del sistema che comprende un numero elevato di attori e di infrastrutture e si estende in tutto il mondo.
Per questo motivo, ci siamo concentrati sul trattamento dei dati che gli emittenti di carte di credito eseguono sia durante l’emissione delle carte che durante la loro utilizzazione. La conclusione più importante a cui siamo giunti concerne la quantità e i dettagli dei dati ottenuti dall’emittente di carte per ogni transazione. Le nostre ricerche hanno rivelato che nella maggior parte delle transazioni i dettagli concernenti i beni e le prestazioni di servizio non sono trasmessi agli emittenti di carte. Di conseguenza, questi non possono usare strumenti di estrazione e ricombinazione di dati («data mining») su queste informazioni particolari. Come abbiamo costatato, gli emittenti ricevono soltanto le informazioni che sono riportate sulle fatture del titolare della carta. Ciò significa concretamente che, oltre alle informazioni sulla carta di credito stessa, sono trasmessi altri tre elementi: data, importo e punto di vendita. Dal punto di vista della protezione dei dati si può constatare che la comunicazione dei dati da parte del servizio che accetta la carta di credito all’emittente di carte è proporzionata, poiché quest’ultimo riceve solo i dati appropriati e necessari per eseguire il suo compito nel settore delle carte di credito. Sulla base di queste considerazioni, riteniamo che il trattamento dei dati, di cui abbiamo preso conoscenza durante le nostre valutazioni, da parte dell’emittente di carte è corretto dal punto di vista della protezione dei dati.
Altri trattamenti di dati che le clausole di consenso dovrebbero coprire sono effettuati da due tipi di destinatari. Da un lato, si tratta di fornitori esterni che prestano servizi informatici su mandato dell’emittente di carte, ma che non perseguono scopi propri nel trattamento dei dati. In base a quanto dichiarato dagli emittenti di carte (cioè da imprese che appartengono al settore bancario) deduciamo che essi impongono ai loro partner esterni il rispetto degli obblighi di mantenere il segreto contrattuali necessari. Dall’altro, si tratta di società partner che cooperano con gli emittenti di carte nell’ambito di cosiddetti programmi di fidelizzazione. Ad esempio, nel caso dei cosiddetti programmi per viaggiatori frequenti, secondo le proprie dichiarazioni gli emittenti di carte comunicano al partner soltanto l’importo accumulato sulla carta necessario per calcolare il numero di miglia. Dato che è limitata allo stretto necessario, questa comunicazione è considerata proporzionata.
Per quanto riguarda le formulazioni nelle CG, abbiamo introdotto i primi miglioramenti in collaborazione con gli emittenti di carte. Abbiamo inoltre esaminato come la trasparenza nelle CG possa essere migliorata. Per evitare di complicare maggiormente le condizioni generali, abbiamo deciso di elaborare una clausola standard conforme alle regole seguenti: primo, la clausola di consenso deve essere il più breve possibile, secondo, deve essere di facile comprensione per il titolare della carta e, terzo, deve essere completa. Al fine di rispettare queste condizioni, la clausola non contiene gli elementi già coperti dalla legge – come ad esempio il trattamento dei dati su mandato («outsourcing») – e gli elementi che appaiono evidenti. Sottoporremo questa clausola per parere agli emittenti di carte con un rapporto esplicativo e in seguito la pubblicheremo.
[Luglio 2006]