|
|
 |
|
Studio Legale
NewsLetter |
CODICE DI DEONTOLOGIA E DI BUONA CONDOTTA PER I SISTEMI INFORMATIVI GESTITI DA SOGGETTI PRIVATI IN TEMA DI CREDITI AL CONSUMO, AFFIDABILITA' E PUNTUALITA' NEI PAGAMENTI
Preambolo
I sottoindicati soggetti privati sottoscrivono il presente codice di deontologia
e di buona condotta sulla base delle seguenti premesse:
1) il trattamento di dati personali effettuato nell'ambito di sistemi
informativi di cui sono titolari soggetti privati, utilizzati a fini di credito
al consumo o comunque riguardanti l'affidabilita' e la puntualita' dei
pagamenti, deve svolgersi nel rispetto dei diritti, delle liberta' fondamentali
e della dignita' delle persone interessate, in particolare del diritto alla
protezione dei dati personali, del diritto alla riservatezza e del diritto all'identita'
personale;
2) con il presente codice sono individuate adeguate garanzie e modalita' di
trattamento a tutela dei diritti degli interessati da osservare nel perseguire
finalita' di tutela del credito e di contenimento dei relativi rischi, in modo
da agevolare anche l'accesso al credito al consumo e ridurre il rischio di
eccessivo indebitamento da parte degli interessati;
3) la sottoscrizione del presente codice e' promossa dal Garante per la
protezione dei dati personali nell'ambito delle associazioni rappresentative
degli operatori del settore, ai sensi degli articoli 12 e 117 del Codice in
materia di protezione dei dati personali (decreto legislativo 30 giugno 2003, n.
196/2003);
4) tutti coloro che utilizzano dati personali per le finalita' sopra indicate
devono osservare le regole di comportamento stabilite dal presente codice come
condizione essenziale per la liceita' e la correttezza del trattamento;
5) gli stessi operatori del settore devono rispettare, altresi', le garanzie
previste dal predetto Codice, in particolare in tema di manifestazione del
consenso e di altri presupposti di liceita';
6) il presente codice non riguarda sistemi informativi di cui sono titolari
soggetti pubblici e, in particolare, il servizio di centralizzazione dei rischi
gestito dalla Banca d'Italia (articoli 13, 53, comma 1, lettera b), 60, comma 1,
64, 67, comma 1, lettera b), 106, 107, 144 e 145 del decreto legislativo 1°
settembre 1993, n. 385 - Testo unico delle leggi in materia bancaria e
creditizia; delibera Cicr del 29 marzo 1994; provvedimento Banca d'Italia 10
agosto 1995 - circolare Banca d'Italia 11 febbraio 1991, n. 139 e successivi
aggiornamenti). Al sistema centralizzato di rilevazione dei rischi di importo
contenuto istituito con deliberazione Cicr del 3 maggio 1999 (in Gazzetta
Ufficiale 8 luglio 1999, n. 158) si applicano alcuni principi stabiliti dal
presente codice in tema di informativa agli interessati e di esercizio dei
diritti, in quanto compatibili con la specifica disciplina di riferimento (v.,
in particolare, le istruzioni della Banca d'Italia nella Gazzetta Ufficiale 21
novembre 2000, n. 272).
Art. 1. Definizioni
1. Ai fini del presente codice di deontologia e di buona condotta, si applicano
le definizioni elencate nel Codice in materia di protezione dei dati personali
(art. 4 decreto legislativo 30 giugno 2003, n. 196), di seguito denominato
«Codice». Ai medesimi fini, si intende inoltre per:
a) «richiesta/rapporto di credito»: qualsiasi richiesta o rapporto riguardanti
la concessione, nell'esercizio di un'attivita' commerciale o professionale, di
credito sotto forma di dilazione di pagamento, di finanziamento o di altra
analoga facilitazione finanziaria ai sensi del testo unico delle leggi in
materia bancaria e creditizia (decreto legislativo 1° settembre 1993, n. 385);
b) «regolarizzazione degli inadempimenti»: l'estinzione delle obbligazioni
pecuniarie inadempiute (derivanti sia da un mancato pagamento, sia da un
ritardo), senza perdite o residui anche a titolo di interessi e spese o comunque
a seguito di vicende estintive diverse dall'adempimento, in particolare a
seguito di transazioni o concordati;
c) «sistema di informazioni creditizie»: ogni banca di dati concernenti
richieste/rapporti di credito, gestita in modo centralizzato da una persona
giuridica, un ente, un'associazione o un altro organismo in ambito privato e
consultabile solo dai soggetti che comunicano le informazioni in essa registrate
e che partecipano al relativo sistema informativo. Il sistema puo' contenere, in
particolare:
1) informazioni creditizie di tipo negativo, che riguardano soltanto rapporti di
credito per i quali si sono verificati inadempimenti;
2) informazioni creditizie di tipo positivo e negativo, che attengono a
richieste/rapporti di credito a prescindere dalla sussistenza di inadempimenti
registrati nel sistema al momento del loro verificarsi;
d) «gestore»: il soggetto privato titolare del trattamento dei dati personali
registrati in un sistema di informazioni creditizie e che gestisce tale sistema
stabilendone le modalita' di funzionamento e di utilizzazione;
e) «partecipante»: il soggetto privato titolare del trattamento dei dati
personali raccolti in relazione a richieste/rapporti di credito, che in virtu'
di contratto o accordo con il gestore partecipa al relativo sistema di
informazioni creditizie e puo' utilizzare i dati presenti nel sistema,
obbligandosi a comunicare al
gestore i predetti dati personali relativi a richieste/rapporti di credito in
modo sistematico, in un quadro di reciprocita' nello scambio di dati con gli
altri partecipanti. Fatta eccezione di soggetti che esercitano attivita' di
recupero crediti, il partecipante puo' essere:
1) una banca;
2) un intermediario finanziario;
3) un altro soggetto privato che, nell'esercizio di un'attivita' commerciale o
professionale, concede una dilazione di pagamento del corrispettivo per la
fornitura di beni o servizi;
f) «consumatore»: la persona fisica che, in relazione ad una richiesta/rapporto
di credito, agisce per scopi non riferibili all'attivita' imprenditoriale o
professionale eventualmente svolta;
g) «tempo di conservazione dei dati»: il periodo nel quale i dati personali
relativi a richieste/rapporti di credito rimangono registrati in un sistema di
informazioni creditizie ed utilizzabili dai partecipanti per le finalita' di cui
al presente codice;
h) «tecniche o sistemi automatizzati di credit scoring»: le modalita' di
organizzazione, aggregazione, raffronto od elaborazione di dati personali
relativi a richieste/rapporti di credito, consistenti nell'impiego di sistemi
automatizzati basati sull'applicazione di metodi o modelli statistici per
valutare il rischio creditizio, e i cui risultati sono espressi in forma di
giudizi sintetici, indicatori numerici o punteggi, associati all'interessato,
diretti a fornire una rappresentazione, in termini predittivi o probabilistici,
del suo profilo di rischio, affidabilita' o puntualita' nei pagamenti.
Art. 2. Finalita' del trattamento
1. Il trattamento dei dati personali contenuti in un sistema di informazioni
creditizie e' effettuato dal gestore e dai partecipanti esclusivamente per
finalita' correlate alla tutela del credito e al contenimento dei relativi
rischi e, in particolare, per valutare la situazione finanziaria e il merito
creditizio degli interessati o, comunque, la loro affidabilita' e puntualita'
nei pagamenti.
2. Non puo' essere perseguito alcun altro scopo, specie se relativo a ricerche
di mercato e promozione, pubblicita' o vendita diretta di prodotti o servizi.
Art. 3. Requisiti e categorie dei dati
1. Il trattamento effettuato nell'ambito di un sistema di informazioni
creditizie riguarda solo dati riferiti al soggetto che chiede di instaurare o e'
parte di un rapporto di credito con un partecipante e al soggetto coobbligato,
anche in solido, la cui posizione e' chiaramente distinta da quella del debitore
principale.
2. Il trattamento non puo' riguardare i dati sensibili e quelli giudiziari, e
concerne dati personali di tipo obiettivo, strettamente pertinenti e non
eccedenti rispetto alle finalita' perseguite, relativi ad una richiesta/rapporto
di credito, e concernenti anche ogni vicenda intervenuta a qualsiasi titolo o
causa fino alla regolarizzazione degli inadempimenti, nel rispetto dei tempi di
conservazione stabiliti dall'art. 6.
3. Per ogni richiesta/rapporto di credito segnalato ad un sistema di
informazioni creditizie possono essere trattate le seguenti categorie di dati,
che il gestore indica in un elenco reso agevolmente disponibile su un proprio
sito della rete di comunicazione, nonche' comunica analiticamente agli
interessati su loro richiesta:
a) dati anagrafici, codice fiscale o partita IVA;
b) dati relativi alla richiesta/rapporto di credito, descrittivi, in
particolare, della tipologia di contratto, dell'importo del credito, delle
modalita' di rimborso e dello stato della richiesta o dell'esecuzione del
contratto;
c) dati di tipo contabile relativi ai pagamenti, al loro andamento periodico,
all'esposizione debitoria anche residua e alla sintesi dello stato contabile del
rapporto;
d) dati relativi ad attivita' di recupero del credito o contenziose, alla
cessione del credito o a eccezionali vicende che incidono sulla situazione
soggettiva o patrimoniale di imprese, persone giuridiche o altri enti.
4. Le codifiche ed i criteri eventualmente utilizzati per registrare dati in un
sistema di informazioni creditizie e per facilitarne il trattamento sono diretti
esclusivamente a fornire una rappresentazione oggettiva e corretta degli stessi
dati, nonche' delle vicende del rapporto di credito segnalato. L'utilizzo di
tali codifiche e criteri e' accompagnato da precise indicazioni circa il loro
significato, fornite dal gestore, osservate dai partecipanti e rese agevolmente
disponibili da entrambi, anche a richiesta degli interessati.
5. Nel sistema di informazioni creditizie sono registrati gli estremi
identificativi del partecipante che ha comunicato i dati personali relativi alla
richiesta/rapporto di credito. Tali estremi sono accessibili al gestore o agli
interessati e non anche intermediari partecipanti.
Art. 4. Modalita' di raccolta e registrazione dei dati
1. Salvo quanto previsto dal comma 5, il gestore acquisisce esclusivamente dai
partecipanti i dati personali da registrare nel sistema di informazioni
creditizie.
2. Il partecipante adotta idonee procedure di verifica per garantire la lecita
utilizzabilita' nel sistema, la correttezza e l'esattezza dei dati comunicati al
gestore.
3. All'atto del ricevimento dei dati, il gestore verifica la loro congruita'
attraverso controlli di carattere formale e logico e, se i dati risultano
incompleti od incongrui, li ritrasmette al partecipante che li ha comunicati, ai
fini delle necessarie integrazioni e correzioni. All'esito dei controlli e delle
eventuali integrazioni e correzioni, i dati sono registrati nel sistema di
informazioni creditizie e resi disponibili a tutti i partecipanti.
4. Il partecipante verifica con cura i dati da esso trattati e risponde
tempestivamente alle richieste di verifica del gestore, anche a seguito
dell'esercizio di un diritto da parte dell'interessato.
5. Eventuali operazioni di eliminazione, integrazione o modificazione dei dati
registrati in un sistema di informazioni creditizie sono disposte direttamente
dal partecipante che li ha comunicati, ove tecnicamente possibile, ovvero dal
gestore su richiesta del medesimo partecipante o d'intesa con esso, anche a
seguito dell'esercizio di un diritto da parte dell'interessato, oppure in
attuazione di un provvedimento dell'autorita' giudiziaria o del Garante.
6. I dati relativi al primo ritardo nei pagamenti in un rapporto di credito sono
utilizzati e resi accessibili agli altri partecipanti nel rispetto dei seguenti
termini:
a) nei sistemi di informazioni creditizie di tipo negativo, dopo almeno
centoventi giorni dalla data di scadenza del pagamento o in caso di mancato
pagamento di almeno quattro rate mensili non regolarizzate;
b) nei sistemi di informazioni creditizie di tipo positivo e negativo:
1) qualora l'interessato sia un consumatore, decorsi sessanta giorni
dall'aggiornamento mensile di cui al successivo comma 8, oppure in caso di
mancato pagamento di almeno due rate mensili consecutive, oppure quando il
ritardo si riferisce ad una delle due ultime scadenze di pagamento. Nel secondo
caso i dati sono resi accessibili dopo l'aggiornamento mensile relativo alla
seconda rata consecutivamente non pagata;
2) negli altri casi, dopo almeno trenta giorni dall'aggiornamento mensile di cui
al successivo comma 8 o in caso di mancato pagamento di una rata.
7. Al verificarsi di ritardi nei pagamenti, il partecipante, anche unitamente
all'invio di solleciti o di altre comunicazioni, avverte l'interessato circa
l'imminente registrazione dei dati in uno o piu' sistemi di informazioni
creditizie. I dati relativi al primo ritardo di cui al comma 6 possono essere
resi accessibili ai partecipanti solo decorsi almeno quindici giorni dalla
spedizione del preavviso all'interessato.
8. Fermo restando quanto previsto dal comma 6, i dati registrati in un sistema
di informazioni creditizie sono aggiornati periodicamente, con cadenza mensile,
a cura del partecipante che li ha comunicati.
Art. 5. Informativa
1. Al momento della raccolta dei dati personali relativi a richieste/rapporti di
credito, il partecipante informa l'interessato ai sensi dell'art. 13 del Codice
anche con riguardo al trattamento dei dati personali effettuato nell'ambito di
un sistema di informazioni creditizie.
2. L'informativa di cui al comma 1 reca in modo chiaro e preciso, nell'ambito
della descrizione delle finalita' e delle modalita' del trattamento, nonche'
degli altri elementi di cui all'art. 13 del Codice, le seguenti indicazioni:
a) estremi identificativi dei sistemi di informazioni creditizie cui sono
comunicati i dati personali e dei rispettivi gestori;
b) categorie di partecipanti che vi accedono;
c) tempi di conservazione dei dati nei sistemi di informazioni creditizie cui
sono comunicati;
d) modalita' di organizzazione, raffronto ed elaborazione dei dati, nonche'
eventuale uso di tecniche o sistemi automatizzati di credit scoring;
e) modalita' per l'esercizio da parte degli interessati dei diritti previsti
dall'art. 7 del Codice.
3. L'informativa di cui al comma 2 e' fornita agli interessati per iscritto
secondo il modello allegato alla deliberazione che verifica la conformita' del
presente codice e, se inserita in un modulo utilizzato dal partecipante, e'
adeguatamente evidenziata e collocata in modo autonomo ed unitario, in parti o
riquadri distinti da quelli relativi ad eventuali altre finalita' del
trattamento effettuato dal medesimo partecipante.
4. L'informativa dovuta per effetto di eventuali aggiornamenti o modifiche
relativi alle indicazioni rese ai sensi del comma 2, anche in caso di
cambiamento della denominazione e della sede del gestore, e' fornita attraverso
comunicazioni periodiche, nonche' su uno o piu' siti Internet e a richiesta
degli interessati.
5. Ad integrazione dell'informativa resa dai partecipanti singolarmente ad ogni
interessato, il gestore fornisce un'informativa piu' dettagliata attraverso
modalita' ulteriori di diffusione delle informazioni al pubblico, anche mediante
strumenti telematici.
6. Quando la richiesta di credito non e' accolta, il partecipante comunica
all'interessato se, per istruire la richiesta di credito, ha consultato dati
personali relativi ad informazioni creditizie di tipo negativo in uno o piu'
sistemi, indicandogli gli estremi identificativi del sistema da cui sono state
rilevate tali informazioni e del relativo gestore.
7. Il partecipante fornisce all'interessato le altre notizie di cui agli
articoli 9, comma 1, lettera d), e 10, comma 1, lettera c).
Art. 6. Conservazione e aggiornamento dei dati
1. I dati personali riferiti a richieste di credito, comunicati dai
partecipanti, possono essere conservati in un sistema di informazioni creditizie
per il tempo necessario alla relativa istruttoria e comunque non oltre
centottanta giorni dalla data di presentazione delle richieste medesime. Se la
richiesta di credito non e' accolta o e' oggetto di rinuncia il partecipante ne
da' notizia al gestore con l'aggiornamento mensile di cui all'art. 4, comma 8.
In tal caso, i dati personali relativi alla richiesta cui l'interessato ha
rinunciato o che non e' stata accolta possono essere conservati nel sistema non
oltre trenta giorni dalla data del loro
aggiornamento.
2. Le informazioni creditizie di tipo negativo relative a ritardi nei pagamenti,
successivamente regolarizzati, possono essere conservate in un sistema di
informazioni creditizie fino a:
a) dodici mesi dalla data di registrazione dei dati relativi alla
regolarizzazione di ritardi non superiori a due rate o mesi;
b) ventiquattro mesi dalla data di registrazione dei dati relativi alla
regolarizzazione di ritardi superiori a due rate o mesi.
3. Decorsi i periodi di cui al comma 2, i dati sono eliminati dal sistema di
informazioni creditizie se nel corso dei medesimi intervalli di tempo non sono
registrati dati relativi ad ulteriori ritardi o inadempimenti.
4. Il partecipante ed il gestore aggiornano senza ritardo i dati relativi alla
regolarizzazione di inadempimenti di cui abbiano conoscenza, avvenuta dopo la
cessione del credito da parte del partecipante ad un soggetto che non partecipa
al sistema, anche a seguito di richiesta dell'interessato munita di
dichiarazione del soggetto cessionario del credito o di altra idonea
documentazione.
5. Le informazioni creditizie di tipo negativo relative a inadempimenti non
successivamente regolarizzati possono essere conservate nel sistema di
informazioni creditizie non oltre trentasei mesi dalla data di scadenza
contrattuale del rapporto oppure, in caso di altre vicende rilevanti in
relazione al pagamento, dalla data in cui e' risultato necessario il loro ultimo
aggiornamento, o comunque dalla data di cessazione del rapporto.
6. Le informazioni creditizie di tipo positivo relative ad un rapporto che si e'
esaurito con estinzione di ogni obbligazione pecuniaria, possono essere
conservate nel sistema non oltre ventiquattro mesi dalla data di cessazione del
rapporto o di scadenza del relativo contratto, ovvero dal primo aggiornamento
effettuato nel mese successivo a tali date. Tenendo conto del requisito della
completezza dei dati in rapporto alle finalita' perseguite (art. 11, comma 1,
lettera d) del Codice), le predette informazioni di tipo
positivo possono essere conservate ulteriormente nel sistema qualora in quest'ultimo
risultino presenti, in relazione ad altri rapporti di credito riferiti al
medesimo interessato, informazioni creditizie di tipo negativo concernenti
ritardi od inadempimenti non regolarizzati. In tal caso, le informazioni
creditizie di tipo positivo sono eliminate dal sistema allo scadere del termine
previsto dal comma 5 per la conservazione delle informazioni di tipo negativo
registrate nel sistema in riferimento agli altri rapporti di credito con
l'interessato.
7. Qualora il consumatore interessato comunichi al partecipante la revoca del
consenso al trattamento delle informazioni di tipo positivo, nell'ambito del
sistema di informazioni creditizie, il partecipante ne da' notizia al gestore
con l'aggiornamento mensile di cui all'art. 4, comma 8. In tal caso, e in quello
in cui la revoca gli sia stata comunicata direttamente dall'interessato, il
gestore registra la notizia nel sistema ed elimina le informazioni non oltre
novanta giorni dall'aggiornamento o dalla comunicazione.
8. Prima dell'eliminazione dei dati dal sistema di informazioni creditizie nei
termini indicati ai precedenti commi, il gestore puo' trasporre i dati su altro
supporto, ai fini della limitata conservazione per il tempo necessario,
esclusivamente in relazione ad esigenze di difesa di un proprio diritto in sede
giudiziaria, nonche' della loro eventuale elaborazione statistica in forma
anonima.
9. Le disposizioni del presente art. non riguardano la conservazione ad uso
interno, da parte del partecipante, della documentazione contrattuale o
contabile contenente i dati personali relativi alla richiesta/rapporto di
credito.
Art. 7. Utilizzazione dei dati
1. Il partecipante puo' accedere al sistema di informazioni creditizie anche
mediante consultazione di copia della relativa banca dati, rispetto a dati per i
quali sussiste un suo giustificato interesse, riguardanti esclusivamente:
a) consumatori che chiedono di instaurare o sono parte di un rapporto di credito
con il medesimo partecipante e soggetti coobbligati, anche in solido;
b) soggetti che agiscono nell'ambito della loro attivita' imprenditoriale o
professionale per i quali sia stata avviata un'istruttoria per l'instaurazione
di un rapporto di credito o comunque per l'assunzione di un rischio di credito,
oppure che siano gia' parte di un rapporto di credito con il medesimo
partecipante;
c) soggetti aventi un collegamento di tipo giuridico con quelli di cui alla
lettera b), in particolare in quanto obbligati in solido o appartenenti a gruppi
di imprese, sempre che i dati personali cui il partecipante intende accedere
risultino oggettivamente necessari per valutare la situazione finanziaria e il
merito creditizio dei soggetti di cui alla stessa lettera b).
2. Il sistema di informazioni creditizie e' accessibile dal partecipante e dal
gestore solo da un numero limitato, rispetto all'intera organizzazione del
titolare, di responsabili ed incaricati del trattamento designati per iscritto,
con esclusivo riferimento ai dati strettamente necessari, pertinenti e non
eccedenti in rapporto alle finalita' indicate nell'art. 2, in relazione alle
specifiche esigenze derivanti dall'istruttoria di una richiesta di credito o
dalla gestione di un rapporto, concretamente verificabili sulla base degli
elementi in possesso dei partecipanti medesimi. Nei soli limiti e con le
medesime modalita' appena indicate, il sistema e' accessibile anche da banche ed
intermediari finanziari appartenenti al gruppo bancario del partecipante
all'esclusivo fine di curare l'istruttoria per l'instaurazione del rapporto di
credito con l'interessato o comunque per l'assunzione del relativo rischio.
3. I partecipanti accedono al sistema di informazioni creditizie attraverso le
modalita' e gli strumenti anche telematici individuati per iscritto con il
gestore, nel rispetto della normativa sulla protezione dei dati personali. I
dati personali relativi a richieste/rapporti di credito registrati in un sistema
di informazioni creditizie sono consultabili con modalita' di accesso graduale e
selettivo, attraverso uno o piu' livelli di consultazione di informazioni
sintetiche o riepilogative dei dati riferiti all'interessato, prima della loro
visione in dettaglio e con riferimento anche ad eventuali dati riferiti a
soggetti coobbligati o collegati ai sensi del comma 1. Sono, in ogni caso,
precluse, anche tecnicamente, modalita' di accesso che permettano interrogazioni
di massa o acquisizioni di elenchi di dati concernenti richieste/rapporti di
credito relativi a soggetti diversi da quelli che hanno chiesto di instaurare o
sono parte di un rapporto di
credito con il partecipante.
4. Non e' inoltre consentito l'accesso ad un sistema di informazioni creditizie
da parte di terzi, fatte salve le richieste da parte di organi giudiziari e di
polizia giudiziaria per ragioni di giustizia, oppure da parte di altre
istituzioni, autorita', amministrazioni o enti pubblici nei soli casi previsti
da leggi, regolamenti o normative comunitarie e con l'osservanza delle norme che
regolano la materia.
Art. 8. Accesso ed esercizio di altri diritti degli interessati
1. In relazione ai dati personali registrati in un sistema di informazioni
creditizie, gli interessati possono esercitare i propri diritti secondo le
modalita' stabilite dal Codice, sia presso il gestore, sia presso i partecipanti
che li hanno comunicati. Tali soggetti garantiscono, anche attraverso idonee
misure organizzative e tecniche, un riscontro tempestivo e completo alle
richieste avanzate.
2. Nella richiesta con la quale esercita i propri diritti, l'interessato indica
anche, ove possibile, il codice fiscale e/o la partita IVA, al fine di agevolare
la ricerca dei dati che lo riguardano nel sistema di informazioni creditizie.
3. Il terzo al quale l'interessato conferisce, per iscritto, delega o procura
per l'esercizio dei propri diritti, puo' trattare i dati personali acquisiti
presso un sistema di informazioni creditizie esclusivamente per finalita' di
tutela dei diritti dell'interessato, con esclusione di ogni altro scopo
perseguito dal terzo medesimo o da soggetti ad esso collegati.
4. Il partecipante, al quale e' rivolta una richiesta con cui e' esercitato
taluno dei diritti di cui all'art. 7 del Codice relativamente alle informazioni
creditizie registrate in un sistema, fornisce direttamente riscontro nei termini
previsti dall'art. 146, commi 2 e 3 del Codice e dispone le eventuali modifiche
ai dati ai sensi dell'art. 4, comma 5. Se la richiesta e' rivolta al gestore,
quest'ultimo provvede anch'esso direttamente nei medesimi termini, consultando
ove necessario il partecipante.
5. Qualora sia necessario svolgere ulteriori o particolari verifiche con il
partecipante, il gestore informa l'interessato di tale circostanza entro il
termine di quindici giorni previsto dal codice ed indica un altro termine per la
risposta, che non puo' essere superiore ad ulteriori quindici giorni. Durante il
periodo necessario ad effettuare le ulteriori verifiche con il partecipante, il
gestore:
a) nell'arco dei primi quindici giorni, mantiene nel sistema di informazioni
creditizie l'indicazione relativa allo svolgimento delle verifiche, tramite
specifica codifica o apposito messaggio da apporre in corrispondenza dei dati
oggetto delle richieste dell'interessato;
b) negli ulteriori quindici giorni, sospende la visualizzazione nel sistema di
informazioni creditizie dei dati oggetto delle verifiche.
6. In caso di richieste di cui al comma 4 riguardanti effettive contestazioni
relative ad inadempimenti del venditore/fornitore dei beni o servizi oggetto del
contratto sottostante al rapporto di credito, il gestore annota senza ritardo
nel sistema di informazioni creditizie, su richiesta dell'interessato, del
partecipante o informando quest'ultimo, la notizia relativa all'esistenza di
tali contestazioni, tramite l'inserimento di una specifica codifica da apporre
in corrispondenza dei dati relativi al rapporto di credito.
Art. 9. Uso di tecniche o sistemi automatizzati di credit scoring
1. Nei casi in cui i dati personali contenuti in un sistema di informazioni
creditizie siano trattati anche mediante l'impiego di tecniche o sistemi
automatizzati di credit scoring, il gestore e i partecipanti assicurano il
rispetto dei seguenti principi:
a) le tecniche o i sistemi, messi a disposizione dal gestore o impiegati per
conto dei partecipanti, possono essere utilizzati solo per l'istruttoria di una
richiesta di credito o per la gestione dei rapporti di credito instaurati;
b) i dati relativi a giudizi, indicatori o punteggi associati ad un interessato
sono elaborati e comunicati dal gestore al solo partecipante che ha ricevuto la
richiesta di credito dall'interessato o che ha precedentemente comunicato dati
riguardanti il relativo rapporto di credito e, comunque, non sono conservati nel
sistema di informazioni creditizie ai sensi dell'art. 6 del presente codice, ne'
resi accessibili agli altri partecipanti;
c) i modelli o i fattori di analisi statistica, nonche' gli algoritmi di calcolo
dei giudizi, indicatori o punteggi sono verificati periodicamente con cadenza
almeno annuale ed aggiornati in funzione delle risultanze di tali verifiche;
d) quando la richiesta di credito non e' accolta, il partecipante comunica
all'interessato se, per istruire la richiesta di credito, ha consultato dati
relativi a giudizi, indicatori o punteggi di tipo negativo ottenuti mediante
l'uso di tecniche o sistemi automatizzati di credit scoring e, su sua richiesta,
gli fornisce tali dati, nonche' una spiegazione delle logiche di funzionamento
dei sistemi utilizzati e delle principali tipologie di fattori tenuti in
considerazione nell'elaborazione.
Art. 10. Trattamento di dati provenienti da fonti pubbliche
1. Nei casi in cui il gestore di un sistema di informazioni creditizie,
direttamente o per il tramite di societa' collegate o controllate, effettua in
ogni forma di dati personali provenienti da pubblici registri, elenchi, atti o
documenti conoscibili da chiunque o comunque fornisce ai partecipanti servizi
per accedere ai dati provenienti da tali fonti, fermi restando i limiti e le
modalita' che le leggi stabiliscono per la loro conoscibilita' e pubblicita',
nonche' le disposizioni di cui all'art. 61, comma 1, del Codice, il gestore e i
partecipanti assicurano il rispetto dei seguenti principi:
a) i dati personali provenienti da pubblici registri, elenchi, atti o documenti
conoscibili da chiunque, se registrati, devono figurare in banche di dati
personali separate dal sistema di informazioni creditizie e non interconnesse a
tale sistema;
b) nel caso di accesso del partecipante a dati personali contenuti sia in un
sistema di informazioni creditizie, sia in una delle banche di dati di cui alla
lettera a), il gestore adotta le adeguate misure tecniche ed organizzative al
fine di assicurare la separazione e la distinguibilita' dei dati provenienti dal
sistema di informazioni creditizie rispetto a quelli provenienti da altre banche
dati, anche attraverso l'inserimento di idonee indicazioni, eliminando ogni
possibilita' di equivoco circa la diversa natura ed origine dei dati oggetto
dell'accesso;
c) quando la richiesta di credito non e' accolta, il partecipante comunica
all'interessato se, per istruire la richiesta di credito, ha consultato anche
dati personali di tipo negativo nelle banche di dati di cui alla lettera a) e,
su sua richiesta, specifica la fonte pubblica da cui provengono i dati medesimi.
Art. 11. Misure di sicurezza dei dati
1. I dati personali oggetto di trattamento nell'ambito di un sistema di
informazioni creditizie hanno carattere riservato e non possono essere divulgati
a terzi, al di fuori dei casi previsti dal Codice e nei precedenti articoli.
2. Le persone fisiche che, in qualita' di responsabili o di incaricati del
trattamento designati dal gestore o dai partecipanti, hanno accesso al sistema
di informazioni creditizie, mantengono il segreto sui dati personali acquisiti e
rispondono della violazione degli obblighi di riservatezza derivanti da
un'utilizzazione dei dati o una divulgazione a terzi per finalita' diverse o
incompatibili con le finalita' di cui all'art. 2 del presente codice o comunque
non consentite.
3. Il gestore e i partecipanti adottano le misure tecniche, logiche,
informatiche, procedurali, fisiche ed organizzative idonee ad assicurare la
sicurezza, l'integrita' e la riservatezza dei dati personali e delle
comunicazioni elettroniche in conformita' alla disciplina in materia di
protezione dei dati personali.
4. Il gestore adotta adeguate misure di sicurezza al fine di garantire il
corretto e regolare funzionamento del sistema di informazioni creditizie,
nonche' il controllo degli accessi. Questi ultimi sono registrati e memorizzati
nel sistema informativo del gestore medesimo o di ogni partecipante presso cui
risieda copia della stessa banca dati.
5. In relazione al rispetto degli obblighi di sicurezza, riservatezza e
segretezza di cui al presente articolo, il gestore e i partecipanti impartiscono
specifiche istruzioni per iscritto ai rispettivi responsabili ed incaricati del
trattamento e vigilano sulla loro puntuale osservanza, anche attraverso
verifiche da parte di idonei organismi di controllo.
Art. 12. Misure sanzionatorie
1. Ferme restando le sanzioni amministrative, civili e penali previste dalla
normativa vigente, i gestori e i partecipanti prevedono d'intesa tra di loro,
anche per il tramite delle associazioni che sottoscrivono il presente codice,
idonei meccanismi per l'applicazione, in particolare da parte delle associazioni
di categoria che sottoscrivono il presente codice o dell'organismo di cui
all'art. 13, comma 7, previa informativa al Garante, di misure sanzionatorie
graduate a seconda della gravita' della violazione. Le misure comprendono il
richiamo formale, la sospensione o la revoca dell'autorizzazione ad accedere al
sistema di informazioni creditizie e, nei casi piu' gravi, anche la
pubblicazione della notizia della violazione su uno o piu' quotidiani o
periodici nazionali, a spese del contravventore.
Art. 13. Disposizioni transitorie e finali
1. Le misure necessarie per l'applicazione del presente codice di deontologia e
di buona condotta sono adottate dai soggetti tenuti a rispettarlo al piu' tardi
entro il 30 aprile 2005.
2. Entro il termine di cui al comma 1, il gestore del sistema centralizzato di
rilevazione dei rischi di importo contenuto, istituito con deliberazione Cicr
del 3 maggio 1999 (pubblicata nella Gazzetta Ufficiale 8 luglio 1999, n. 158),
nonche' i relativi partecipanti, adottano le misure necessarie per
l'applicazione degli articoli 5 e 8, commi 1, 2, 3, 4 e 5, primo periodo, del
presente codice in tema di informativa agli interessati e di esercizio dei
diritti, ad integrazione di quanto previsto nel punto 3 delle istruzioni della
Banca d'Italia (pubblicate nella Gazzetta Ufficiale 21 novembre 2000, n. 272).
3. I partecipanti forniscono entro i tre mesi successivi al termine di cui al
comma 1, nell'ambito delle comunicazioni periodiche inviate alla clientela, le
informazioni di cui all'art. 5, commi 1 e 2, del presente codice eventualmente
non comprese nelle informative precedentemente rese agli interessati i cui dati
personali risultino gia' registrati in un sistema di informazioni creditizie.
4. In sede di prima applicazione delle disposizioni di cui all'art. 6, comma 6,
i gestori riducono entro il 30 giugno 2005, ad un termine non superiore a
trentasei mesi, i tempi di conservazione dei dati personali relativi ad
informazioni creditizie di tipo positivo. Entro il 31 dicembre 2005 l'organismo
di cui al comma 7 valuta, con atto motivato, se l'esperienza maturata e
l'incidenza delle misure previste dal presente codice sui diritti degli
interessati, tenuto anche conto dell'efficienza dei sistemi di informazioni
creditizie, giustifichino il mantenimento del predetto termine di trentasei
mesi. Il medesimo termine si intende mantenuto qualora il Garante, su richiesta
del predetto organismo o di propria iniziativa, non disponga diversamente. Entro
il 31 gennaio 2006 il Garante dispone la pubblicazione sulla Gazzetta Ufficiale
del proprio provvedimento o di un avviso indicante il termine da osservare.
5. Al fine di consentire il controllo sulla corretta attuazione delle
disposizioni del presente codice, ogni gestore comunica al Garante, non oltre
due mesi dal termine di cui al comma 1 e secondo le modalita' indicate da quest'ultimo:
a) oltre ai propri estremi identificativi e recapiti, una descrizione generale
delle modalita' di funzionamento del sistema di informazioni creditizie e di
accesso da parte dei partecipanti, che permetta di valutare l'adeguatezza delle
misure, anche tecniche ed organizzative, adottate per l'applicazione del
presente codice;
b) in relazione alle parti aventi riflessi in materia di protezione dei dati
personali e di applicazione del presente codice, i modelli di contratti,
accordi, convenzioni, regolamenti o istruzioni che disciplinano le modalita' di
partecipazione ed accesso dei partecipanti al sistema di informazioni
creditizie, nonche' la documentazione circa le misure adottate in tema di
sicurezza, riservatezza e segretezza dei dati;
c) i documenti di cui agli articoli 3, commi 3 e 4, 5, commi 4 e 5, e di cui al
successivo comma 7.
6. Le comunicazioni di cui al comma 5 sono inviate al Garante, anche
successivamente al predetto termine, da qualsiasi titolare che, in qualita' di
gestore di un sistema di informazioni creditizie, intenda procedere ad un
trattamento di dati personali soggetto all'ambito di applicazione del presente
codice. I gestori trasmettono al Garante eventuali variazioni delle
comunicazioni e dei documenti precedentemente inviati, non oltre la fine
dell'anno in cui sono avvenute le variazioni.
7. Il gestore effettua verifiche periodiche, con cadenza almeno annuale, sulla
liceita' e correttezza del trattamento, controllando l'esattezza e completezza
dei dati riferiti ad un congruo numero di richieste/rapporti di credito,
estratti a campione. Il controllo e' eseguito da un organismo composto da almeno
un rappresentante del gestore, un rappresentante dei partecipanti designato a
rotazione e un rappresentante delle associazioni dei consumatori designato dal
Consiglio nazionale dei consumatori ed utenti. Il verbale dei controlli e'
trasmesso al Garante.
8. Allo scopo di vigilare sulla puntuale osservanza delle disposizioni contenute
nel presente codice e fermi restando i poteri previsti dal Codice in materia di
accertamenti e controlli, il Garante puo' concordare con il gestore l'esecuzione
di altre verifiche periodiche presso i luoghi ove si svolge il trattamento dei
dati personali, con eventuali accessi, anche a campione, al sistema di
informazioni creditizie. Il Garante puo' eseguire analoghi controlli concordati
sugli accessi effettuati da parte dei partecipanti.
9. Le associazioni di categoria che sottoscrivono il presente codice e i gestori
avviano forme di collaborazione con le associazioni dei consumatori e con il
Garante, al fine di individuare sia soluzioni operative per il rispetto del
presente codice, sia sistemi alternativi di risoluzione delle controversie
derivanti dall'applicazione del presente codice.
10. Il Garante, anche su richiesta delle associazioni di categoria che
sottoscrivono il presente codice, promuove il periodico riesame e l'eventuale
adeguamento alla luce del progresso tecnologico, dell'esperienza acquisita nella
sua applicazione o di novita' normative.
Art. 14. Entrata in vigore
1. Il presente codice si applica a decorrere dal 1° gennaio 2005.
------------
CODICE DI DEONTOLOGIA E DI BUONA CONDOTTA PER I SISTEMI INFORMATIVI GESTITI DA
SOGGETTI PRIVATI IN TEMA DI CREDITI AL CONSUMO, AFFIDABILITA' E PUNTUALITA' NEI
PAGAMENTI (ART. 117 DEL DECRETO LEGISLATIVO N. 196/2003)
Sottoscritto da:
AISReC - Associazione italiana delle societa' di referenza creditizia;
ABI - Associazione bancaria italiana;
FEDERCASSE - Federazione italiana delle banche di credito cooperativo;
ASSOFIN - Associazione italiana del credito al consumo e immobiliare;
ASSILEA - Associazione italiana leasing;
CTC - Consorzio per la tutela del credito;
ADICONSUM - Associazione difesa consumatori e ambiente;
ADOC - Associazione per la difesa e l'orientamento dei consumatori;
ADUSBEF - Associazione difesa utenti servizi bancari finanziari assicurativi e
postali;
CODACONS - Coordinamento delle associazioni per la difesa dell'ambiente e la
tutela dei diritti di utenti e di consumatori;
FEDERCONSUMATORI - Federazione nazionale consumatori e utenti.
Allegato: modello di
informativa
