WEBINAR / 14 maggio
La POG nelle nuove aspettative di vigilanza IVASS

ZOOM MEETING

Offerte per iscrizioni entro il 24/04

SCOPRI I DETTAGLI

WEBINAR / 14 maggio
La POG nelle nuove aspettative di vigilanza IVASS
Guarda i dettagli
Login
Contatti
Categorie tematiche
Categorie tematiche
Link veloci
Link veloci
DB Business
DB Business
Chi siamo
Chi siamo
Contatti
Login
www.dirittobancario.it
Attualità
Privacy Rapporti bancari

Codice di condotta SIC: le nuove regole del Garante Privacy

9 Febbraio 2023

Valerio Natale, Senior Associate, Hogan Lovells

Alessandro Bacchilega, Trainee, Hogan Lovells

Di cosa si parla in questo articolo
Centrale rischi GDPR
Vuoi leggere la versione PDF?
Condividi

Il presente contributo analizza le nuove regole per la partecipazione ai Sistemi di Informazione Creditizia (SIC) definite nel Codice di Condotta del Garante Privacy.

1. Premessa

È in forte espansione, nel mercato online, la possibilità di eseguire pagamenti rateali per l’acquisto di prodotti e servizi, anche di importo esiguo e talvolta senza interessi, attraverso modalità di adesione semplificate e veloci. Si tratta, in particolare, di una possibilità sempre più spesso offerta da nuovi attori del contesto fintech, alcuni nati proprio sulla scorta di tale trend.

Ai fini della determinazione del grado di affidabilità creditizia, i soggetti che concedono il credito ricorrono sempre più spesso alla consultazione dei cd. Sistemi di Informazione Creditizia (“SIC”), amministrati da agenzie private, spesso definite denominate Credit Rating Agencies (CRAs), che raccolgono e gestiscono informazioni relative a richieste, esiti e rapporti di credito tra clienti e concedenti del credito. Si tratta, per questi ultimi, di una utile risorsa per la valutazione della solvibilità dei richiedenti il credito, la quale va solitamente ad arricchire le informazioni che i prestatori già dispongono in virtù di rapporti pregressi con i clienti stessi.

È evidente come i SIC rappresentino, oltre che una risorsa di estrema importanza per la stabilità e la sostenibilità del sistema creditizio in generale, anche degli strumenti capaci di produrre effetti giuridici di forte impatto sui soggetti interessati, posto che dall’esito della consultazione può dipendere la concessione o meno di un credito o di un’altra facilitazione finanziaria. Ciò è vero tanto più oggi che la platea dei partecipanti al SIC – ovvero i soggetti che possono consultare e contribuire ad alimentarne la banca dati sottostante – è divenuta estremamente ampia e include non solo le banche, le società finanziarie e tutti gli intermediari finanziari in senso stretto, ma anche i soggetti autorizzati a svolgere in Italia l’attività di factoring, gli istituti di pagamento, le società di leasing anche operativo o di noleggio a lungo termine, i gestori di piattaforme digitali per prestiti tra privati nonché, più in generale, tutti i soggetti privati che nell’esercizio di attività commerciale o professionale concedono una dilazione del pagamento del corrispettivo per la fornitura di beni o servizi.

È in virtù dell’estrema rilevanza che rivestono i trattamenti di dati nell’ambito dei SIC che il Garante per la protezione dei dati personali (“Garante Privacy”) si occupa da tempo della loro regolamentazione per gli aspetti di tutela della protezione dei dati personali e che, di recente, è intervenuto nuovamente a disciplinarne l’uso. In particolare, con Deliberazione del 6 ottobre 2022 il Garante Privacy ha definitivamente approvato e reso operativo il nuovo Codice di Condotta in materia di SIC (“Codice di condotta”) che, dal 5 novembre 2022, ha acquisito piena efficacia.

Per mero tuziorismo, si specifica che il Codice di condotta era in verità già stato approvato “con riserva” il 12 settembre 2019, sottoponendone l’efficacia subordinatamente all’accreditamento del nuovo Organismo di Monitoraggio dei SIC, condizione formalmente avveratasi solo con la deliberazione del 6 ottobre 2022 opra richiamata. Si trattava, in particolare, di una condizione necessaria di estrema importanza, posto che – ai sensi dell’art. 15 del Codice di condotta – l’Organismo di Monitoraggio vigilerà sul rispetto del Codice di condotta da parte dei gestori dei SIC in merito alle operazioni di trattamento di dati personali da loro poste in essere, facendo comunque salvi i compiti e i poteri del Garante Privacy previsti agli dagli artt. 56 a 58 del GDPR.

2. Elementi principali del Codice di Condotta in materia di Sistemi di Informazione Creditizia

Il Codice di condotta circoscrive una serie di garanzie volte a garantire il corretto funzionamento del mercato finanziario e creditizio, tentando di salvaguardare allo stesso tempo i diritti dei soggetti interessati. In particolare modo, il Codice di condotta specifica:

  • le categorie di dati personali che possono formare oggetto del trattamento, i quali possono essere soltanto i dati personali comuni relativi alla richiesta e/o segnalazione (ad esempio i dati identificativi, anagrafici e socio-demografici, contabili o relativi a contenziosi del cliente), mentre non possono in nessun caso essere trattate le categorie particolari di dati personali di cui all’art. 9, paragrafo 1 del GDPR (cd. dati sensibili) e i dati personali relativi a condanne penali, ai reati e a connesse misure di sicurezza di cui all’art. 10 del GDPR (cd. dati giudiziari);
  • la base giuridica per il trattamento dei dati da parte dei partecipanti al SIC (banca, istituto finanziario, ecc.) e da parte del gestore stesso del SIC, la quale potrà fondarsi sul legittimo interesse ai sensi dell’art. 6, paragrafo 1, lett. f) GDPR[1], non essendo dunque richiesto alcun tipo di consenso dell’interessato. Peraltro, si richiede in maniera specifica che i dati vengano trattati esclusivamente ai fini della valutazione, acquisizione o alla gestione dei rischi di credito, nonché alla valutazione dell’affidabilità e della puntualità dei pagamenti dell’interessato;
  • gli obblighi a cui il partecipante al SIC (banca, istituto finanziario, ecc.) deve sottostare, per garantire il pieno rispetto del principio di trasparenza ai sensi degli artt. 13 e 14 del GDPR nei confronti degli interessati, i quali devono essere informati circa:
    • gli estremi identificativi e i dati di contatto del gestore del SIC a cui saranno comunicati i propri dati personali e/o presso cui saranno consultati;
    • la descrizione delle categorie di partecipanti nel contesto di tale SIC;
    • il periodo di conservazione dei dati da parte del gestore del SIC a cui vengono comunicati;
    • le modalità di trattamento dei dati ed esistenza di un trattamento automatizzato o di un punteggio decisionale all’interno del SIC coinvolto;
    • le modalità per l’esercizio da parte dell’interessato dei diritti previsti dal GDPR;
    • le informazioni su eventuali trasferimenti di dati personali verso paesi non appartenenti allo Spazio Economico Europeo.
    • l’imminente registrazione dei dati in uno o più SIC in caso di ritardo nei pagamenti (il partecipante deve conservare la prova della consegna di tale avviso).
    • l’eventuale consultazione di informazioni negative attraverso il SIC a presupposto di un esito negativo della richiesta di credito o di servizio o prodotto, con informazione specifica del SIC dal quale sono state recuperate tali informazioni negative;
  • la possibilità per gli interessati di esercitare i diritti previsti dal GDPR sia nei confronti del partecipante al SIC (banca, l’istituto finanziario, ecc.) che nei confronti del gestore del SIC. Il partecipante e il gestore del SIC, dunque, sono tenuti a collaborare per soddisfare le richieste dell’interessato. Inoltre, gli interessati possono chiedere al partecipante di informare il gestore del SIC dell’esistenza di una controversia sul rapporto contrattuale alla base della richiesta di credito, in modo che il gestore del SIC inserisca nel sistema la notizia relativa all’esistenza di tali controversie, tramite l’inserimento di una specifica codifica da apporre in corrispondenza dei dati relativi al rapporto/segnalazione;
  • l’obbligo per il partecipante di conformarsi all’art. 22 GDPR se i dati personali sono trattati con processi automatizzati di elaborazione dei punteggi o processi decisionali (cd. “credit scoring”), prevedendo che:
    • il trattamento deve essere effettuato unicamente per valutare la richiesta di credito o per la gestione di un rapporto esistente con l’interessato (ad esempio, una richiesta precedente);
    • se la richiesta non viene accettata, l’interessato deve avere il diritto di sapere se il partecipante ha consultato i dati relativi a risultati, indicatori o punteggi di tipo negativo ottenuti attraverso un trattamento automatizzato dei punteggi o un processo decisionale, e il partecipante è tenuto a fornirgli tali dati, nonché una spiegazione della logica di funzionamento dei sistemi utilizzati e delle principali tipologie di fattori presi in considerazione nel trattamento;
    • gli algoritmi alla base del trattamento automatizzato dei punteggi o del processo decisionale devono essere aggiornati almeno ogni 2 anni per garantirne l’affidabilità;
  • l’obbligo per il personale del partecipante al SIC di essere specificatamente istruito e di mantenere l’assoluta riservatezza sulle informazioni ricevute in relazione a qualsiasi trattamento dei dati creditizi, anche adottando specifiche misure di sicurezza a tal fine (pseudoaninomizzazione, cifratura dei dati, etc.);
  • la possibilità per i partecipanti di aderire ad un SIC sulla base di accordi fondati sul principio di reciprocità e, nella consultazione dei sistemi, la possibilità di avere accesso ai dettagli completi dei dati relativi alle richieste e alle segnalazioni, nonché agli indicatori di sintesi e ai punteggi; peraltro, il partecipante al SIC è tenuto ad adottare tutte le misure necessarie per garantire la legittimità, la correttezza e l’esattezza dei dati condivisi con il gestore del SIC;
  • l’obbligo secondo cui qualsiasi cancellazione, integrazione o modifica dei dati personali registrati nel SIC dal partecipante deve essere ordinata direttamente da quest’ultimo, ove tecnicamente possibile; in ogni caso, i dati presenti nei sistemi devono essere aggiornati dal partecipante con cadenza almeno mensile; e infine
  • in merito alla conservazione dei dati, gli obblighi per i gestori dei SIC di impostare i loro sistemi in modo da rispettare i periodi di conservazione dei dati di cui all’Allegato 2 del Codice di condotta.

Quanto all’ambito di applicazione del Codice di condotta, quest’ultimo non prevede espressamente l’obbligo per le persone giuridiche residenti in altri Paesi UE ma operanti in Italia di adeguarsi a quest’ultimo, tuttavia, si può ragionevolmente ritenere che l’adesione a tale Codice di condotta e, in particolar modo, ai principi generali da esso derivanti, debbano essere adottati quale strumento di accountability ai sensi dell’art. 5, par. 2 GDPR, assicurando così la conformità del trattamento ai principi di cui al GDPR.

 

[1] Come previsto all’art. 6, paragrafo 1 del Codice di condotta, peraltro, sono interessi legittimi “la corretta misurazione del merito e del rischio creditizio, la corretta valutazione dell’affidabilità e della puntualità dei pagamenti dell’interessato, la prevenzione del rischio di frode, ivi inclusa la prevenzione del rischio del furto di identità

Di cosa si parla in questo articolo
Centrale rischi GDPR
Vuoi leggere la versione PDF?

WEBINAR / 23 Maggio
Titolare effettivo in trust e istituti affini: nuova guida GAFI

ZOOM MEETING
Offerte per iscrizioni entro il 07/05

SCOPRI I DETTAGLI

WEBINAR / 14 maggio
La POG nelle nuove aspettative di vigilanza IVASS

ZOOM MEETING

Offerte per iscrizioni entro il 24/04

SCOPRI I DETTAGLI
Iscriviti alla nostra Newsletter
ISCRIVITI