(Provvedimento del Garante n. 8 del 16 novembre 2004, in G.U. 23
dicembre 2004, n. 300)
((IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella seduta odierna, con la partecipazione del prof. Stefano
Rodota', presidente, del prof. Giuseppe Santaniello, vice presidente,
del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti, e del
dott. Giovanni Buttarelli, segretario generale;
Visto l'art. 27 della direttiva n. 95/46/CE del Parlamento europeo
e del Consiglio del 24 ottobre 1995, secondo cui gli Stati membri e
la Commissione incoraggiano l'elaborazione di codici di condotta
destinati a contribuire, in funzione delle specificita' settoriali,
alla corretta applicazione delle disposizioni nazionali di attuazione
della direttiva adottate dagli Stati membri;
Visti gli articoli 12 e 154, comma 1, lettera e) del Codice in
materia di protezione dei dati personali (decreto legislativo 30
giugno 2003, n. 196), i quali attribuiscono al Garante il compito di
promuovere nell'ambito delle categorie interessate, nell'osservanza
del principio di rappresentativita' e tenendo conto dei criteri
direttivi delle raccomandazioni del Consiglio d'Europa sul
trattamento dei dati personali, la sottoscrizione di codici di
deontologia e di buona condotta per determinati settori, verificarne
la conformita' alle leggi e ai regolamenti anche attraverso l'esame
di osservazioni di soggetti interessati e contribuire a garantirne la
diffusione e il rispetto;
Visto l'art. 117 del codice con il quale e' stato demandato al
Garante il compito di promuovere la sottoscrizione di un Codice di
deontologia e di buona condotta per il trattamento dei dati personali
effettuato nell'ambito di sistemi informativi di cui sono titolari
soggetti privati, utilizzati a fini di concessione di crediti al
consumo, nonche' riguardanti l'affidabilita' e la puntualita' nei
pagamenti da parte degli interessati;
Visto il provvedimento generale del Garante adottato il 31 luglio
2002 (in Bollettino del Garante n. 30/2002, p. 47) con il quale,
nelle more dell'adozione del predetto codice di deontologia e di
buona condotta, sono state nel frattempo prescritte, ai soggetti
privati che gestiscono sistemi informativi di rilevazione di rischi
creditizi, nonche' alle banche e societa' finanziarie che vi
accedono, alcune prime misure da adottare al fine di conformare il
relativo trattamento ai principi in materia di protezione dei dati
personali;
Visto il provvedimento del 10 aprile 2002, pubblicato nella
Gazzetta Ufficiale della Repubblica italiana 8 maggio 2002, n. 106,
con il quale il Garante ha promosso la sottoscrizione del codice di
deontologia e di buona condotta;
Viste le comunicazioni pervenute al Garante in risposta al citato
provvedimento del 10 aprile 2002, con le quali diversi soggetti
privati, associazioni di categoria ed associazioni di consumatori
hanno manifestato la volonta' di partecipare all'adozione di tale
codice e rilevato che si e' anche formato un apposito gruppo di
lavoro composto da rappresentanti dei predetti soggetti;
Considerato che il testo del codice di deontologia e di buona
condotta e' stato oggetto di ampia diffusione anche attraverso la sua
pubblicazione sul sito Internet di questa Autorita', resa nota
tramite avviso nella Gazzetta Ufficiale della Repubblica italiana 18
agosto 2004, n. 193, al fine di favorire il piu' ampio dibattito e di
permettere la raccolta di eventuali osservazioni e integrazioni al
testo medesimo da parte di tutti i soggetti interessati;
Viste le osservazioni pervenute a seguito di tale avviso e le
modifiche apportate allo schema del codice, poi sottoscritto il 12
novembre 2004;
Constatata la conformita' del codice di deontologia e di buona
condotta alle leggi ed ai regolamenti anche in relazione a quanto
previsto dall'art. 12 del Codice;
Visto l'art. 5 del codice di deontologia e di buona condotta;
Considerato che dalle predette consultazioni sono emersi anche
alcuni dettagli operativi che rendono necessario indicare modalita'
di attuazione idonee ed efficaci delle disposizioni in materia di
informativa da rendere agli interessati ai sensi dell'art. 13 del
Codice;
Ritenuto pertanto indispensabile prescrivere, ai sensi dell'art.
154, comma 1, lettera c), del Codice, un modello unico per
l'informativa, basato su espressioni chiare, semplici e di agevole
comprensione, e da adottare da tutti i soggetti privati titolari dei
trattamenti di dati personali effettuati, in modo effettivo ed
uniforme;
Rilevato che il rispetto delle disposizioni contenute nel codice di
deontologia e di buona condotta costituisce condizione essenziale per
la liceita' e la correttezza del trattamento dei dati personali
effettuato da soggetti privati e pubblici (art. 12, comma 3, del
Codice);
Rilevato altresi' che i titolari del trattamento sono tenuti a fare
uso del modello unico di informativa che il presente provvedimento
prescrive, al quale potranno apportarvi eventuali modifiche
sostanziali o integrazioni con esso compatibili, unicamente previo
assenso di questa Autorita', salvi eventuali adattamenti meramente
formali;
Considerato che, ai sensi dell'art. 12, comma 2, del codice, il
codice di deontologia e di buona condotta deve essere pubblicato
nella Gazzetta Ufficiale della Repubblica italiana a cura del Garante
e, con decreto del Ministro della giustizia, riportato nell'allegato
a) al medesimo Codice;
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi
dell'art. 15 del regolamento del Garante n. 1/2000, adottato con
deliberazione n. 15 del 28 giugno 2000 e pubblicato nella Gazzetta
Ufficiale della Repubblica italiana n. 162 del 13 luglio 2000;
Relatore il dott. Mauro Paissan;
Tutto cio' premesso il Garante:
a) dispone la trasmissione del codice di deontologia e di buona
condotta per i sistemi informativi gestiti da soggetti privati in
tema di crediti al consumo, affidabilita' e puntualita' nei
pagamenti, che figura in allegato, all'Ufficio pubblicazione leggi e
decreti del Ministero della giustizia per la sua pubblicazione nella
Gazzetta Ufficiale della Repubblica italiana, nonche' al Ministro
della giustizia per essere riportato nell'allegato a) al Codice;
b) individua, in allegato alla presente deliberazione, il modello
di informativa contenente i requisiti minimi che, ai sensi dell'art.
154, comma 1, lettera c), del codice, prescrive a tutti i titolari
del trattamento interessati di utilizzare nei termini di cui in
motivazione.
Roma, 16 novembre 2004
Il presidente: Rodota'
CODICE DI DEONTOLOGIA E DI BUONA CONDOTTA PER I SISTEMI INFORMATIVI
GESTITI DA SOGGETTI PRIVATI IN TEMA DI CREDITI AL CONSUMO,
AFFIDABILITA' E PUNTUALITA' NEI PAGAMENTI
Preambolo
I sottoindicati soggetti privati sottoscrivono il presente codice
di deontologia e di buona condotta sulla base delle seguenti
premesse:
1) il trattamento di dati personali effettuato nell'ambito di
sistemi informativi di cui sono titolari soggetti privati, utilizzati
a fini di credito al consumo o comunque riguardanti l'affidabilita' e
la puntualita' dei pagamenti, deve svolgersi nel rispetto dei
diritti, delle liberta' fondamentali e della dignita' delle persone
interessate, in particolare del diritto alla protezione dei dati
personali, del diritto alla riservatezza e del diritto all'identita'
personale;
2) con il presente codice sono individuate adeguate garanzie e
modalita' di trattamento a tutela dei diritti degli interessati da
osservare nel perseguire finalita' di tutela del credito e di
contenimento dei relativi rischi, in modo da agevolare anche
l'accesso al credito al consumo e ridurre il rischio di eccessivo
indebitamento da parte degli interessati;
3) la sottoscrizione del presente codice e' promossa dal
Garante per la protezione dei dati personali nell'ambito delle
associazioni rappresentative degli operatori del settore, ai sensi
degli articoli 12 e 117 del Codice in materia di protezione dei dati
personali (decreto legislativo 30 giugno 2003, n. 196/2003);
4) tutti coloro che utilizzano dati personali per le finalita'
sopra indicate devono osservare le regole di comportamento stabilite
dal presente codice come condizione essenziale per la liceita' e la
correttezza del trattamento;
5) gli stessi operatori del settore devono rispettare,
altresi', le garanzie previste dal predetto Codice, in particolare in
tema di manifestazione del consenso e di altri presupposti di
liceita';
6) il presente codice non riguarda sistemi informativi di cui
sono titolari soggetti pubblici e, in particolare, il servizio di
centralizzazione dei rischi gestito dalla Banca d'Italia (articoli
13, 53, comma 1, lettera b), 60, comma 1, 64, 67, comma 1, lettera
b), 106, 107, 144 e 145 del decreto legislativo 1° settembre 1993, n.
385 - Testo unico delle leggi in materia bancaria e creditizia;
delibera Cicr del 29 marzo 1994; provvedimento Banca d'Italia 10
agosto 1995 - circolare Banca d'Italia 11 febbraio 1991, n. 139 e
successivi aggiornamenti). Al sistema centralizzato di rilevazione
dei rischi di importo contenuto istituito con deliberazione Cicr del
3 maggio 1999 (in Gazzetta Ufficiale 8 luglio 1999, n. 158) si
applicano alcuni principi stabiliti dal presente codice in tema di
informativa agli interessati e di esercizio dei diritti, in quanto
compatibili con la specifica disciplina di riferimento (v., in
particolare, le istruzioni della Banca d'Italia nella Gazzetta
Ufficiale 21 novembre 2000, n. 272).))
Art. 1.
((Definizioni))
((1. Ai fini del presente codice di deontologia e di buona
condotta, si applicano le definizioni elencate nel Codice in materia
di protezione dei dati personali (art. 4 decreto legislativo 30
giugno 2003, n. 196), di seguito denominato «Codice». Ai medesimi
fini, si intende inoltre per:
a) «richiesta/rapporto di credito»: qualsiasi richiesta o
rapporto riguardanti la concessione, nell'esercizio di un'attivita'
commerciale o professionale, di credito sotto forma di dilazione di
pagamento, di finanziamento o di altra analoga facilitazione
finanziaria ai sensi del testo unico delle leggi in materia bancaria
e creditizia (decreto legislativo 1° settembre 1993, n. 385);
b) «regolarizzazione degli inadempimenti»: l'estinzione delle
obbligazioni pecuniarie inadempiute (derivanti sia da un mancato
pagamento, sia da un ritardo), senza perdite o residui anche a titolo
di interessi e spese o comunque a seguito di vicende estintive
diverse dall'adempimento, in particolare a seguito di transazioni o
concordati;
c) «sistema di informazioni creditizie»: ogni banca di dati
concernenti richieste/rapporti di credito, gestita in modo
centralizzato da una persona giuridica, un ente, un'associazione o un
altro organismo in ambito privato e consultabile solo dai soggetti
che comunicano le informazioni in essa registrate e che partecipano
al relativo sistema informativo. Il sistema puo' contenere, in
particolare:
1) informazioni creditizie di tipo negativo, che riguardano
soltanto rapporti di credito per i quali si sono verificati
inadempimenti;
2) informazioni creditizie di tipo positivo e negativo, che
attengono a richieste/rapporti di credito a prescindere dalla
sussistenza di inadempimenti registrati nel sistema al momento del
loro verificarsi;
d) «gestore»: il soggetto privato titolare del trattamento dei
dati personali registrati in un sistema di informazioni creditizie e
che gestisce tale sistema stabilendone le modalita' di funzionamento
e di utilizzazione;
e) «partecipante»: il soggetto privato titolare del trattamento
dei dati personali raccolti in relazione a richieste/rapporti di
credito, che in virtu' di contratto o accordo con il gestore
partecipa al relativo sistema di informazioni creditizie e puo'
utilizzare i dati presenti nel sistema, obbligandosi a comunicare al
gestore i predetti dati personali relativi a richieste/rapporti di
credito in modo sistematico, in un quadro di reciprocita' nello
scambio di dati con gli altri partecipanti. Fatta eccezione di
soggetti che esercitano attivita' di recupero crediti, il
partecipante puo' essere:
1) una banca;
2) un intermediario finanziario;
3) un altro soggetto privato che, nell'esercizio di
un'attivita' commerciale o professionale, concede una dilazione di
pagamento del corrispettivo per la fornitura di beni o servizi;
f) «consumatore»: la persona fisica che, in relazione ad una
richiesta/rapporto di credito, agisce per scopi non riferibili
all'attivita' imprenditoriale o professionale eventualmente svolta;
g) «tempo di conservazione dei dati»: il periodo nel quale i
dati personali relativi a richieste/rapporti di credito rimangono
registrati in un sistema di informazioni creditizie ed utilizzabili
dai partecipanti per le finalita' di cui al presente codice;
h) «tecniche o sistemi automatizzati di credit scoring»: le
modalita' di organizzazione, aggregazione, raffronto od elaborazione
di dati personali relativi a richieste/rapporti di credito,
consistenti nell'impiego di sistemi automatizzati basati
sull'applicazione di metodi o modelli statistici per valutare il
rischio creditizio, e i cui risultati sono espressi in forma di
giudizi sintetici, indicatori numerici o punteggi, associati
all'interessato, diretti a fornire una rappresentazione, in termini
predittivi o probabilistici, del suo profilo di rischio,
affidabilita' o puntualita' nei pagamenti)).