(Allegato A.5 Codice di deontologia per i sistemi informativi-art. 13) 
                              Art. 13. 
 
                ((Disposizioni transitorie e finali)) 
 
    ((1. Le misure necessarie per l'applicazione del presente  codice
di deontologia e di buona condotta sono adottate dai soggetti  tenuti
a rispettarlo al piu' tardi entro il 30 aprile 2005. 
    2. Entro il termine di cui al comma 1,  il  gestore  del  sistema
centralizzato  di  rilevazione  dei  rischi  di  importo   contenuto,
istituito con deliberazione Cicr del 3 maggio 1999 (pubblicata  nella
Gazzetta Ufficiale  8  luglio  1999,  n.  158),  nonche'  i  relativi
partecipanti, adottano le misure necessarie per l'applicazione  degli
articoli 5 e 8, commi 1, 2, 3, 4 e 5,  primo  periodo,  del  presente
codice in tema di informativa agli interessati  e  di  esercizio  dei
diritti, ad  integrazione  di  quanto  previsto  nel  punto  3  delle
istruzioni della Banca d'Italia (pubblicate nella Gazzetta  Ufficiale
21 novembre 2000, n. 272). 
    3. I partecipanti forniscono  entro  i  tre  mesi  successivi  al
termine di cui al comma 1, nell'ambito delle comunicazioni periodiche
inviate alla clientela, le informazioni di cui all'art. 5, commi 1  e
2, del presente codice eventualmente non comprese  nelle  informative
precedentemente rese agli interessati i cui dati personali  risultino
gia' registrati in un sistema di informazioni creditizie. 
    4. In sede  di  prima  applicazione  delle  disposizioni  di  cui
all'art. 6, comma 6, i gestori riducono entro il 30 giugno  2005,  ad
un termine non superiore a trentasei mesi, i tempi  di  conservazione
dei dati  personali  relativi  ad  informazioni  creditizie  di  tipo
positivo. Entro il 31 dicembre 2005 l'organismo di  cui  al  comma  7
valuta, con atto motivato, se  l'esperienza  maturata  e  l'incidenza
delle  misure  previste  dal  presente  codice  sui   diritti   degli
interessati,  tenuto  anche  conto  dell'efficienza  dei  sistemi  di
informazioni creditizie, giustifichino il mantenimento  del  predetto
termine di trentasei mesi. Il medesimo termine si  intende  mantenuto
qualora il Garante, su richiesta del predetto organismo o di  propria
iniziativa, non disponga diversamente. Entro il 31  gennaio  2006  il
Garante dispone la pubblicazione sulla Gazzetta Ufficiale del proprio
provvedimento o di un avviso indicante il termine da osservare. 
    5. Al fine di consentire il controllo sulla  corretta  attuazione
delle disposizioni del presente  codice,  ogni  gestore  comunica  al
Garante, non oltre due mesi dal termine di cui al comma 1  e  secondo
le modalita' indicate da quest'ultimo: 
      a) oltre ai  propri  estremi  identificativi  e  recapiti,  una
descrizione generale delle modalita' di funzionamento del sistema  di
informazioni creditizie e di accesso da parte dei  partecipanti,  che
permetta di valutare l'adeguatezza delle misure,  anche  tecniche  ed
organizzative, adottate per l'applicazione del presente codice; 
      b) in relazione  alle  parti  aventi  riflessi  in  materia  di
protezione dei dati personali e di applicazione del presente  codice,
i  modelli  di  contratti,  accordi,   convenzioni,   regolamenti   o
istruzioni che disciplinano le modalita' di partecipazione ed accesso
dei partecipanti al sistema di informazioni  creditizie,  nonche'  la
documentazione  circa  le  misure  adottate  in  tema  di  sicurezza,
riservatezza e segretezza dei dati; 
      c) i documenti di cui agli articoli 3, commi 3 e 4, 5, commi  4
e 5, e di cui al successivo comma 7. 
    6. Le comunicazioni di cui al comma 5 sono  inviate  al  Garante,
anche successivamente al predetto termine, da qualsiasi titolare che,
in qualita' di gestore di  un  sistema  di  informazioni  creditizie,
intenda procedere  ad  un  trattamento  di  dati  personali  soggetto
all'ambito di applicazione del presente codice. I gestori trasmettono
al Garante eventuali variazioni delle comunicazioni e  dei  documenti
precedentemente inviati, non oltre la  fine  dell'anno  in  cui  sono
avvenute le variazioni. 
    7. Il gestore effettua verifiche periodiche, con  cadenza  almeno
annuale, sulla liceita' e correttezza del  trattamento,  controllando
l'esattezza e completezza dei dati riferiti ad un congruo  numero  di
richieste/rapporti di credito, estratti a campione. Il  controllo  e'
eseguito da un organismo composto da  almeno  un  rappresentante  del
gestore, un rappresentante dei partecipanti designato a  rotazione  e
un rappresentante delle associazioni dei  consumatori  designato  dal
Consiglio  nazionale  dei  consumatori  ed  utenti.  Il  verbale  dei
controlli e' trasmesso al Garante. 
    8.  Allo  scopo  di  vigilare  sulla  puntuale  osservanza  delle
disposizioni contenute nel presente codice e fermi restando i  poteri
previsti dal Codice  in  materia  di  accertamenti  e  controlli,  il
Garante  puo'  concordare  con  il  gestore  l'esecuzione  di   altre
verifiche periodiche presso i luoghi ove si svolge il trattamento dei
dati personali, con eventuali accessi, anche a campione,  al  sistema
di  informazioni  creditizie.  Il  Garante  puo'  eseguire   analoghi
controlli  concordati  sugli  accessi   effettuati   da   parte   dei
partecipanti. 
    9. Le associazioni di categoria  che  sottoscrivono  il  presente
codice  e  i  gestori  avviano  forme  di   collaborazione   con   le
associazioni dei consumatori e con il Garante, al fine di individuare
sia soluzioni operative per il  rispetto  del  presente  codice,  sia
sistemi  alternativi  di  risoluzione  delle  controversie  derivanti
dall'applicazione del presente codice. 
    10.  Il  Garante,  anche  su  richiesta  delle  associazioni   di
categoria che sottoscrivono il presente codice, promuove il periodico
riesame  e  l'eventuale   adeguamento   alla   luce   del   progresso
tecnologico, dell'esperienza acquisita nella sua  applicazione  o  di
novita' normative)).