Allegato CODICE DI CONDOTTA PER I SISTEMI INFORMATIVI GESTITI DA SOGGETTI PRIVATI IN TEMA DI CREDITI AL CONSUMO, AFFIDABILITA' E PUNTUALITA' NEI PAGAMENTI INDICE Articolo 1 Ambito di applicazione Articolo 2 Definizioni Articolo 3 Finalita' del trattamento Articolo 4 Requisiti e categorie dei dati Articolo 5 Modalita' di raccolta e registrazione dei dati Articolo 6 Base giuridica e Informazione agli interessati Articolo 7 Tempi di conservazione dei dati Articolo 8 Utilizzazione dei dati Articolo 9 Accesso ed esercizio di altri diritti degli interessati Articolo 10 Trattamenti o processi decisionali automatizzati di scoring Articolo 11 Trattamento di dati provenienti da fonti pubbliche e/o da altre fonti Articolo 12 Misure di sicurezza dei dati Articolo 13 Notifica di una violazione dei dati personali Articolo 14 Trasferimento di dati personali verso paesi terzi o organizzazioni internazionali Articolo 15 Verifiche sul rispetto del Codice di condotta ed organismo di monitoraggio Articolo 16 Modalita' di adesione al Codice di condotta Articolo 17 Revisione del Codice di condotta Articolo 18 Disposizioni transitorie e finali Articolo 19 Entrata in vigore Allegato 1 - Preavviso di segnalazione Allegato 2 - Tempi di conservazione Allegato 3 - Modello di informativa Allegato 4 - Organismo di monitoraggio Preambolo L'Associazione italiana societa' di referenza creditizia (di seguito «AISReC»), in qualita' di associazione rappresentativa dei gestori di sistemi di informazioni creditizia che ne fanno parte, unitamente all'Associazione italiana leasing e al Consorzio per la tutela del credito sottoscrivono il presente codice di condotta con gli allegati da 1 a 4 che ne costituiscono parte integrante, sottoposto all'approvazione del Garante per la protezione dei dati personali (di seguito il «Garante») ai sensi dell'art. 40 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati (Regolamento generale sulla protezione dei dati, di seguito il «regolamento») e nel rispetto della procedura stabilita dall'art. 20 del decreto legislativo n. 101/2018, recante disposizioni di adeguamento del decreto legislativo n. 196/2003, il codice in materia di protezione dei dati personali (di seguito denominato «Codice») alle norme del regolamento, sulla base delle seguenti Premesse 1. L'art. 40 del regolamento prevede che gli Stati membri, le autorita' di controllo, il comitato e la Commissione incoraggino l'elaborazione di codici di condotta destinati a contribuire alla corretta applicazione del regolamento in funzione delle specificita' dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese. Il considerando n. 98 del regolamento prevede che i codici di condotta possono calibrare gli obblighi dei titolari del trattamento e dei responsabili del trattamento, tenuto conto del potenziale rischio del trattamento per i diritti e le liberta' delle persone fisiche. 2. Con provvedimento del Garante n. 8 del 16 novembre 2004, Gazzetta Ufficiale 23 dicembre 2004, n. 300, come modificato dall'errata corrige pubblicata nella Gazzetta Ufficiale della Repubblica italiana 9 marzo 2005, n. 56 e' stato adottato il codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilita' e puntualita' nei pagamenti (di seguito «Codice deontologico»). 3. L'art. 20 del decreto legislativo n. 101/2018 recante disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento, che ha modificato il decreto legislativo n. 196/2003, prevede che il codice deontologico continui a produrre effetti a condizione che entro il termine definito (dodici mesi dalla entrata in vigore del decreto) venga avviata e portata a termine la procedura tesa ad elaborare un codice di condotta rispondente ai criteri di cui agli articoli 40 e 41 del regolamento e che permetta di trasfondere in nuovo testo, coerente con il quadro regolamentare europeo, i principi delle vigenti norme deontologiche. 4. Con nota del Garante per la protezione dei dati personali dell'11 ottobre 2018 i soggetti che professionalmente gestiscono i sistemi di informazioni creditizie sono stati esortati a predisporre una bozza di Codice di condotta da sottoporre alla approvazione dello stesso Garante per la protezione dei dati personali (entro sei mesi dalla data di entrata in vigore del decreto legislativo n. 101/2018). 5. I partecipanti al SIC sono, in forza del codice deontologico previgente, banche, intermediari finanziari e altri soggetti privati che, nell'esercizio di un'attivita' commerciale o professionale, concedono una dilazione di pagamento del corrispettivo per la fornitura di beni o servizi (art. 1, comma 1, lettera e) del codice deontologico) che operano in un quadro di reciprocita' nello scambio di dati con gli altri partecipanti. Il legislatore e' intervenuto a piu' riprese per consentire l'accesso ai dati presenti nel SIC a ulteriori soggetti quali, attualmente, in forza dell'art. 6-bis, del decreto-legge 13 agosto 2011, n. 138 convertito con la legge 14 settembre 2011, n. 148 e del vigente art. 30-ter del decreto legislativo 13 agosto 2010, n. 141 (come successivamente modificato): i fornitori di servizi di comunicazione elettronica e i fornitori di servizi interattivi associati o di servizi di accesso condizionato (tra cui, quindi, le societa' telefoniche); le imprese di assicurazione; i soggetti autorizzati a svolgere le attivita' di vendita a clienti finali di energia elettrica e di gas naturale ai sensi della normativa vigente. Per effetto delle predette norme, tali soggetti (cosiddetti accedenti), attualmente hanno facolta' di consultare i dati personali presenti nei SIC, stipulando a tal fine appositi accordi con uno o piu' gestori di Sic. 6. Inoltre, la legge 4 agosto 2017, n. 124, recante Legge annuale per il mercato e la concorrenza, all'art. 1, comma 85, ha stabilito anche che «al fine di promuovere la concorrenza attraverso la riduzione delle asimmetrie informative, anche intersettoriali, all'art. 6-bis del decreto-legge 13 agosto 2011, n. 138, convertito, con modificazioni, dalla legge 14 settembre 2011, n. 148, dopo il comma 1 sono aggiunti i seguenti: «1-bis. L'accesso ai sistemi informativi di cui al comma 1 da parte dei soggetti ivi indicati puo' avvenire anche in un quadro di reciprocita', ma solo nel rispetto delle prescrizioni stabilite dal Garante per la protezione dei dati personali necessarie ad assicurare proporzionalita', correttezza e sicurezza circa il trattamento di dati personali ai sensi del predetto comma 1 e il rispetto dei diritti e delle liberta' fondamentali, nonche' della dignita' dei soggetti cui le 2 informazioni si riferiscono, con particolare riferimento alla riservatezza, all'identita' personale e al diritto alla protezione dei dati personali». 7. Il Garante ha adottato un provvedimento interpretativo di alcune disposizioni del codice deontologico il 26 ottobre 2017 (pubblicato nella Gazzetta Ufficiale della Repubblica italiana n. 279 del 29 novembre 2017). 8. Il trattamento di dati personali, effettuato nell'ambito dei sistemi informativi regolati dal presente codice di condotta deve svolgersi nel rispetto dei principi dettati dalla normativa applicabile, avuto particolare riguardo a quella dettata in materia di protezione dei dati personali. 9. Con il presente codice di condotta, che recepisce quanto indicato nelle premesse 5 e 7 e vuole altresi' mettere le basi per una piena realizzazione di quanto indicato nella premessa 6 al fine di una coerente regolamentazione del settore, sono individuate adeguate garanzie in conformita' con il regolamento al fine di precisarne e facilitarne la sua applicazione. 10. Il presente codice di condotta e' elaborato ai sensi dell'art. 40 del regolamento per garantire, settorialmente, ed in funzione delle specifiche esigenze delle diverse categorie dei partecipanti ai SIC, l'applicazione efficace, coerente ed omogenea del regolamento e, nel contempo, per garantire un corretto bilanciamento di interessi tra i soggetti coinvolti nel trattamento. 11. Le disposizioni del presente codice di condotta si applicano esclusivamente al trattamento di dati personali effettuato nell'ambito dei sistemi di informazioni creditizie e, in particolare, il presente codice di condotta non riguarda sistemi informativi di cui sono titolari soggetti pubblici, quale il servizio di centralizzazione dei rischi gestito dalla Banca d'Italia (articoli 13, 53, comma 1, lettera b), 60, comma 1, 64, 67, comma 1, lettera b), 106 107, 144 e 145 del decreto legislativo 1° settembre 1993, n. 385 - testo unico delle leggi in materia bancaria e creditizia; delibera cicr del 29 marzo 1994; provvedimento Banca d'Italia 10 agosto 1995; circolare Banca d'Italia 11 febbraio 1991, n. 139 e successivi aggiornamenti). 12. Tutti i soggetti che gestiscono sistemi di informazioni creditizie possono aderire al presente codice di condotta, anche attraverso le rispettive associazioni di categoria, seguendo le procedure di seguito stabilite. Art. 1. Ambito di applicazione Il presente codice di condotta e' riferito ad attivita' di trattamento dei dati personali relativi a persone fisiche limitatamente al territorio dello Stato italiano ed e' applicabile unicamente a livello nazionale. Per tale motivo, l'approvazione di cui all'art. 40 del regolamento e' richiesta al Garante in qualita' di Autorita' di controllo competente ai sensi dell'art. 55 del regolamento.