LA BANCA D'ITALIA 
 
  Visto l'art. 6, paragrafo 1, lettera e)  del  regolamento  generale
sulla protezione dei  dati  (UE)  2016/679  (di  seguito  GDPR),  che
consente  il  trattamento  dei  dati   quando   e'   necessario   per
l'esecuzione  di  un  compito  di  interesse  pubblico   o   connesso
all'esercizio dei pubblici poteri di cui e' investito il titolare del
trattamento; 
  Visto il medesimo art. 6, paragrafo 3,  lettera  b)  del  GDPR  che
stabilisce che la base giuridica su cui si fonda il  trattamento  dei
dati effettuato per l'esecuzione di un compito di interesse  pubblico
sia stabilita dal diritto dello Stato membro e contenga  disposizioni
specifiche per adeguarsi alle disposizioni del regolamento; 
  Visto l'art. 2-ter del decreto legislativo 30 giugno  2003  n.  196
(di seguito «decreto»), come modificato dal  decreto  legislativo  10
agosto 2018 n. 101 di adeguamento alle disposizioni del GDPR,  e  dal
decreto-legge 8 ottobre 2021, n. 139, convertito, con  modificazioni,
dalla legge 3 dicembre 2021, n. 205; 
  Visto l'art. 9 paragrafo 2, lettera g), del GDPR, che  consente  il
trattamento di «particolari categorie di dati personali»  quando  sia
necessario per motivi di interesse pubblico rilevante sulla base  del
diritto dell'Unione o degli Stati membri; 
  Visto l'art. 10 del GDPR, che  consente  il  trattamento  di  «dati
relativi a condanne  penali  e  reati»  quando  sia  autorizzato  dal
diritto dell'Unione o degli Stati membri; 
  Visto l'art. 2-sexies del  decreto,  che  consente  il  trattamento
delle «particolari categorie di dati personali» necessari per  motivi
di interesse pubblico rilevante, qualora sia previsto da disposizioni
di legge o di regolamento, o da  atti  amministrativi  generali,  che
contengano elementi specifici sul trattamento di tali dati; 
  Visto  il  medesimo  art.  2-sexies  del  decreto   che   considera
«rilevante» l'interesse pubblico relativo a trattamenti effettuati da
soggetti che  svolgono  compiti  di  interesse  pubblico  o  connessi
all'esercizio di pubblici poteri nelle materie elencate nelle lettere
da a) a dd) del medesimo comma; 
  Viste in particolare le lettere l)  e  q)  del  comma  2  dell'art.
2-sexies del decreto, nelle quali sono  menzionate,  rispettivamente,
le attivita' «di controllo e ispettive» e «sanzionatorie e di  tutela
in sede amministrativa e giudiziaria», alle  quali  e'  riconducibile
l'attivita' di vigilanza della Banca d'Italia; 
  Visto l'art. 2-octies,  comma  3,  del  decreto,  che  consente  il
trattamento di «dati personali o relativi a condanne penali e  reati»
se autorizzato da una norma di  legge  o,  nei  casi  previsti  dalla
legge, di  regolamento  che  prevedano  garanzie  appropriate  per  i
diritti e le liberta' degli interessati; 
  Visto l'art. 22 del decreto legislativo 10 agosto 2018, n. 101 che,
nel dettare le disposizioni transitorie per i trattamenti in  essere,
prevede che siano  tuttora  applicabili  i  vigenti  regolamenti  sui
trattamenti dei dati  sensibili  e  giudiziari  adottati  secondo  la
previgente disciplina di cui al decreto; 
  Visti gli articoli 4 e 5 del decreto legislativo 1° settembre 1993,
n. 385, recante il testo unico delle  leggi  in  materia  bancaria  e
creditizia (di seguito TUB o testo unico), che identificano la  Banca
d'Italia  come  Autorita'  creditizia,  cui  spettano  i  poteri   di
vigilanza nei confronti  delle  banche,  dei  gruppi  bancari,  degli
intermediari finanziari, degli istituti di moneta elettronica e degli
istituti di pagamento (di seguito intermediari vigilati); 
  Visti inoltre gli articoli 4 comma 1 e 8 del TUB, che attribuiscono
alla Banca d'Italia  il  potere  di  emanare  regolamenti,  impartire
istruzioni e adottare provvedimenti, dettandone uno specifico  regime
di pubblicita'; 
  Visto  l'art.  127  del  TUB,  ai  sensi  del  quale  le  Autorita'
creditizie, ivi compresa  la  Banca  d'Italia,  esercitano  i  poteri
previsti dal titolo VI del medesimo testo  unico,  «avendo  riguardo,
oltre che alle finalita' indicate nell'art. 5, alla trasparenza delle
condizioni contrattuali  e  alla  correttezza  dei  rapporti  con  la
clientela»; 
  Visti gli articoli 128 e 128-ter del TUB,  che  attribuiscono  alla
Banca d'Italia specifici poteri di  controllo,  anche  informativi  e
ispettivi, cosi' come di tipo inibitorio  al  fine  di  verificare  e
assicurare il rispetto delle disposizioni del titolo VI del  medesimo
testo unico; 
  Visti gli articoli 144, 145 e seguenti del TUB, che disciplinano il
potere sanzionatorio della Banca d'Italia, nei confronti di  societa'
o enti soggetti a vigilanza, in caso di violazioni delle disposizioni
del richiamato titolo VI; 
  Visto il decreto legislativo 27 gennaio 2010,  n.  11,  emanato  in
attuazione  della  direttiva  2007/64/CE  relativa  ai   servizi   di
pagamento nel mercato interno, che disciplina il potere sanzionatorio
della  Banca  d'Italia  in  caso  di  violazioni  delle  disposizioni
relative ai diritti e agli obblighi delle parti nella prestazione dei
servizi di pagamento; 
  Visti gli articoli 128-bis, comma 3-bis,  126-vicies,  comma  2,  e
126-vicies ter del TUB, e gli articoli 34-decies  e  39  del  decreto
legislativo 27 gennaio 2010, n. 11, che ammettono la presentazione di
esposti  alla  Banca  d'Italia  nelle  materie  soggette   alla   sua
vigilanza, nonche' l'art. 24 della legge 28 dicembre  2005,  n.  262,
secondo il quale le  notizie  sottoposte  per  iscritto  da  soggetti
interessati  possono   essere   utilizzate   dalla   Banca   d'Italia
nell'istruzione di procedimenti sanzionatori; 
  Considerata l'attuale vigenza del regolamento, adottato dalla Banca
d'Italia   con   provvedimento   del   6   novembre   2015,   recante
l'individuazione dei dati sensibili e giudiziari e  delle  operazioni
eseguibili, relativamente alle fattispecie ivi disciplinate; 
  Ritenuta  la  necessita',  da  parte  della  Banca   d'Italia,   di
effettuare trattamenti di dati personali, di categorie particolari di
dati e di  dati  relativi  a  condanne  penali  e  reati  nell'ambito
dell'attivita' di gestione degli esposti in  materia  di  trasparenza
delle  condizioni  contrattuali  e  correttezza  dei   rapporti   tra
intermediari vigilati e clientela e di diritti e obblighi delle parti
nella prestazione di servizi di pagamento; 
  Considerata la necessita' di utilizzare strumenti  di  intelligenza
artificiale per agevolare l'analisi  degli  esposti  presentati  alla
Banca d'Italia; 
  Ritenuta altresi' la necessita' che rispetto a tali trattamenti  si
forniscano disposizioni  specifiche  sulle  operazioni  eseguibili  e
sulle modalita'  di  trattamento,  anche  con  specifico  riferimento
all'uso  dei  suddetti  strumenti  di  intelligenza  artificiale,  in
un'ottica di chiarezza e trasparenza nei confronti degli interessati; 
  Considerato che la  gestione  degli  esposti  nelle  materie  della
trasparenza delle condizioni contrattuali e correttezza dei  rapporti
con  la  clientela  e  dei  diritti  e  obblighi  delle  parti  nella
prestazione  di  servizi  di  pagamento  rappresenta  un  compito  di
interesse pubblico individuato dalla disciplina di settore e affidato
alla Banca d'Italia; 
  Considerato che la Banca  d'Italia,  nella  qualita'  di  Autorita'
creditizia, nell'esercizio delle  sue  funzioni  di  vigilanza  sugli
intermediari  bancari  e  finanziari,   e'   titolare   di   potesta'
regolamentare, sulla base di quanto previsto dal TUB; 
  Sentito il Garante per la protezione dei dati personali,  il  quale
si e' espresso con parere favorevole del 24 febbraio 2022, n. 78; 
  Adotta il seguente regolamento per il trattamento di dati personali
di cui la scheda allegata costituisce parte integrante e sostanziale. 
1. Oggetto del regolamento 
  Il presente regolamento  identifica,  ai  sensi  degli  articoli  6
paragrafo  3  lettera  b),  9  paragrafo  2  lettera  g),  e  10  del
regolamento generale sulla protezione dei dati (UE) 2016/679, nonche'
degli articoli 2-ter, 2-sexies  comma  1  e  2-octies  comma  3,  del
decreto legislativo  n. 196/2003,  le  tipologie  di  dati  personali
trattati nonche' le operazioni eseguibili e le  misure  di  sicurezza
adottate  dalla  Banca  d'Italia  nell'ambito  della  gestione  degli
esposti riguardanti la trasparenza delle condizioni contrattuali,  la
correttezza dei rapporti tra intermediari  vigilati  e  clienti  e  i
diritti e gli obblighi delle parti nella prestazione  di  servizi  di
pagamento, materie sulle quali la Banca d'Italia svolge una  funzione
di vigilanza da considerarsi di rilevante  interesse  pubblico  sulla
base dell' art. 2-sexies, comma 2, del decreto. 
2. Disposizioni specifiche sull'attivita' di trattamento 
  Con riferimento alle attivita'  di  trattamento,  vengono  dettate,
nell'allegato che segue, disposizioni concernenti le finalita'  e  le
modalita' del trattamento, con l'individuazione di misure appropriate
e specifiche per tutelare i diritti fondamentali  degli  interessati.
Le  disposizioni,  tenendo  anche  conto  dell'uso  di  tecniche   di
intelligenza artificiale, stabiliscono: l'attivita' di gestione degli
esposti e la modalita' del trattamento dei dati, la  limitazione  del
trattamento, la finalita' di interesse pubblico  rilevante,  le  basi
normative su cui si fonda l'interesse pubblico, le tipologie di  dati
oggetto del trattamento, le categorie di interessati,  le  operazioni
eseguibili, le misure adottate a tutela  delle  persone  fisiche,  le
modalita' di informativa e l'esercizio dei diritti degli interessati. 
3. Disposizione di coordinamento 
  Per quanto non espressamente previsto nelle  presenti  disposizioni
si  applica  il  «Regolamento  recante  l'individuazione   dei   dati
sensibili e giudiziari e delle operazioni eseguibili»  emanato  dalla
Banca d'Italia con Provvedimento del 6 novembre 2015.