Allegato
CODICE DI CONDOTTA PER I SISTEMI INFORMATIVI
GESTITI DA SOGGETTI PRIVATI IN TEMA
DI CREDITI AL CONSUMO, AFFIDABILITA'
E PUNTUALITA' NEI PAGAMENTI
INDICE
Articolo 1 Ambito di applicazione
Articolo 2 Definizioni
Articolo 3 Finalita' del trattamento
Articolo 4 Requisiti e categorie dei dati
Articolo 5 Modalita' di raccolta e registrazione dei dati
Articolo 6 Base giuridica e Informazione agli interessati
Articolo 7 Tempi di conservazione dei dati
Articolo 8 Utilizzazione dei dati
Articolo 9 Accesso ed esercizio di altri diritti degli
interessati
Articolo 10 Trattamenti o processi decisionali automatizzati di
scoring
Articolo 11 Trattamento di dati provenienti da fonti pubbliche
e/o da altre fonti
Articolo 12 Misure di sicurezza dei dati
Articolo 13 Notifica di una violazione dei dati personali
Articolo 14 Trasferimento di dati personali verso paesi terzi o
organizzazioni internazionali
Articolo 15 Verifiche sul rispetto del Codice di condotta ed
organismo di monitoraggio
Articolo 16 Modalita' di adesione al Codice di condotta
Articolo 17 Revisione del Codice di condotta
Articolo 18 Disposizioni transitorie e finali
Articolo 19 Entrata in vigore
Allegato 1 - Preavviso di segnalazione
Allegato 2 - Tempi di conservazione
Allegato 3 - Modello di informativa
Allegato 4 - Organismo di monitoraggio
Preambolo
L'Associazione italiana societa' di referenza creditizia (di
seguito «AISReC»), in qualita' di associazione rappresentativa dei
gestori di sistemi di informazioni creditizia che ne fanno parte,
unitamente all'Associazione italiana leasing e al Consorzio per la
tutela del credito sottoscrivono il presente codice di condotta con
gli allegati da 1 a 4 che ne costituiscono parte integrante,
sottoposto all'approvazione del Garante per la protezione dei dati
personali (di seguito il «Garante») ai sensi dell'art. 40 del
regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del
27 aprile 2016, relativo alla protezione delle persone fisiche con
riguardo al trattamento dei dati personali, nonche' alla libera
circolazione di tali dati (Regolamento generale sulla protezione dei
dati, di seguito il «regolamento») e nel rispetto della procedura
stabilita dall'art. 20 del decreto legislativo n. 101/2018, recante
disposizioni di adeguamento del decreto legislativo n. 196/2003, il
codice in materia di protezione dei dati personali (di seguito
denominato «Codice») alle norme del regolamento, sulla base delle
seguenti
Premesse
1. L'art. 40 del regolamento prevede che gli Stati membri, le
autorita' di controllo, il comitato e la Commissione incoraggino
l'elaborazione di codici di condotta destinati a contribuire alla
corretta applicazione del regolamento in funzione delle specificita'
dei vari settori di trattamento e delle esigenze specifiche delle
micro, piccole e medie imprese. Il considerando n. 98 del regolamento
prevede che i codici di condotta possono calibrare gli obblighi dei
titolari del trattamento e dei responsabili del trattamento, tenuto
conto del potenziale rischio del trattamento per i diritti e le
liberta' delle persone fisiche.
2. Con provvedimento del Garante n. 8 del 16 novembre 2004,
Gazzetta Ufficiale 23 dicembre 2004, n. 300, come modificato
dall'errata corrige pubblicata nella Gazzetta Ufficiale della
Repubblica italiana 9 marzo 2005, n. 56 e' stato adottato il codice
di deontologia e di buona condotta per i sistemi informativi gestiti
da soggetti privati in tema di crediti al consumo, affidabilita' e
puntualita' nei pagamenti (di seguito «Codice deontologico»).
3. L'art. 20 del decreto legislativo n. 101/2018 recante
disposizioni per l'adeguamento della normativa nazionale alle
disposizioni del regolamento, che ha modificato il decreto
legislativo n. 196/2003, prevede che il codice deontologico continui
a produrre effetti a condizione che entro il termine definito (dodici
mesi dalla entrata in vigore del decreto) venga avviata e portata a
termine la procedura tesa ad elaborare un codice di condotta
rispondente ai criteri di cui agli articoli 40 e 41 del regolamento e
che permetta di trasfondere in nuovo testo, coerente con il quadro
regolamentare europeo, i principi delle vigenti norme deontologiche.
4. Con nota del Garante per la protezione dei dati personali
dell'11 ottobre 2018 i soggetti che professionalmente gestiscono i
sistemi di informazioni creditizie sono stati esortati a predisporre
una bozza di Codice di condotta da sottoporre alla approvazione dello
stesso Garante per la protezione dei dati personali (entro sei mesi
dalla data di entrata in vigore del decreto legislativo n. 101/2018).
5. I partecipanti al SIC sono, in forza del codice deontologico
previgente, banche, intermediari finanziari e altri soggetti privati
che, nell'esercizio di un'attivita' commerciale o professionale,
concedono una dilazione di pagamento del corrispettivo per la
fornitura di beni o servizi (art. 1, comma 1, lettera e) del codice
deontologico) che operano in un quadro di reciprocita' nello scambio
di dati con gli altri partecipanti. Il legislatore e' intervenuto a
piu' riprese per consentire l'accesso ai dati presenti nel SIC a
ulteriori soggetti quali, attualmente, in forza dell'art. 6-bis, del
decreto-legge 13 agosto 2011, n. 138 convertito con la legge 14
settembre 2011, n. 148 e del vigente art. 30-ter del decreto
legislativo 13 agosto 2010, n. 141 (come successivamente modificato):
i fornitori di servizi di comunicazione elettronica e i
fornitori di servizi interattivi associati o di servizi di accesso
condizionato (tra cui, quindi, le societa' telefoniche);
le imprese di assicurazione;
i soggetti autorizzati a svolgere le attivita' di vendita a
clienti finali di energia elettrica e di gas naturale ai sensi della
normativa vigente.
Per effetto delle predette norme, tali soggetti (cosiddetti
accedenti), attualmente hanno facolta' di consultare i dati personali
presenti nei SIC, stipulando a tal fine appositi accordi con uno o
piu' gestori di Sic.
6. Inoltre, la legge 4 agosto 2017, n. 124, recante Legge annuale
per il mercato e la concorrenza, all'art. 1, comma 85, ha stabilito
anche che «al fine di promuovere la concorrenza attraverso la
riduzione delle asimmetrie informative, anche intersettoriali,
all'art. 6-bis del decreto-legge 13 agosto 2011, n. 138, convertito,
con modificazioni, dalla legge 14 settembre 2011, n. 148, dopo il
comma 1 sono aggiunti i seguenti: «1-bis. L'accesso ai sistemi
informativi di cui al comma 1 da parte dei soggetti ivi indicati puo'
avvenire anche in un quadro di reciprocita', ma solo nel rispetto
delle prescrizioni stabilite dal Garante per la protezione dei dati
personali necessarie ad assicurare proporzionalita', correttezza e
sicurezza circa il trattamento di dati personali ai sensi del
predetto comma 1 e il rispetto dei diritti e delle liberta'
fondamentali, nonche' della dignita' dei soggetti cui le 2
informazioni si riferiscono, con particolare riferimento alla
riservatezza, all'identita' personale e al diritto alla protezione
dei dati personali».
7. Il Garante ha adottato un provvedimento interpretativo di
alcune disposizioni del codice deontologico il 26 ottobre 2017
(pubblicato nella Gazzetta Ufficiale della Repubblica italiana n. 279
del 29 novembre 2017).
8. Il trattamento di dati personali, effettuato nell'ambito dei
sistemi informativi regolati dal presente codice di condotta deve
svolgersi nel rispetto dei principi dettati dalla normativa
applicabile, avuto particolare riguardo a quella dettata in materia
di protezione dei dati personali.
9. Con il presente codice di condotta, che recepisce quanto
indicato nelle premesse 5 e 7 e vuole altresi' mettere le basi per
una piena realizzazione di quanto indicato nella premessa 6 al fine
di una coerente regolamentazione del settore, sono individuate
adeguate garanzie in conformita' con il regolamento al fine di
precisarne e facilitarne la sua applicazione.
10. Il presente codice di condotta e' elaborato ai sensi
dell'art. 40 del regolamento per garantire, settorialmente, ed in
funzione delle specifiche esigenze delle diverse categorie dei
partecipanti ai SIC, l'applicazione efficace, coerente ed omogenea
del regolamento e, nel contempo, per garantire un corretto
bilanciamento di interessi tra i soggetti coinvolti nel trattamento.
11. Le disposizioni del presente codice di condotta si applicano
esclusivamente al trattamento di dati personali effettuato
nell'ambito dei sistemi di informazioni creditizie e, in particolare,
il presente codice di condotta non riguarda sistemi informativi di
cui sono titolari soggetti pubblici, quale il servizio di
centralizzazione dei rischi gestito dalla Banca d'Italia (articoli
13, 53, comma 1, lettera b), 60, comma 1, 64, 67, comma 1, lettera
b), 106 107, 144 e 145 del decreto legislativo 1° settembre 1993, n.
385 - testo unico delle leggi in materia bancaria e creditizia;
delibera cicr del 29 marzo 1994; provvedimento Banca d'Italia 10
agosto 1995; circolare Banca d'Italia 11 febbraio 1991, n. 139 e
successivi aggiornamenti).
12. Tutti i soggetti che gestiscono sistemi di informazioni
creditizie possono aderire al presente codice di condotta, anche
attraverso le rispettive associazioni di categoria, seguendo le
procedure di seguito stabilite.
Art. 1.
Ambito di applicazione
Il presente codice di condotta e' riferito ad attivita' di
trattamento dei dati personali relativi a persone fisiche
limitatamente al territorio dello Stato italiano ed e' applicabile
unicamente a livello nazionale. Per tale motivo, l'approvazione di
cui all'art. 40 del regolamento e' richiesta al Garante in qualita'
di Autorita' di controllo competente ai sensi dell'art. 55 del
regolamento.