LA BANCA D'ITALIA
Visto l'art. 6, paragrafo 1, lettera e) del regolamento generale
sulla protezione dei dati (UE) 2016/679 (di seguito GDPR), che
consente il trattamento dei dati quando e' necessario per
l'esecuzione di un compito di interesse pubblico o connesso
all'esercizio dei pubblici poteri di cui e' investito il titolare del
trattamento;
Visto il medesimo art. 6, paragrafo 3, lettera b) del GDPR che
stabilisce che la base giuridica su cui si fonda il trattamento dei
dati effettuato per l'esecuzione di un compito di interesse pubblico
sia stabilita dal diritto dello Stato membro e contenga disposizioni
specifiche per adeguarsi alle disposizioni del regolamento;
Visto l'art. 2-ter del decreto legislativo 30 giugno 2003 n. 196
(di seguito «decreto»), come modificato dal decreto legislativo 10
agosto 2018 n. 101 di adeguamento alle disposizioni del GDPR, e dal
decreto-legge 8 ottobre 2021, n. 139, convertito, con modificazioni,
dalla legge 3 dicembre 2021, n. 205;
Visto l'art. 9 paragrafo 2, lettera g), del GDPR, che consente il
trattamento di «particolari categorie di dati personali» quando sia
necessario per motivi di interesse pubblico rilevante sulla base del
diritto dell'Unione o degli Stati membri;
Visto l'art. 10 del GDPR, che consente il trattamento di «dati
relativi a condanne penali e reati» quando sia autorizzato dal
diritto dell'Unione o degli Stati membri;
Visto l'art. 2-sexies del decreto, che consente il trattamento
delle «particolari categorie di dati personali» necessari per motivi
di interesse pubblico rilevante, qualora sia previsto da disposizioni
di legge o di regolamento, o da atti amministrativi generali, che
contengano elementi specifici sul trattamento di tali dati;
Visto il medesimo art. 2-sexies del decreto che considera
«rilevante» l'interesse pubblico relativo a trattamenti effettuati da
soggetti che svolgono compiti di interesse pubblico o connessi
all'esercizio di pubblici poteri nelle materie elencate nelle lettere
da a) a dd) del medesimo comma;
Viste in particolare le lettere l) e q) del comma 2 dell'art.
2-sexies del decreto, nelle quali sono menzionate, rispettivamente,
le attivita' «di controllo e ispettive» e «sanzionatorie e di tutela
in sede amministrativa e giudiziaria», alle quali e' riconducibile
l'attivita' di vigilanza della Banca d'Italia;
Visto l'art. 2-octies, comma 3, del decreto, che consente il
trattamento di «dati personali o relativi a condanne penali e reati»
se autorizzato da una norma di legge o, nei casi previsti dalla
legge, di regolamento che prevedano garanzie appropriate per i
diritti e le liberta' degli interessati;
Visto l'art. 22 del decreto legislativo 10 agosto 2018, n. 101 che,
nel dettare le disposizioni transitorie per i trattamenti in essere,
prevede che siano tuttora applicabili i vigenti regolamenti sui
trattamenti dei dati sensibili e giudiziari adottati secondo la
previgente disciplina di cui al decreto;
Visti gli articoli 4 e 5 del decreto legislativo 1° settembre 1993,
n. 385, recante il testo unico delle leggi in materia bancaria e
creditizia (di seguito TUB o testo unico), che identificano la Banca
d'Italia come Autorita' creditizia, cui spettano i poteri di
vigilanza nei confronti delle banche, dei gruppi bancari, degli
intermediari finanziari, degli istituti di moneta elettronica e degli
istituti di pagamento (di seguito intermediari vigilati);
Visti inoltre gli articoli 4 comma 1 e 8 del TUB, che attribuiscono
alla Banca d'Italia il potere di emanare regolamenti, impartire
istruzioni e adottare provvedimenti, dettandone uno specifico regime
di pubblicita';
Visto l'art. 127 del TUB, ai sensi del quale le Autorita'
creditizie, ivi compresa la Banca d'Italia, esercitano i poteri
previsti dal titolo VI del medesimo testo unico, «avendo riguardo,
oltre che alle finalita' indicate nell'art. 5, alla trasparenza delle
condizioni contrattuali e alla correttezza dei rapporti con la
clientela»;
Visti gli articoli 128 e 128-ter del TUB, che attribuiscono alla
Banca d'Italia specifici poteri di controllo, anche informativi e
ispettivi, cosi' come di tipo inibitorio al fine di verificare e
assicurare il rispetto delle disposizioni del titolo VI del medesimo
testo unico;
Visti gli articoli 144, 145 e seguenti del TUB, che disciplinano il
potere sanzionatorio della Banca d'Italia, nei confronti di societa'
o enti soggetti a vigilanza, in caso di violazioni delle disposizioni
del richiamato titolo VI;
Visto il decreto legislativo 27 gennaio 2010, n. 11, emanato in
attuazione della direttiva 2007/64/CE relativa ai servizi di
pagamento nel mercato interno, che disciplina il potere sanzionatorio
della Banca d'Italia in caso di violazioni delle disposizioni
relative ai diritti e agli obblighi delle parti nella prestazione dei
servizi di pagamento;
Visti gli articoli 128-bis, comma 3-bis, 126-vicies, comma 2, e
126-vicies ter del TUB, e gli articoli 34-decies e 39 del decreto
legislativo 27 gennaio 2010, n. 11, che ammettono la presentazione di
esposti alla Banca d'Italia nelle materie soggette alla sua
vigilanza, nonche' l'art. 24 della legge 28 dicembre 2005, n. 262,
secondo il quale le notizie sottoposte per iscritto da soggetti
interessati possono essere utilizzate dalla Banca d'Italia
nell'istruzione di procedimenti sanzionatori;
Considerata l'attuale vigenza del regolamento, adottato dalla Banca
d'Italia con provvedimento del 6 novembre 2015, recante
l'individuazione dei dati sensibili e giudiziari e delle operazioni
eseguibili, relativamente alle fattispecie ivi disciplinate;
Ritenuta la necessita', da parte della Banca d'Italia, di
effettuare trattamenti di dati personali, di categorie particolari di
dati e di dati relativi a condanne penali e reati nell'ambito
dell'attivita' di gestione degli esposti in materia di trasparenza
delle condizioni contrattuali e correttezza dei rapporti tra
intermediari vigilati e clientela e di diritti e obblighi delle parti
nella prestazione di servizi di pagamento;
Considerata la necessita' di utilizzare strumenti di intelligenza
artificiale per agevolare l'analisi degli esposti presentati alla
Banca d'Italia;
Ritenuta altresi' la necessita' che rispetto a tali trattamenti si
forniscano disposizioni specifiche sulle operazioni eseguibili e
sulle modalita' di trattamento, anche con specifico riferimento
all'uso dei suddetti strumenti di intelligenza artificiale, in
un'ottica di chiarezza e trasparenza nei confronti degli interessati;
Considerato che la gestione degli esposti nelle materie della
trasparenza delle condizioni contrattuali e correttezza dei rapporti
con la clientela e dei diritti e obblighi delle parti nella
prestazione di servizi di pagamento rappresenta un compito di
interesse pubblico individuato dalla disciplina di settore e affidato
alla Banca d'Italia;
Considerato che la Banca d'Italia, nella qualita' di Autorita'
creditizia, nell'esercizio delle sue funzioni di vigilanza sugli
intermediari bancari e finanziari, e' titolare di potesta'
regolamentare, sulla base di quanto previsto dal TUB;
Sentito il Garante per la protezione dei dati personali, il quale
si e' espresso con parere favorevole del 24 febbraio 2022, n. 78;
Adotta il seguente regolamento per il trattamento di dati personali
di cui la scheda allegata costituisce parte integrante e sostanziale.
1. Oggetto del regolamento
Il presente regolamento identifica, ai sensi degli articoli 6
paragrafo 3 lettera b), 9 paragrafo 2 lettera g), e 10 del
regolamento generale sulla protezione dei dati (UE) 2016/679, nonche'
degli articoli 2-ter, 2-sexies comma 1 e 2-octies comma 3, del
decreto legislativo n. 196/2003, le tipologie di dati personali
trattati nonche' le operazioni eseguibili e le misure di sicurezza
adottate dalla Banca d'Italia nell'ambito della gestione degli
esposti riguardanti la trasparenza delle condizioni contrattuali, la
correttezza dei rapporti tra intermediari vigilati e clienti e i
diritti e gli obblighi delle parti nella prestazione di servizi di
pagamento, materie sulle quali la Banca d'Italia svolge una funzione
di vigilanza da considerarsi di rilevante interesse pubblico sulla
base dell' art. 2-sexies, comma 2, del decreto.
2. Disposizioni specifiche sull'attivita' di trattamento
Con riferimento alle attivita' di trattamento, vengono dettate,
nell'allegato che segue, disposizioni concernenti le finalita' e le
modalita' del trattamento, con l'individuazione di misure appropriate
e specifiche per tutelare i diritti fondamentali degli interessati.
Le disposizioni, tenendo anche conto dell'uso di tecniche di
intelligenza artificiale, stabiliscono: l'attivita' di gestione degli
esposti e la modalita' del trattamento dei dati, la limitazione del
trattamento, la finalita' di interesse pubblico rilevante, le basi
normative su cui si fonda l'interesse pubblico, le tipologie di dati
oggetto del trattamento, le categorie di interessati, le operazioni
eseguibili, le misure adottate a tutela delle persone fisiche, le
modalita' di informativa e l'esercizio dei diritti degli interessati.
3. Disposizione di coordinamento
Per quanto non espressamente previsto nelle presenti disposizioni
si applica il «Regolamento recante l'individuazione dei dati
sensibili e giudiziari e delle operazioni eseguibili» emanato dalla
Banca d'Italia con Provvedimento del 6 novembre 2015.