Credito e Centrali Rischi Private
Arrivano le nuove regole
Il Garante rende pubblico il testo preliminare e apre la consultazione
Riccardo Imperiali
Studio Legale Imperiali
infoimperiali@imperiali.com
Lo scorso mese di agosto ha visto la luce un importante codice di deontologia e di buona condotta dedicato ai sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti. Il nuovo codice individua la disciplina che le società che gestiscono centralmente sistemi di informazioni creditizie - concernenti richieste di prestiti personali, mutui, finanziamenti, dilazioni di pagamento, rilascio di carte di credito - e gli istituti di credito e le finanziarie che li utilizzano devono seguire per assicurare la legittimità dei tempi di conservazione dei dati e delle modalità di raccolta delle informazioni. Le regole imposte dal nuovo codice, in sostanza, sono rivolte da un lato al gestore privato che detiene il sistema centralizzato di informazioni creditizie, dall'altro ai soggetti partecipanti al sistema - quali istituti di credito e società finanziarie - che, in virtù di un contratto stipulato con il gestore, possono accedere ai dati presenti sulla banca dati e devono effettuare le segnalazioni relative a richieste o rapporti di credito delle quali hanno contezza. Sui partecipanti grava, inoltre, l'obbligo di aggiornare mensilmente i dati segnalati, nonché il dovere di eseguire gli adempimenti formali imposti dal Codice Privacy, quali il rilascio dell'informativa relativa al trattamento, direttamente nei confronti dei soggetti dei quali raccolgono le informazioni.
Consultazione pubblica
La bozza del codice, ai cui lavori preparatori hanno partecipato organismi rappresentativi degli operatori del settore, è agevolmente reperibile sul sito del Garante per la protezione dei dati personali (www.garanteprivacy.it). L'Autorità ha aperto una consultazione pubblica, attendendo il parere dei gestori privati delle banche dati, degli istituti di credito e delle società finanziarie, sia delle associazioni dei consumatori riunite nel Consiglio nazionale dei consumatori e Utenti presso il Ministero delle Attività Produttive.
Ambito di applicazione
Le disposizioni del codice operano per i soggetti privati che utilizzano banche dati relative a informazioni creditizie, mentre tali norme non riguardano i sistemi informativi di cui sono titolari i soggetti pubblici, come il servizio di centralizzazione dei rischi gestito dalla Banca d'Italia.
Principi
Vediamo nel dettaglio le principali novità. Innanzitutto, si afferma che il trattamento di dati personali effettuato nell'ambito di sistemi informativi di cui sono titolari soggetti privati, utilizzati a fini di credito al consumo o, comunque, riguardanti l'affidabilità e la puntualità dei pagamenti, deve svolgersi nel rispetto dei diritti, delle libertà fondamentali e della dignità degli interessati; con riguardo anche al diritto alla protezione dei dati personali, alla riservatezza e al diritto all'identità personale. Si precisa, inoltre, che gli operatori del settore devono rispettare anche le garanzie imposte dal Codice Privacy, in particolare, in tema di manifestazione del consenso e di altri presupposti di liceità.
Finalità
I gestori privati delle centrali rischi possono effettuare il trattamento esclusivamente per finalità correlate alla tutela del credito e al contenimento dei relativi rischi, ivi compresa la valutazione della situazione finanziaria e del merito creditizio degli interessati, nonché la verifica della loro affidabilità, solvibilità e puntualità nei pagamenti. Trova, in tal modo, ufficiale riconoscimento l'attività svolta dalle centrali rischi, intesa come meritevole di riconoscimento giuridico laddove persegua finalità di tutela del credito e di contenimento dei rischi, in modo da agevolare anche l'accesso al credito al consumo e ridurre il rischio di eccessivo indebitamento da parte degli interessati. Sono esclusi, pertanto, trattamenti di dati per ricerche di mercato o promozione, per pubblicità o vendita diretta di prodotti o servizi.
Requisiti e categorie di dati
Le informazioni utilizzate in tale banca dati non possono, in ogni caso, avere a oggetto dati sensibili o giudiziari, ma sono limitati a dati personali di tipo obiettivo. A titolo esemplificativo, i dati anagrafici, il codice fiscale o la partita IVA; le informazioni inerenti alla richiesta o al rapporto di credito, descrittivi del contratto, dell'importo del credito e delle modalità di rimborso; dati di tipo contabile riguardanti l'andamento dei pagamenti, l'esposizione debitoria residuale; dati inerenti l'attività di recupero del credito o contenzioso.
Tempi di conservazione
Una sezione del codice deontologico è dedicata alle modalità di raccolta delle informazioni, della registrazione dei dati nelle banche dati, ai tempi da rispettare per effettuare la prima segnalazione relativa al primo ritardo di pagamento, nonché ai tempi di conservazione delle informazioni. La determinazione dei tempi di conservazione tiene conto della tipologia di dato da inserire, distinguendo a seconda che si tratti di richieste di credito, di credito rifiutate o non accolte, di ritardi nei pagamenti successivamente regolarizzati, di inadempimenti non sanati ovvero di informazioni di tipo positivo relative a un rapporto che si è esaurito con estinzione di ogni obbligazione pecuniaria. Una novità va ravvisata nell'obbligo, che grava sui soggetti (i cosiddetti partecipanti e cioè ad esempio, gli istituti di credito o gli enti finanziatori) che effettuano la segnalazione nella banca dati, di avvertire l'interessato circa l'imminente registrazione dei dati in uno o più sistemi di informazioni creditizie.
Utilizzazione dei dati
Gli istituti di credito e le società finanziarie che, in virtù di un contratto stipulato con il gestore, possono accedere alla banca dati relativa alle informazioni creditizie, sono autorizzati a utilizzare le informazioni in essa presenti solo per verificare la posizione di un consumatore che chiede di instaurare o è parte di un rapporto di credito ovvero di un soggetto che nell'ambito della propria attività imprenditoriale o professionale avvia un'istruttoria per l'instaurazione di un rapporto di credito o l'assunzione di un rischio di credito, ovvero per soggetti coobbligati con i precedenti.
Misure di sicurezza
La normativa in commento specifica anche le misure di sicurezza che devono essere adottate a salvaguardia di un sistema di informazioni creditizie. In particolare, si precisa che le persone fisiche che, in qualità di Responsabili o di Incaricati del trattamento, hanno accesso al sistema, sono obbligate a mantenere il segreto sui dati personali acquisiti. Il sistema relativo alla banca dati, inoltre, deve essere protetto da adeguate misure tecniche, logiche, informatiche, procedurali, fisiche e organizzative idonee ad assicurare la sicurezza, l'integrità e la riservatezza dei dati personali e delle comunicazioni elettroniche.
Entrata in vigore
Il codice, una volta varato, entrerà in vigore dal 1 gennaio del 2005, mentre le misure necessarie per la sua applicazione sono adottate dai soggetti tenuti a rispettarlo al più tardi entro il 31 marzo 2005. Entro tale termine, ogni gestore di un sistema centralizzato di rilevazione dei rischi deve inviare al Garante per la protezione dei dati personali, al fine di consentire il controllo sulla corretta attuazione del codice, i propri estremi identificativi e i recapiti, una descrizione dell'attività svolta e del funzionamento della banca dati, i modelli di contratti, accordi, convenzioni o istruzioni adottati e che disciplinano le modalità di accesso alla banca dati.
|