|
Data: 23/09/2019 07:00:00 - Autore: Lucia Izzo di Lucia Izzo - Più tutelati i consumatori censiti nelle banche dati del credito, maggiore trasparenza sul funzionamento degli algoritmi che analizzano il rischio nei finanziamenti, apertura alle nuove tecnologie e ai servizi del Fintech, possibilità di preavvisare i cattivi pagatori anche tramite SMS o altri sistemi di messaggistica istantanea. Sono queste alcune novità inserite nel "Codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti", ovvero i c.d. SIC, i Sistemi di informazioni creditizie. Il testo (sotto allegato), promosso dalle associazioni e dagli altri organismi rappresentanti le categorie interessate, è stato approvato dal Garante per la protezione dei dati personali con provvedimento n. 163 del 12 settembre 2019.
Il nuovo Codice di condotta[Torna su] L'intervento si è reso necessario a seguito della piena operatività del Regolamento (UE) 2016/679 in materia di privacy (GDPR) che ha previsto, in particolare, che gli Stati membri e le autorità di controllo, incoraggiassero l'elaborazione di codici di condotta destinati a contribuire alla corretta applicazione del Regolamento in funzione delle specificità dei vari settori di trattamento e delle esigenze delle micro, piccole e medie imprese. In particolare, tali codici di condotta possono calibrare gli obblighi dei titolari del trattamento e dei responsabili del trattamento, tenuto conto del potenziale rischio del trattamento per i diritti e le libertà delle persone fisiche. L'approvazione del Garante giunge a seguito di un complesso lavoro di revisione del vecchio Codice deontologico del 2004, ormai obsoleto alla luce delle modifiche introdotte dalla normativa europea e nazionale in materia di privacy. Gli aderenti al nuovo Codice di condotta si impegnano a rispettarne già da ora le regole e i principi, anche se il testo diverrà pienamente efficace solo al completamento della fase di accreditamento dell'organismo di monitoraggio da parte del Garante presso il Comitato che riunisce le Autorità di protezione dati dell'Ue (Edpb). Ambito di applicazione e trattamento dei dati[Torna su] In particolare, conferma il Garante in un comunicato, le nuove regole per l'analisi del rischio creditizio (per adeguarsi alle sfide poste dalla digital economy) riguarderanno non solo i dati su prestiti e mutui, bensì anche quelli relativi alle diverse forme di leasing, al noleggio a lungo termine e alle più innovative forme di prestito tra privati gestite tramite piattaforme tecnologiche Fintech. Al fine di favorire il corretto funzionamento del mercato finanziario e creditizio, i dati censiti potranno essere trattati senza il consenso degli interessati, sulla base del "legittimo interesse" delle società partecipanti ai Sic, ma sempre garantendo i più ampi diritti previsti dal Regolamento europeo in materia di protezione dei dati. Nel dettaglio, si potranno essere trattati solo dati necessari, pertinenti e non eccedenti le finalità di valutazione del rischio creditizio, fornendo informazioni complete e puntuali agli interessati. I modelli di analisi statistica, così come gli algoritmi utilizzati, dovranno inoltre essere sottoposti a verifica e aggiornamento con cadenza almeno biennale. Particolare attenzione è stata rivolta alle misure di sicurezza adottate per proteggere i dati da accessi illeciti e garantire l'affidabilità dei sistemi. Per semplificare le modalità di preavviso agli interessati prima dell'eventuale iscrizione nei Sic, sono state individuate anche nuove forme di contatto, come quelle garantite dai sistemi di messaggistica istantanea utilizzate sugli smartphone. Informazioni negative[Torna su] Il SIC, come noto, può contenere informazioni di tipo negativo, che riguardano soltanto rapporti per i quali si sono verificati inadempimenti, nonché informazioni di tipo positivo e negativo, che attengono a richieste/rapporti a prescindere dalla sussistenza di inadempimenti registrati nel SIC al momento del loro verificarsi. In pratica, negli elenchi delle centrali rischi possono trovare spazio anche informazioni negative relative ai "cattivi pagatori". Dati che possono circolare al fine di prevenzione del rischio di frodi, per una corretta misurazione del merito e del rischio creditizio e per la corretta valutazione dell'affidabilità e della puntualità dei pagamenti dell'interessato. Preavviso di segnalazione e nuove forme di contatto[Torna su] Prima dell'inserimento nelle liste, sarà necessario un preavviso di segnalazione. Oltre alla Posta elettronica certificata (PEC), il testo ritiene idoneo a garantire l'adempimento dell'obbligo di preavviso di segnalazione anche l'invio tramite "vettore con servizio di tracciatura e certificazione dell'avvenuta consegna" quindi tramite un servizio di postalizzazione. Per semplificare le modalità di contatto, viene consentito, previo accordo con gli interessati, anche inviare "preavvisi di segnalazione" tramite sistemi di messaggistica istantanea che garantiscano la tracciabilità della consegna (es. Whatsapp). Idonei a dimostrare la comunicazione, saranno anche altre modalità (sempre se previamente concordate con l'interessato) ovvero: messa a disposizione del documento in un'area riservata ad accesso esclusivo del cliente (es. home banking o analogo servizio), accompagnata da un messaggio sms, istantaneo o da una email che allerti il cliente circa la presenza in tale area riservata di una comunicazione importante lui destinata; comunicazione telefonica con registrazione della chiamata. Conservazione informazioni creditizie[Torna su] Le informazioni creditizie di tipo negativo relative a inadempimenti non successivamente regolarizzati potranno essere conservate nel SIC non oltre 36 mesi dalla data di scadenza contrattuale del rapporto oppure, in caso di altre vicende rilevanti in relazione al pagamento, dalla data in cui è risultato necessario il loro ultimo aggiornamento, e comunque, anche in quest'ultimo caso, al massimo fino a 60 mesi dalla data di scadenza del rapporto, quale risulta dal contratto. Le informazioni di tipo negativo relative a ritardi nei pagamenti, successivamente regolarizzati, potranno essere conservate in un SIC fino a 12 mesi dalla regolarizzazione, per ritardi non superiori a due rate o mesi, oppure 24 mesi per ritardi superiori a due rate o mesi. Quanto alle informazioni creditizie di tipo positivo relative a un rapporto che si è esaurito con estinzione di ogni obbligazione pecuniaria, anche queste potranno essere conservate nel sistema non oltre 60 mesi dalla data di cessazione del rapporto o di scadenza del relativo contratto, ovvero dal primo aggiornamento effettuato nel mese successivo a tali date. Garanzie rafforzate[Torna su] Il provvedimento rafforza i diritti a tutela della privacy delle persone interessate e prescrive che vengano offerte informazioni più complete sui trattamenti dei dati posti in essere dalle società aderenti. Ad esempio, qualora al cliente venga negato del credito (es. per un mutuo) sulla base di analisi automatizzate, l'interessato potrà richiedere la logica di funzionamento degli algoritmi. Il provvedimento si sofferma anche sull'adozione di ulteriori misure a tutela della sicurezza dei dati e contro gli accessi illeciti Viene inoltre istituito un apposito Organismo di monitoraggio (Odm) indipendente, che vigilerà sull'operato dei SIC e sull'applicazione del codice di condotta per quanto attiene esclusivamente alle operazioni di trattamento di dati personali poste in essere dai gestori aderenti al Codice stesso. |
|