Comune di Jesi Rete civica Aesinet
Home Mappa E-mail facile Ricerca

scegli la categoria...
Il Comune - Relazioni con il pubblico - Informagiovani - Dati statistici - Informacittà - Gazzette leggi e normative - Cultura e tempo libero - Economia e lavoro - Turismo - Portale delle associazioni - Istruzione e formazione - Trasporti e mobilità - Sanità, ambiente

Gazzetta Ufficiale N. 300 del 23 Dicembre 2004

 

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

DELIBERAZIONE 16 novembre 2004
Codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilita' e puntualita' nei pagamenti. (Deliberazione n. 8).

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella seduta odierna, con la partecipazione del prof. Stefano
Rodota', presidente, del prof. Giuseppe Santaniello, vice presidente,
del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti, e del
dott. Giovanni Buttarelli, segretario generale;
Visto l'art. 27 della direttiva n. 95/46/CE del Parlamento europeo
e del Consiglio del 24 ottobre 1995, secondo cui gli Stati membri e
la Commissione incoraggiano l'elaborazione di codici di condotta
destinati a contribuire, in funzione delle specificita' settoriali,
alla corretta applicazione delle disposizioni nazionali di attuazione
della direttiva adottate dagli Stati membri;
Visti gli articoli 12 e 154, comma 1, lettera e) del Codice in
materia di protezione dei dati personali (decreto legislativo
30 giugno 2003, n. 196), i quali attribuiscono al Garante il compito
di promuovere nell'ambito delle categorie interessate,
nell'osservanza del principio di rappresentativita' e tenendo conto
dei criteri direttivi delle raccomandazioni del Consiglio d'Europa
sul trattamento dei dati personali, la sottoscrizione di codici di
deontologia e di buona condotta per determinati settori, verificarne
la conformita' alle leggi e ai regolamenti anche attraverso l'esame
di osservazioni di soggetti interessati e contribuire a garantirne la
diffusione e il rispetto;
Visto l'art. 117 del codice con il quale e' stato demandato al
Garante il compito di promuovere la sottoscrizione di un Codice di
deontologia e di buona condotta per il trattamento dei dati personali
effettuato nell'ambito di sistemi informativi di cui sono titolari
soggetti privati, utilizzati a fini di concessione di crediti al
consumo, nonche' riguardanti l'affidabilita' e la puntualita' nei
pagamenti da parte degli interessati;
Visto il provvedimento generale del Garante adottato il 31 luglio
2002 (in Bollettino del Garante n. 30/2002, p. 47) con il quale,
nelle more dell'adozione del predetto codice di deontologia e di
buona condotta, sono state nel frattempo prescritte, ai soggetti
privati che gestiscono sistemi informativi di rilevazione di rischi
creditizi, nonche' alle banche e societa' finanziarie che vi
accedono, alcune prime misure da adottare al fine di conformare il
relativo trattamento ai principi in materia di protezione dei dati
personali;
Visto il provvedimento del 10 aprile 2002, pubblicato nella
Gazzetta Ufficiale della Repubblica italiana 8 maggio 2002, n. 106,
con il quale il Garante ha promosso la sottoscrizione del codice di
deontologia e di buona condotta;
Viste le comunicazioni pervenute al Garante in risposta al citato
provvedimento del 10 aprile 2002, con le quali diversi soggetti
privati, associazioni di categoria ed associazioni di consumatori
hanno manifestato la volonta' di partecipare all'adozione di tale
codice e rilevato che si e' anche formato un apposito gruppo di
lavoro composto da rappresentanti dei predetti soggetti;
Considerato che il testo del codice di deontologia e di buona
condotta e' stato oggetto di ampia diffusione anche attraverso la sua
pubblicazione sul sito Internet di questa Autorita', resa nota
tramite avviso nella Gazzetta Ufficiale della Repubblica italiana
18 agosto 2004, n. 193, al fine di favorire il piu' ampio dibattito e
di permettere la raccolta di eventuali osservazioni e integrazioni al
testo medesimo da parte di tutti i soggetti interessati;
Viste le osservazioni pervenute a seguito di tale avviso e le
modifiche apportate allo schema del codice, poi sottoscritto il
12 novembre 2004;
Constatata la conformita' del codice di deontologia e di buona
condotta alle leggi ed ai regolamenti anche in relazione a quanto
previsto dall'art. 12 del Codice;
Visto l'art. 5 del codice di deontologia e di buona condotta;
Considerato che dalle predette consultazioni sono emersi anche
alcuni dettagli operativi che rendono necessario indicare modalita'
di attuazione idonee ed efficaci delle disposizioni in materia di
informativa da rendere agli interessati ai sensi dell'art. 13 del
Codice;
Ritenuto pertanto indispensabile prescrivere, ai sensi dell'art.
154, comma 1, lettera c), del Codice, un modello unico per
l'informativa, basato su espressioni chiare, semplici e di agevole
comprensione, e da adottare da tutti i soggetti privati titolari dei
trattamenti di dati personali effettuati, in modo effettivo ed
uniforme;
Rilevato che il rispetto delle disposizioni contenute nel codice di
deontologia e di buona condotta costituisce condizione essenziale per
la liceita' e la correttezza del trattamento dei dati personali
effettuato da soggetti privati e pubblici (art. 12, comma 3, del
Codice);
Rilevato altresi' che i titolari del trattamento sono tenuti a fare
uso del modello unico di informativa che il presente provvedimento
prescrive, al quale potranno apportarvi eventuali modifiche
sostanziali o integrazioni con esso compatibili, unicamente previo
assenso di questa Autorita', salvi eventuali adattamenti meramente
formali;
Considerato che, ai sensi dell'art. 12, comma 2, del codice, il
codice di deontologia e di buona condotta deve essere pubblicato
nella Gazzetta Ufficiale della Repubblica italiana a cura del Garante
e, con decreto del Ministro della giustizia, riportato nell'allegato
a) al medesimo Codice;
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi
dell'art. 15 del regolamento del Garante n. 1/2000, adottato con
deliberazione n. 15 del 28 giugno 2000 e pubblicato nella Gazzetta
Ufficiale della Repubblica italiana n. 162 del 13 luglio 2000;
Relatore il dott. Mauro Paissan;

Tutto cio' premesso il Garante:

a) dispone la trasmissione del codice di deontologia e di buona
condotta per i sistemi informativi gestiti da soggetti privati in
tema di crediti al consumo, affidabilita' e puntualita' nei
pagamenti, che figura in allegato, all'Ufficio pubblicazione leggi e
decreti del Ministero della giustizia per la sua pubblicazione nella
Gazzetta Ufficiale della Repubblica italiana, nonche' al Ministro
della giustizia per essere riportato nell'allegato a) al Codice;
b) individua, in allegato alla presente deliberazione, il modello
di informativa contenente i requisiti minimi che, ai sensi dell'art.
154, comma 1, lettera c), del codice, prescrive a tutti i titolari
del trattamento interessati di utilizzare nei termini di cui in
motivazione.

Roma, 16 novembre 2004
Il presidente: Rodota'

Allegato

CODICE DI DEONTOLOGIA E DI BUONA CONDOTTA PER I SISTEMI INFORMATIVI
GESTITI DA SOGGETTI PRIVATI IN TEMA DI CREDITI AL CONSUMO,
AFFIDABILITA' E PUNTUALITA' NEI PAGAMENTI


Preambolo

I sottoindicati soggetti privati sottoscrivono il presente codice
di deontologia e di buona condotta sulla base delle seguenti
premesse:
1) il trattamento di dati personali effettuato nell'ambito di
sistemi informativi di cui sono titolari soggetti privati, utilizzati
a fini di credito al consumo o comunque riguardanti l'affidabilita' e
la puntualita' dei pagamenti, deve svolgersi nel rispetto dei
diritti, delle liberta' fondamentali e della dignita' delle persone
interessate, in particolare del diritto alla protezione dei dati
personali, del diritto alla riservatezza e del diritto all'identita'
personale;
2) con il presente codice sono individuate adeguate garanzie e
modalita' di trattamento a tutela dei diritti degli interessati da
osservare nel perseguire finalita' di tutela del credito e di
contenimento dei relativi rischi, in modo da agevolare anche
l'accesso al credito al consumo e ridurre il rischio di eccessivo
indebitamento da parte degli interessati;
3) la sottoscrizione del presente codice e' promossa dal
Garante per la protezione dei dati personali nell'ambito delle
associazioni rappresentative degli operatori del settore, ai sensi
degli articoli 12 e 117 del Codice in materia di protezione dei dati
personali (decreto legislativo 30 giugno 2003, n. 196/2003);
4) tutti coloro che utilizzano dati personali per le finalita'
sopra indicate devono osservare le regole di comportamento stabilite
dal presente codice come condizione essenziale per la liceita' e la
correttezza del trattamento;
5) gli stessi operatori del settore devono rispettare,
altresi', le garanzie previste dal predetto Codice, in particolare in
tema di manifestazione del consenso e di altri presupposti di
liceita';
6) il presente codice non riguarda sistemi informativi di cui
sono titolari soggetti pubblici e, in particolare, il servizio di
centralizzazione dei rischi gestito dalla Banca d'Italia
(articoli 13, 53, comma 1, lettera b), 60, comma 1, 64, 67, comma 1,
lettera b), 106, 107, 144 e 145 del decreto legislativo 1° settembre
1993, n. 385 - Testo unico delle leggi in materia bancaria e
creditizia; delibera Cicr del 29 marzo 1994; provvedimento Banca
d'Italia 10 agosto 1995 - circolare Banca d'Italia 11 febbraio 1991,
n. 139 e successivi aggiornamenti). Al sistema centralizzato di
rilevazione dei rischi di importo contenuto istituito con
deliberazione Cicr del 3 maggio 1999 (in Gazzetta Ufficiale 8 luglio
1999, n. 158) si applicano alcuni principi stabiliti dal presente
codice in tema di informativa agli interessati e di esercizio dei
diritti, in quanto compatibili con la specifica disciplina di
riferimento (v., in particolare, le istruzioni della Banca d'Italia
nella Gazzetta Ufficiale 21 novembre 2000, n. 272).

Art. 1.

Definizioni

1. Ai fini del presente codice di deontologia e di buona
condotta, si applicano le definizioni elencate nel Codice in materia
di protezione dei dati personali (art. 4 decreto legislativo
30 giugno 2003, n. 196), di seguito denominato «Codice». Ai medesimi
fini, si intende inoltre per:
a) «richiesta/rapporto di credito»: qualsiasi richiesta o
rapporto riguardanti la concessione, nell'esercizio di un'attivita'
commerciale o professionale, di credito sotto forma di dilazione di
pagamento, di finanziamento o di altra analoga facilitazione
finanziaria ai sensi del testo unico delle leggi in materia bancaria
e creditizia (decreto legislativo 1° settembre 1993, n. 385);
b) «regolarizzazione degli inadempimenti»: l'estinzione delle
obbligazioni pecuniarie inadempiute (derivanti sia da un mancato
pagamento, sia da un ritardo), senza perdite o residui anche a titolo
di interessi e spese o comunque a seguito di vicende estintive
diverse dall'adempimento, in particolare a seguito di transazioni o
concordati;
c) «sistema di informazioni creditizie»: ogni banca di dati
concernenti richieste/rapporti di credito, gestita in modo
centralizzato da una persona giuridica, un ente, un'associazione o un
altro organismo in ambito privato e consultabile solo dai soggetti
che comunicano le informazioni in essa registrate e che partecipano
al relativo sistema informativo. Il sistema puo' contenere, in
particolare:
1) informazioni creditizie di tipo negativo, che riguardano
soltanto rapporti di credito per i quali si sono verificati
inadempimenti;
2) informazioni creditizie di tipo positivo e negativo, che
attengono a richieste/rapporti di credito a prescindere dalla
sussistenza di inadempimenti registrati nel sistema al momento del
loro verificarsi;
d) «gestore»: il soggetto privato titolare del trattamento dei
dati personali registrati in un sistema di informazioni creditizie e
che gestisce tale sistema stabilendone le modalita' di funzionamento
e di utilizzazione;
e) «partecipante»: il soggetto privato titolare del trattamento
dei dati personali raccolti in relazione a richieste/rapporti di
credito, che in virtu' di contratto o accordo con il gestore
partecipa al relativo sistema di informazioni creditizie e puo'
utilizzare i dati presenti nel sistema, obbligandosi a comunicare al
gestore i predetti dati personali relativi a richieste/rapporti di
credito in modo sistematico, in un quadro di reciprocita' nello
scambio di dati con gli altri partecipanti. Fatta eccezione di
soggetti che esercitano attivita' di recupero crediti, il
partecipante puo' essere:

1) una banca;
2) un intermediario finanziario;
3) un altro soggetto privato che, nell'esercizio di
un'attivita' commerciale o professionale, concede una dilazione di
pagamento del corrispettivo per la fornitura di beni o servizi;
f) «consumatore»: la persona fisica che, in relazione ad una
richiesta/rapporto di credito, agisce per scopi non riferibili
all'attivita' imprenditoriale o professionale eventualmente svolta;
g) «tempo di conservazione dei dati»: il periodo nel quale i
dati personali relativi a richieste/rapporti di credito rimangono
registrati in un sistema di informazioni creditizie ed utilizzabili
dai partecipanti per le finalita' di cui al presente codice;
h) «tecniche o sistemi automatizzati di credit scoring»: le
modalita' di organizzazione, aggregazione, raffronto od elaborazione
di dati personali relativi a richieste/rapporti di credito,
consistenti nell'impiego di sistemi automatizzati basati
sull'applicazione di
metodi o modelli statistici per valutare il rischio creditizio, e i
cui risultati sono espressi in forma di giudizi sintetici, indicatori
numerici o punteggi, associati all'interessato, diretti a fornire una
rappresentazione, in termini predittivi o probabilistici, del suo
profilo di rischio, affidabilita' o puntualita' nei pagamenti.

Art. 2.

Finalita' del trattamento

1. Il trattamento dei dati personali contenuti in un sistema di
informazioni creditizie e' effettuato dal gestore e dai partecipanti
esclusivamente per finalita' correlate alla tutela del credito e al
contenimento dei relativi rischi e, in particolare, per valutare la
situazione finanziaria e il merito creditizio degli interessati o,
comunque, la loro affidabilita' e puntualita' nei pagamenti.
2. Non puo' essere perseguito alcun altro scopo, specie se
relativo a ricerche di mercato e promozione, pubblicita' o vendita
diretta di prodotti o servizi.

Art. 3.

Requisiti e categorie dei dati

1. Il trattamento effettuato nell'ambito di un sistema di
informazioni creditizie riguarda solo dati riferiti al soggetto che
chiede di instaurare o e' parte di un rapporto di credito con un
partecipante e al soggetto coobbligato, anche in solido, la cui
posizione e' chiaramente distinta da quella del debitore principale.
2. Il trattamento non puo' riguardare i dati sensibili e quelli
giudiziari, e concerne dati personali di tipo obiettivo, strettamente
pertinenti e non eccedenti rispetto alle finalita' perseguite,
relativi ad una richiesta/rapporto di credito, e concernenti anche
ogni vicenda intervenuta a qualsiasi titolo o causa fino alla
regolarizzazione degli inadempimenti, nel rispetto dei tempi di
conservazione stabiliti dall'art. 6.
3. Per ogni richiesta/rapporto di credito segnalato ad un sistema
di informazioni creditizie possono essere trattate le seguenti
categorie di dati, che il gestore indica in un elenco reso
agevolmente disponibile su un proprio sito della rete di
comunicazione, nonche' comunica analiticamente agli interessati su
loro richiesta:
a) dati anagrafici, codice fiscale o partita IVA;
b) dati relativi alla richiesta/rapporto di credito,
descrittivi, in particolare, della tipologia di contratto,
dell'importo del credito, delle modalita' di rimborso e dello stato
della richiesta o dell'esecuzione del contratto;
c) dati di tipo contabile relativi ai pagamenti, al loro
andamento periodico, all'esposizione debitoria anche residua e alla
sintesi dello stato contabile del rapporto;
d) dati relativi ad attivita' di recupero del credito o
contenziose, alla cessione del credito o a eccezionali vicende che
incidono sulla situazione soggettiva o patrimoniale di imprese,
persone giuridiche o altri enti.
4. Le codifiche ed i criteri eventualmente utilizzati per
registrare dati in un sistema di informazioni creditizie e per
facilitarne il trattamento sono diretti esclusivamente a fornire una
rappresentazione oggettiva e corretta degli stessi dati, nonche'
delle vicende del rapporto di credito segnalato. L'utilizzo di tali
codifiche e criteri e' accompagnato da precise indicazioni circa il
loro significato, fornite dal gestore, osservate dai partecipanti e
rese agevolmente disponibili da entrambi, anche a richiesta degli
interessati.
5. Nel sistema di informazioni creditizie sono registrati gli
estremi identificativi del partecipante che ha comunicato i dati
personali relativi alla richiesta/rapporto di credito. Tali estremi
sono accessibili al gestore o agli interessati e non anche
intermediari partecipanti.

Art. 4.

Modalita' di raccolta e registrazione dei dati

1. Salvo quanto previsto dal comma 5, il gestore acquisisce
esclusivamente dai partecipanti i dati personali da registrare nel
sistema di informazioni creditizie.
2. Il partecipante adotta idonee procedure di verifica per
garantire la lecita utilizzabilita' nel sistema, la correttezza e
l'esattezza dei dati comunicati al gestore.
3. All'atto del ricevimento dei dati, il gestore verifica la loro
congruita' attraverso controlli di carattere formale e logico e, se i
dati risultano incompleti od incongrui, li ritrasmette al
partecipante che li ha comunicati, ai fini delle necessarie
integrazioni e correzioni. All'esito dei controlli e delle eventuali
integrazioni e correzioni, i dati sono registrati nel sistema di
informazioni creditizie e resi disponibili a tutti i partecipanti.
4. Il partecipante verifica con cura i dati da esso trattati e
risponde tempestivamente alle richieste di verifica del gestore,
anche a seguito dell'esercizio di un diritto da parte
dell'interessato.
5. Eventuali operazioni di eliminazione, integrazione o
modificazione dei dati registrati in un sistema di informazioni
creditizie sono disposte direttamente dal partecipante che li ha
comunicati, ove tecnicamente possibile, ovvero dal gestore su
richiesta del medesimo partecipante o d'intesa con esso, anche a
seguito dell'esercizio di un diritto da parte dell'interessato,
oppure in attuazione di un provvedimento dell'autorita' giudiziaria o
del Garante.
6. I dati relativi al primo ritardo nei pagamenti in un rapporto
di credito sono utilizzati e resi accessibili agli altri partecipanti
nel rispetto dei seguenti termini:
a) nei sistemi di informazioni creditizie di tipo negativo,
dopo almeno centoventi giorni dalla data di scadenza del pagamento o
in caso di mancato pagamento di almeno quattro rate mensili non
regolarizzate;
b) nei sistemi di informazioni creditizie di tipo positivo e
negativo:
1) qualora l'interessato sia un consumatore, decorsi sessanta
giorni dall'aggiornamento mensile di cui al successivo comma 8,
oppure in caso di mancato pagamento di almeno due rate mensili
consecutive, oppure quando il ritardo si riferisce ad una delle due
ultime scadenze di pagamento. Nel secondo caso i dati sono resi
accessibili dopo l'aggiornamento mensile relativo alla seconda rata
consecutivamente non pagata;
2) negli altri casi, dopo almeno trenta giorni
dall'aggiornamento mensile di cui al successivo comma 8 o in caso di
mancato pagamento di una rata.
7. Al verificarsi di ritardi nei pagamenti, il partecipante,
anche unitamente all'invio di solleciti o di altre comunicazioni,
avverte l'interessato circa l'imminente registrazione dei dati in uno
o piu' sistemi di informazioni creditizie. I dati relativi al primo
ritardo di cui al comma 6 possono essere resi accessibili ai
partecipanti solo decorsi almeno quindici giorni dalla spedizione del
preavviso all'interessato.
8. Fermo restando quanto previsto dal comma 6, i dati registrati
in un sistema di informazioni creditizie sono aggiornati
periodicamente, con cadenza mensile, a cura del partecipante che li
ha comunicati.

Art. 5.

Informativa

1. Al momento della raccolta dei dati personali relativi a
richieste/rapporti di credito, il partecipante informa l'interessato
ai sensi dell'art. 13 del Codice anche con riguardo al trattamento
dei dati personali effettuato nell'ambito di un sistema di
informazioni creditizie.
2. L'informativa di cui al comma 1 reca in modo chiaro e preciso,
nell'ambito della descrizione delle finalita' e delle modalita' del
trattamento, nonche' degli altri elementi di cui all'art. 13 del
Codice, le seguenti indicazioni:
a) estremi identificativi dei sistemi di informazioni
creditizie cui sono comunicati i dati personali e dei rispettivi
gestori;
b) categorie di partecipanti che vi accedono;
c) tempi di conservazione dei dati nei sistemi di informazioni
creditizie cui sono comunicati;
d) modalita' di organizzazione, raffronto ed elaborazione dei
dati, nonche' eventuale uso di tecniche o sistemi automatizzati di
credit scoring;
e) modalita' per l'esercizio da parte degli interessati dei
diritti previsti dall'art. 7 del Codice.
3. L'informativa di cui al comma 2 e' fornita agli interessati
per iscritto secondo il modello allegato alla deliberazione che
verifica la conformita' del presente codice e, se inserita in un
modulo utilizzato dal partecipante, e' adeguatamente evidenziata e
collocata in modo autonomo ed unitario, in parti o riquadri distinti
da quelli relativi ad eventuali altre finalita' del trattamento
effettuato dal medesimo partecipante.
4. L'informativa dovuta per effetto di eventuali aggiornamenti o
modifiche relativi alle indicazioni rese ai sensi del comma 2, anche
in caso di cambiamento della denominazione e della sede del gestore,
e' fornita attraverso comunicazioni periodiche, nonche' su uno o piu'
siti Internet e a richiesta degli interessati.
5. Ad integrazione dell'informativa resa dai partecipanti
singolarmente ad ogni interessato, il gestore fornisce un'informativa
piu' dettagliata attraverso modalita' ulteriori di diffusione delle
informazioni al pubblico, anche mediante strumenti telematici.
6. Quando la richiesta di credito non e' accolta, il partecipante
comunica all'interessato se, per istruire la richiesta di credito, ha
consultato dati personali relativi ad informazioni creditizie di tipo
negativo in uno o piu' sistemi, indicandogli gli estremi
identificativi del sistema da cui sono state rilevate tali
informazioni e del relativo gestore.
7. Il partecipante fornisce all'interessato le altre notizie di
cui agli articoli 9, comma 1, lettera d), e 10, comma 1, lettera c).

Art. 6.

Conservazione e aggiornamento dei dati

1. I dati personali riferiti a richieste di credito, comunicati
dai partecipanti, possono essere conservati in un sistema di
informazioni creditizie per il tempo necessario alla relativa
istruttoria e comunque non oltre centottanta giorni dalla data di
presentazione delle richieste medesime. Se la richiesta di credito
non e' accolta o e' oggetto di rinuncia il partecipante ne da'
notizia al gestore con l'aggiornamento mensile di cui all'art. 4,
comma 8. In tal caso, i dati personali relativi alla richiesta cui
l'interessato ha rinunciato o che non e' stata accolta possono essere
conservati nel sistema non oltre trenta giorni dalla data del loro
aggiornamento.
2. Le informazioni creditizie di tipo negativo relative a ritardi
nei pagamenti, successivamente regolarizzati, possono essere
conservate in un sistema di informazioni creditizie fino a:
a) dodici mesi dalla data di registrazione dei dati relativi
alla regolarizzazione di ritardi non superiori a due rate o mesi;
b) ventiquattro mesi dalla data di registrazione dei dati
relativi alla regolarizzazione di ritardi superiori a due rate o
mesi.
3. Decorsi i periodi di cui al comma 2, i dati sono eliminati dal
sistema di informazioni creditizie se nel corso dei medesimi
intervalli di tempo non sono registrati dati relativi ad ulteriori
ritardi o inadempimenti.
4. Il partecipante ed il gestore aggiornano senza ritardo i dati
relativi alla regolarizzazione di inadempimenti di cui abbiano
conoscenza, avvenuta dopo la cessione del credito da parte del
partecipante ad un soggetto che non partecipa al sistema, anche a
seguito di richiesta dell'interessato munita di dichiarazione del
soggetto cessionario del credito o di altra idonea documentazione.
5. Le informazioni creditizie di tipo negativo relative a
inadempimenti non successivamente regolarizzati possono essere
conservate nel sistema di informazioni creditizie non oltre trentasei
mesi dalla data di scadenza contrattuale del rapporto oppure, in caso
di altre vicende rilevanti in relazione al pagamento, dalla data in
cui e' risultato necessario il loro ultimo aggiornamento, o comunque
dalla data di cessazione del rapporto.
6. Le informazioni creditizie di tipo positivo relative ad un
rapporto che si e' esaurito con estinzione di ogni obbligazione
pecuniaria, possono essere conservate nel sistema non oltre
ventiquattro mesi dalla data di cessazione del rapporto o di scadenza
del relativo contratto, ovvero dal primo aggiornamento effettuato nel
mese successivo a tali date. Tenendo conto del requisito della
completezza dei dati in rapporto alle finalita' perseguite (art. 11,
comma 1, lettera d) del Codice), le predette informazioni di tipo
positivo possono essere conservate ulteriormente nel sistema qualora
in quest'ultimo risultino presenti, in relazione ad altri rapporti di
credito riferiti al medesimo interessato, informazioni creditizie di
tipo negativo concernenti ritardi od inadempimenti non regolarizzati.
In tal caso, le informazioni creditizie di tipo positivo sono
eliminate dal sistema allo scadere del termine previsto dal comma 5
per la conservazione delle informazioni di tipo negativo registrate
nel sistema in riferimento agli altri rapporti di credito con
l'interessato.
7. Qualora il consumatore interessato comunichi al partecipante
la revoca del consenso al trattamento delle informazioni di tipo
positivo, nell'ambito del sistema di informazioni creditizie, il
partecipante ne da' notizia al gestore con l'aggiornamento mensile di
cui all'art. 4, comma 8. In tal caso, e in quello in cui la revoca
gli sia stata comunicata direttamente dall'interessato, il gestore
registra la notizia nel sistema ed elimina le informazioni non oltre
novanta giorni dall'aggiornamento o dalla comunicazione.
8. Prima dell'eliminazione dei dati dal sistema di informazioni
creditizie nei termini indicati ai precedenti commi, il gestore puo'
trasporre i dati su altro supporto, ai fini della limitata
conservazione per il tempo necessario, esclusivamente in relazione ad
esigenze di difesa di un proprio diritto in sede giudiziaria, nonche'
della loro eventuale elaborazione statistica in forma anonima.
9. Le disposizioni del presente art. non riguardano la
conservazione ad uso interno, da parte del partecipante, della
documentazione contrattuale o contabile contenente i dati personali
relativi alla richiesta/rapporto di credito.

Art. 7.

Utilizzazione dei dati

1. Il partecipante puo' accedere al sistema di informazioni
creditizie anche mediante consultazione di copia della relativa banca
dati, rispetto a dati per i quali sussiste un suo giustificato
interesse, riguardanti esclusivamente:
a) consumatori che chiedono di instaurare o sono parte di un
rapporto di credito con il medesimo partecipante e soggetti
coobbligati, anche in solido;
b) soggetti che agiscono nell'ambito della loro attivita'
imprenditoriale o professionale per i quali sia stata avviata
un'istruttoria per l'instaurazione di un rapporto di credito o
comunque per l'assunzione di un rischio di credito, oppure che siano
gia' parte di un rapporto di credito con il medesimo partecipante;
c) soggetti aventi un collegamento di tipo giuridico con quelli
di cui alla lettera b), in particolare in quanto obbligati in solido
o appartenenti a gruppi di imprese, sempre che i dati personali cui
il partecipante intende accedere risultino oggettivamente necessari
per valutare la situazione finanziaria e il merito creditizio dei
soggetti di cui alla stessa lettera b).
2. Il sistema di informazioni creditizie e' accessibile dal
partecipante e dal gestore solo da un numero limitato, rispetto
all'intera organizzazione del titolare, di responsabili ed incaricati
del trattamento designati per iscritto, con esclusivo riferimento ai
dati strettamente necessari, pertinenti e non eccedenti in rapporto
alle finalita' indicate nell'art. 2, in relazione alle specifiche
esigenze derivanti dall'istruttoria di una richiesta di credito o
dalla gestione di un rapporto, concretamente verificabili sulla base
degli elementi in possesso dei partecipanti medesimi. Nei soli limiti
e con le medesime modalita' appena indicate, il sistema e'
accessibile anche da banche ed intermediari finanziari appartenenti
al gruppo bancario del partecipante all'esclusivo fine di curare
l'istruttoria per l'instaurazione del rapporto di credito con
l'interessato o comunque per l'assunzione del relativo rischio.
3. I partecipanti accedono al sistema di informazioni creditizie
attraverso le modalita' e gli strumenti anche telematici individuati
per iscritto con il gestore, nel rispetto della normativa sulla
protezione dei dati personali. I dati personali relativi a
richieste/rapporti di credito registrati in un sistema di
informazioni creditizie sono consultabili con modalita' di accesso
graduale e selettivo, attraverso uno o piu' livelli di consultazione
di informazioni sintetiche o riepilogative dei dati riferiti
all'interessato, prima della loro visione in dettaglio e con
riferimento anche ad eventuali dati riferiti a soggetti coobbligati o
collegati ai sensi del comma 1. Sono, in ogni caso, precluse, anche
tecnicamente, modalita' di accesso che permettano interrogazioni di
massa o acquisizioni di elenchi di dati concernenti
richieste/rapporti di credito relativi a soggetti diversi da quelli
che hanno chiesto di instaurare o sono parte di un rapporto di
credito con il partecipante.
4. Non e' inoltre consentito l'accesso ad un sistema di
informazioni creditizie da parte di terzi, fatte salve le richieste
da parte di organi giudiziari e di polizia giudiziaria per ragioni di
giustizia, oppure da parte di altre istituzioni, autorita',
amministrazioni o enti pubblici nei soli casi previsti da leggi,
regolamenti o normative comunitarie e con l'osservanza delle norme
che regolano la materia.

Art. 8.

Accesso ed esercizio di altri diritti degli interessati

1. In relazione ai dati personali registrati in un sistema di
informazioni creditizie, gli interessati possono esercitare i propri
diritti secondo le modalita' stabilite dal Codice, sia presso il
gestore, sia presso i partecipanti che li hanno comunicati. Tali
soggetti garantiscono, anche attraverso idonee misure organizzative e
tecniche, un riscontro tempestivo e completo alle richieste avanzate.
2. Nella richiesta con la quale esercita i propri diritti,
l'interessato indica anche, ove possibile, il codice fiscale e/o la
partita IVA, al fine di agevolare la ricerca dei dati che lo
riguardano nel sistema di informazioni creditizie.
3. Il terzo al quale l'interessato conferisce, per iscritto,
delega o procura per l'esercizio dei propri diritti, puo' trattare i
dati personali acquisiti presso un sistema di informazioni creditizie
esclusivamente per finalita' di tutela dei diritti dell'interessato,
con esclusione di ogni altro scopo perseguito dal terzo medesimo o da
soggetti ad esso collegati.
4. Il partecipante, al quale e' rivolta una richiesta con cui e'
esercitato taluno dei diritti di cui all'art. 7 del Codice
relativamente alle informazioni creditizie registrate in un sistema,
fornisce direttamente riscontro nei termini previsti dall'art. 146,
commi 2 e 3 del Codice e dispone le eventuali modifiche ai dati ai
sensi dell'art. 4, comma 5. Se la richiesta e' rivolta al gestore,
quest'ultimo provvede anch'esso direttamente nei medesimi termini,
consultando ove necessario il partecipante.
5. Qualora sia necessario svolgere ulteriori o particolari
verifiche con il partecipante, il gestore informa l'interessato di
tale circostanza entro il termine di quindici giorni previsto dal
codice ed indica un altro termine per la risposta, che non puo'
essere superiore ad ulteriori quindici giorni. Durante il periodo
necessario ad effettuare le ulteriori verifiche con il partecipante,
il gestore:
a) nell'arco dei primi quindici giorni, mantiene nel sistema di
informazioni creditizie l'indicazione relativa allo svolgimento delle
verifiche, tramite specifica codifica o apposito messaggio da apporre
in corrispondenza dei dati oggetto delle richieste dell'interessato;
b) negli ulteriori quindici giorni, sospende la visualizzazione
nel sistema di informazioni creditizie dei dati oggetto delle
verifiche.
6. In caso di richieste di cui al comma 4 riguardanti effettive
contestazioni relative ad inadempimenti del venditore/fornitore dei
beni o servizi oggetto del contratto sottostante al rapporto di
credito, il gestore annota senza ritardo nel sistema di informazioni
creditizie, su richiesta dell'interessato, del partecipante o
informando quest'ultimo, la notizia relativa all'esistenza di tali
contestazioni, tramite l'inserimento di una specifica codifica da
apporre in corrispondenza dei dati relativi al rapporto di credito.

Art. 9.

Uso di tecniche o sistemi automatizzati di credit scoring

1. Nei casi in cui i dati personali contenuti in un sistema di
informazioni creditizie siano trattati anche mediante l'impiego di
tecniche o sistemi automatizzati di credit scoring, il gestore e i
partecipanti assicurano il rispetto dei seguenti principi:
a) le tecniche o i sistemi, messi a disposizione dal gestore o
impiegati per conto dei partecipanti, possono essere utilizzati solo
per l'istruttoria di una richiesta di credito o per la gestione dei
rapporti di credito instaurati;
b) i dati relativi a giudizi, indicatori o punteggi associati
ad un interessato sono elaborati e comunicati dal gestore al solo
partecipante che ha ricevuto la richiesta di credito dall'interessato
o che ha precedentemente comunicato dati riguardanti il relativo
rapporto di credito e, comunque, non sono conservati nel sistema di
informazioni creditizie ai sensi dell'art. 6 del presente codice, ne'
resi accessibili agli altri partecipanti;
c) i modelli o i fattori di analisi statistica, nonche' gli
algoritmi di calcolo dei giudizi, indicatori o punteggi sono
verificati periodicamente con cadenza almeno annuale ed aggiornati in
funzione delle risultanze di tali verifiche;
d) quando la richiesta di credito non e' accolta, il
partecipante comunica all'interessato se, per istruire la richiesta
di credito, ha consultato dati relativi a giudizi, indicatori o
punteggi di tipo negativo ottenuti mediante l'uso di tecniche o
sistemi automatizzati di credit scoring e, su sua richiesta, gli
fornisce tali dati, nonche' una spiegazione delle logiche di
funzionamento dei sistemi utilizzati e delle principali tipologie di
fattori tenuti in considerazione nell'elaborazione.

Art. 10.

Trattamento di dati provenienti da fonti pubbliche

1. Nei casi in cui il gestore di un sistema di informazioni
creditizie, direttamente o per il tramite di societa' collegate o
controllate, effettua in ogni forma di dati personali provenienti da
pubblici registri, elenchi, atti o documenti conoscibili da chiunque
o comunque fornisce ai partecipanti servizi per accedere ai dati
provenienti da tali fonti, fermi restando i limiti e le modalita' che
le leggi stabiliscono per la loro conoscibilita' e pubblicita',
nonche' le disposizioni di cui all'art. 61, comma 1, del Codice, il
gestore e i partecipanti assicurano il rispetto dei seguenti
principi:
a) i dati personali provenienti da pubblici registri, elenchi,
atti o documenti conoscibili da chiunque, se registrati, devono
figurare in banche di dati personali separate dal sistema di
informazioni creditizie e non interconnesse a tale sistema;
b) nel caso di accesso del partecipante a dati personali
contenuti sia in un sistema di informazioni creditizie, sia in una
delle banche di dati di cui alla lettera a), il gestore adotta le
adeguate misure tecniche ed organizzative al fine di assicurare la
separazione e la distinguibilita' dei dati provenienti dal sistema di
informazioni creditizie rispetto a quelli provenienti da altre banche
dati, anche attraverso l'inserimento di idonee indicazioni,
eliminando ogni possibilita' di equivoco circa la diversa natura ed
origine dei dati oggetto dell'accesso;
c) quando la richiesta di credito non e' accolta, il
partecipante comunica all'interessato se, per istruire la richiesta
di credito, ha consultato anche dati personali di tipo negativo nelle
banche di dati di cui alla lettera a) e, su sua richiesta, specifica
la fonte pubblica da cui provengono i dati medesimi.

Art. 11.

Misure di sicurezza dei dati

1. I dati personali oggetto di trattamento nell'ambito di un
sistema di informazioni creditizie hanno carattere riservato e non
possono essere divulgati a terzi, al di fuori dei casi previsti dal
Codice e nei precedenti articoli.
2. Le persone fisiche che, in qualita' di responsabili o di
incaricati del trattamento designati dal gestore o dai partecipanti,
hanno accesso al sistema di informazioni creditizie, mantengono il
segreto sui dati personali acquisiti e rispondono della violazione
degli obblighi di riservatezza derivanti da un'utilizzazione dei dati
o una divulgazione a terzi per finalita' diverse o incompatibili con
le finalita' di cui all'art. 2 del presente codice o comunque non
consentite.
3. Il gestore e i partecipanti adottano le misure tecniche,
logiche, informatiche, procedurali, fisiche ed organizzative idonee
ad assicurare la sicurezza, l'integrita' e la riservatezza dei dati
personali e delle comunicazioni elettroniche in conformita' alla
disciplina in materia di protezione dei dati personali.
4. Il gestore adotta adeguate misure di sicurezza al fine di
garantire il corretto e regolare funzionamento del sistema di
informazioni creditizie, nonche' il controllo degli accessi. Questi
ultimi sono registrati e memorizzati nel sistema informativo del
gestore medesimo o di ogni partecipante presso cui risieda copia
della stessa banca dati.
5. In relazione al rispetto degli obblighi di sicurezza,
riservatezza e segretezza di cui al presente articolo, il gestore e i
partecipanti impartiscono specifiche istruzioni per iscritto ai
rispettivi responsabili ed incaricati del trattamento e vigilano
sulla loro puntuale osservanza, anche attraverso verifiche da parte
di idonei organismi di controllo.

Art. 12.

Misure sanzionatorie

1. Ferme restando le sanzioni amministrative, civili e penali
previste dalla normativa vigente, i gestori e i partecipanti
prevedono d'intesa tra di loro, anche per il tramite delle
associazioni che sottoscrivono il presente codice, idonei meccanismi
per l'applicazione, in particolare da parte delle associazioni di
categoria che sottoscrivono il presente codice o dell'organismo di
cui all'art. 13, comma 7, previa informativa al Garante, di misure
sanzionatorie graduate a seconda della gravita' della violazione. Le
misure comprendono il richiamo formale, la sospensione o la revoca
dell'autorizzazione ad accedere al sistema di informazioni creditizie
e, nei casi piu' gravi, anche la pubblicazione della notizia della
violazione su uno o piu' quotidiani o periodici nazionali, a spese
del contravventore.

Art. 13.

Disposizioni transitorie e finali

1. Le misure necessarie per l'applicazione del presente codice di
deontologia e di buona condotta sono adottate dai soggetti tenuti a
rispettarlo al piu' tardi entro il 30 aprile 2005.
2. Entro il termine di cui al comma 1, il gestore del sistema
centralizzato di rilevazione dei rischi di importo contenuto,
istituito con deliberazione Cicr del 3 maggio 1999 (pubblicata nella
Gazzetta Ufficiale 8 luglio 1999, n. 158), nonche' i relativi
partecipanti, adottano le misure necessarie per l'applicazione degli
articoli 5 e 8, commi 1, 2, 3, 4 e 5, primo periodo, del presente
codice in tema di informativa agli interessati e di esercizio dei
diritti, ad integrazione di quanto previsto nel punto 3 delle
istruzioni della Banca d'Italia (pubblicate nella Gazzetta Ufficiale
21 novembre 2000, n. 272).
3. I partecipanti forniscono entro i tre mesi successivi al
termine di cui al comma 1, nell'ambito delle comunicazioni periodiche
inviate alla clientela, le informazioni di cui all'art. 5, commi 1 e
2, del presente codice eventualmente non comprese nelle informative
precedentemente rese agli interessati i cui dati personali risultino
gia' registrati in un sistema di informazioni creditizie.
4. In sede di prima applicazione delle disposizioni di cui
all'art. 6, comma 6, i gestori riducono entro il 30 giugno 2005, ad
un termine non superiore a trentasei mesi, i tempi di conservazione
dei dati personali relativi ad informazioni creditizie di tipo
positivo. Entro il 31 dicembre 2005 l'organismo di cui al comma 7
valuta, con atto motivato, se l'esperienza maturata e l'incidenza
delle misure previste dal presente codice sui diritti degli
interessati, tenuto anche conto dell'efficienza dei sistemi di
informazioni creditizie, giustifichino il mantenimento del predetto
termine di trentasei mesi. Il medesimo termine si intende mantenuto
qualora il Garante, su richiesta del predetto organismo o di propria
iniziativa, non disponga diversamente. Entro il 31 gennaio 2006 il
Garante dispone la pubblicazione sulla Gazzetta Ufficiale del proprio
provvedimento o di un avviso indicante il termine da osservare.
5. Al fine di consentire il controllo sulla corretta attuazione
delle disposizioni del presente codice, ogni gestore comunica al
Garante, non oltre due mesi dal termine di cui al comma 1 e secondo
le modalita' indicate da quest'ultimo:
a) oltre ai propri estremi identificativi e recapiti, una
descrizione generale delle modalita' di funzionamento del sistema di
informazioni creditizie e di accesso da parte dei partecipanti, che
permetta di valutare l'adeguatezza delle misure, anche tecniche ed
organizzative, adottate per l'applicazione del presente codice;
b) in relazione alle parti aventi riflessi in materia di
protezione dei dati personali e di applicazione del presente codice,
i modelli di contratti, accordi, convenzioni, regolamenti o
istruzioni che disciplinano le modalita' di partecipazione ed accesso
dei partecipanti al sistema di informazioni creditizie, nonche' la
documentazione circa le misure adottate in tema di sicurezza,
riservatezza e segretezza dei dati;
c) i documenti di cui agli articoli 3, commi 3 e 4, 5, commi 4
e 5, e di cui al successivo comma 7.
6. Le comunicazioni di cui al comma 5 sono inviate al Garante,
anche successivamente al predetto termine, da qualsiasi titolare che,
in qualita' di gestore di un sistema di informazioni creditizie,
intenda procedere ad un trattamento di dati personali soggetto
all'ambito di applicazione del presente codice. I gestori trasmettono
al Garante eventuali variazioni delle comunicazioni e dei documenti
precedentemente inviati, non oltre la fine dell'anno in cui sono
avvenute le variazioni.
7. Il gestore effettua verifiche periodiche, con cadenza almeno
annuale, sulla liceita' e correttezza del trattamento, controllando
l'esattezza e completezza dei dati riferiti ad un congruo numero di
richieste/rapporti di credito, estratti a campione. Il controllo e'
eseguito da un organismo composto da almeno un rappresentante del
gestore, un rappresentante dei partecipanti designato a rotazione e
un rappresentante delle associazioni dei consumatori designato dal
Consiglio nazionale dei consumatori ed utenti. Il verbale dei
controlli e' trasmesso al Garante.
8. Allo scopo di vigilare sulla puntuale osservanza delle
disposizioni contenute nel presente codice e fermi restando i poteri
previsti dal Codice in materia di accertamenti e controlli, il
Garante puo' concordare con il gestore l'esecuzione di altre
verifiche periodiche presso i luoghi ove si svolge il trattamento dei
dati personali, con eventuali accessi, anche a campione, al sistema
di informazioni creditizie. Il Garante puo' eseguire analoghi
controlli concordati sugli accessi effettuati da parte dei
partecipanti.
9. Le associazioni di categoria che sottoscrivono il presente
codice e i gestori avviano forme di collaborazione con le
associazioni dei consumatori e con il Garante, al fine di individuare
sia soluzioni operative per il rispetto del presente codice, sia
sistemi alternativi di risoluzione delle controversie derivanti
dall'applicazione del presente codice.
10. Il Garante, anche su richiesta delle associazioni di
categoria che sottoscrivono il presente codice, promuove il periodico
riesame e l'eventuale adeguamento alla luce del progresso
tecnologico, dell'esperienza acquisita nella sua applicazione o di
novita' normative.

Art. 14.

Entrata in vigore

1. Il presente codice si applica a decorrere dal 1° gennaio 2005.

CODICE DI DEONTOLOGIA E DI BUONA CONDOTTA PER I SISTEMI INFORMATIVI
GESTITI DA SOGGETTI PRIVATI IN TEMA DI CREDITI AL CONSUMO,
AFFIDABILITA' E PUNTUALITA' NEI PAGAMENTI (ART. 117 DEL DECRETO
LEGISLATIVO N. 196/2003)

Sottoscritto da:
AISReC - Associazione italiana delle societa' di referenza
creditizia;
ABI - Associazione bancaria italiana;
FEDERCASSE - Federazione italiana delle banche di credito
cooperativo;
ASSOFIN - Associazione italiana del credito al consumo e
immobiliare;
ASSILEA - Associazione italiana leasing;
CTC - Consorzio per la tutela del credito;
ADICONSUM - Associazione difesa consumatori e ambiente;
ADOC - Associazione per la difesa e l'orientamento dei
consumatori;
ADUSBEF - Associazione difesa utenti servizi bancari finanziari
assicurativi e postali;
CODACONS - Coordinamento delle associazioni per la difesa
dell'ambiente e la tutela dei diritti di utenti e di consumatori;
FEDERCONSUMATORI - Federazione nazionale consumatori e utenti.


Immagini


Il testo di questo provvedimento non riveste carattere di ufficialità e non è sostitutivo in alcun modo della pubblicazione ufficiale cartacea. La consultazione e' gratuita.
Fonte: Istituto poligrafico e Zecca dello Stato

Il Comune - Relazioni con il pubblico - Informagiovani - Dati statistici - Informacittà - Gazzette leggi e normative
Cultura e tempo libero - Economia e lavoro - Turismo - Portale delle associazioni - Istruzione e formazione - Trasporti e mobilità - Sanità, ambiente
Staff redazionale: staff@aesinet.it