I cattivi pagatori potranno redimersi in tempi più brevi. Questa una
delle novità del “codice di deontologia” proposto dal Garante per la Privacy per le centrali rischi privata

Autorità Garante per la protezione
dei dati personali

«Codice di deontologia e di buona
condotta per i sistemi informativi gestiti da soggetti privati in tema di
crediti al consumo, affidabilità e puntualità nei pagamenti»

Testo in consultazione pubblica (art.
12 D.Lgs 196/03) fino al 15 settembre 2004

Preambolo

I sotto indicati soggetti privati
sottoscrivono il presente codice di deontologia e di buona condotta sulla base
delle seguenti premesse:

1) il trattamento di dati personali
effettuato nell’ambito di sistemi informativi di cui sono titolari soggetti
privati, utilizzati a fini di credito al consumo o comunque
riguardanti l’affidabilità e la puntualità dei pagamenti, deve svolgersi nel
rispetto dei diritti, delle libertà fondamentali e della dignità delle persone
interessate, in particolare del diritto alla protezione dei dati personali, del
diritto alla riservatezza e del diritto all’identità personale;

2) con il presente codice sono
individuate adeguate garanzie e modalità di trattamento a tutela dei diritti
degli interessati da osservare nel perseguire le finalità di tutela del credito
e di contenimento dei relativi rischi, in modo da agevolare anche l’accesso al
credito al consumo e ridurre il rischio di eccessivo
indebitamento da parte degli interessati;

3) la sottoscrizione del presente
codice è promossa dal Garante per la protezione dei dati personali nell’ambito
delle associazioni rappresentative degli operatori del
settore, ai sensi degli articoli 12 e 117 del Dl 196/03, recante il “Codice in
materia di protezione dei dati personali”;

4) tutti coloro
che utilizzano dati personali per le finalità indicate devono osservare le
regole di comportamento stabilite dal presente codice come condizione
essenziale per la liceità e la correttezza del trattamento;.

5) gli operatori del settore devono
rispettare, altresì, le garanzie previste dal Codice in materia di protezione
dei dati personali, in particolare in tema di manifestazione del consenso e di altri presupposti di liceità;

6) il presente codice non riguarda
sistemi informativi di cui sono titolari soggetti pubblici e, in particolare,
il servizio di centralizzazione dei rischi gestito dalla Banca d’Italia
(articoli 13, 53, comma 1, lettera b), 60, comma 1, 64, 67, comma 1, lettera
b), 106,107,144 e 145 del Dl 385/93 ‑ Tu delle leggi in materia bancaria e
creditizia-; delibera Cicr del 29 marzo 1994;
provvedimento Banca d’Italia lo agosto 1995; circolare
Banca d’Italia il febbraio 1991, n. 139 e successivi aggiornamenti). Al sistema
centralizzato di rilevazione dei rischi di importo
contenuto istituito con deliberazione Cicr del 3
maggio 1999 (in Gu 8 luglio 1999, n. 158) si
applicano alcuni principi stabiliti dal presente codice in tema di informativa
agli interessati e di esercizio dei diritti, in quanto compatibili con la
specifica disciplina di riferimento (v., in particolare, le istruzioni della
Banca d’Italia in Gu 21 novembre 2000, n. 272).

Articolo 1

(Definizioni)

1. Ai fini del presente codice di
deontologia e di buona condotta, si applicano le definizioni elencate
nell’articolo 4 del D.Lgs 196/03,
recante il Codice in materia di protezione dei dati personali, di
seguito denominato “Codice”. Ai medesimi fini, si intende
inoltre per:

a) “richiesta/rapporto di credito”:
qualsiasi richiesta o rapporto riguardanti la concessione, nell’esercizio di
un’attività commerciale o professionale, di credito sotto forma di dilazione di
pagamento, di finanziamento o di altra analoga
facilitazione finanziaria;

b) “regolarizzazione di inadempimenti”: l’estinzione delle obbligazioni
pecuniarie inadempiute (derivanti sia da un mancato pagamento, sia da un
ritardo), senza perdite o residui anche a titolo di interessi e spese;

c) “sistema di informazioni
creditizie”: ogni banca di dati concernenti richieste/rapporti di credito, gestita
in modo centralizzato da una persona giuridica, un ente, un’associazione o un
altro organismo in ambito privato e consultabile solo dai soggetti che
comunicano le informazioni in essa contenute e che partecipano al relativo
sistema informativo. Il sistema può riguardare, in particolare:

1) informazioni creditizie di tipo
negativo, che riguardano soltanto rapporti di credito per i
quali si sono verificati inadempimenti;

2) informazioni creditizie di tipo positivo e negativo, che riguardano richieste o rapporti di
credito a prescindere dalla sussistenza di inadempimenti, i quali sono
registrati nel sistema al momento del loro verificarsi;

d) “gestore”: il soggetto privato
titolare del trattamento dei dati personali registrati nel sistema di informazioni creditizie, che gestisce tale sistema
stabilendone le modalità di funzionamento e di utilizzazione;

e) “partecipante”: il soggetto
privato titolare del trattamento dei dati personali raccolti in
relazione a richieste/rapporti di credito, che in virtù di contratto o
accordo con il gestore partecipa al relativo sistema di informazioni creditizie
e può utilizzare i dati presenti nel sistema, obbligandosi a comunicare al
gestore i predetti dati personali relativi a richieste/rapporti di credito in
modo sistematico, in un quadro di reciprocità nello scambio di dati con altri
partecipanti. Il partecipante può essere, in particolare: 1)
una banca; 2) un intermediario finanziario; 3) un altro soggetto privato che,
nell’esercizio di un’attività commerciale o professionale, concede una
dilazione di pagamento del corrispettivo per la fornitura di beni o servizi
(1);

f) “consumatore”: la persona fisica
che, in relazione ad una richiesta/rapporto di credito, agisce per scopi non
riferibili all’attività professionale eventualmente svolta;

g) “tempo di conservazione dei dati”:
il periodo nel quale i dati personali relativi a richieste/rapporti di credito
rimangono registrati in un sistema di informazioni
creditizie ed utilizzabili dai partecipanti per le finalità di cui al presente
codice;

h) “tecniche o sistemi automatizzati
di credit scoring”: le modalità di organizzazione,
aggregazione, raffronto od elaborazione di dati personali relativi a
richieste/rapporti di credito, consistenti nell’impiego di sistemi
automatizzati basati sull’applicazione di metodi o modelli statistici per
valutare il rischio creditizio, e i cui risultati sono espressi in forma di
giudizi sintetici, indicatori numerici o punteggi, associati all’interessato,
diretti a fornire una rappresentazione, in termini predittivi o probabilistici,
del suo profilo di rischio, affidabilità o solvibilità.

Articolo 2

(Finalità del trattamento)

1. Il trattamento dei dati personali
contenuti in un sistema di informazioni creditizie è
effettuato dal gestore e dai partecipanti esclusivamente per finalità correlate
alla tutela del credito e al contenimento dei relativi rischi e, in
particolare, ai fini della valutazione della situazione finanziaria e del
merito creditizio degli interessati, o comunque della verifica della loro
affidabilità, solvibilità e puntualità nei pagamenti.

2. Non può essere perseguito nessun
altro scopo, specie se relativo a compimento di ricerche di mercato e
promozione, pubblicità o vendita diretta di prodotti o servizi.

Articolo 3

(Requisiti e categorie dei dati)

1. Il trattamento effettuato
nell’ambito di un sistema di informazioni creditizie
riguarda solo dati riferiti al soggetto che chiede di instaurare o ha
instaurato un rapporto di credito con un partecipante e al soggetto
coobbligato, anche in solido.

2. Il trattamento non può riguardare
i dati sensibili e quelli giudiziari, ed è limitato a dati personali di tipo
obiettivo, strettamente pertinenti e non eccedenti rispetto alle finalità
perseguite, relativi ad una richiesta/rapporto di credito, e concernenti anche
ogni vicenda intervenuta a qualsiasi titolo o causa fino all’estinzione delle
obbligazioni pecuniarie, nel rispetto dei tempi di conservazione stabiliti
dall’articolo 6.

3. Per ogni richiesta/rapporto di
credito segnalato ad un sistema di informazioni
creditizie possono essere trattate le seguenti categorie di dati, che il
gestore indica in un elenco reso agevolmente disponibile su un proprio sito
della rete di comunicazione, nonché comunica analiticamente agli interessati su
loro richiesta:

a) dati anagrafici, codice fiscale o partita Iva;

b) dati relativi alla
richiesta/rapporto di credito, descrittivi, in particolare, della
tipologia di contratto, dell’importo del credito, delle modalità di rimborso e
dello stato della richiesta o dell’esecuzione del contratto;

c) dati di tipo contabile, relativi
ai pagamenti, al loro andamento periodico, all’esposizione debitoria
anche residuale e alla sintesi dello stato contabile del rapporto;

d) dati relativi ad attività di
recupero del credito o contenziose, alla cessione del credito o a eccezionali vicende che incidono sulla situazione
soggettiva o patrimoniale di imprese, persone giuridiche o altri enti.

4. Le codifiche ed i criteri
eventualmente utilizzati per registrare dati in un sistema di
informazioni creditizie e per facilitarne il trattamento sono diretti
esclusivamente a fornire una rappresentazione puntuale, oggettiva, univoca e
corretta degli stessi dati, nonché delle vicende del rapporto di credito
segnalato. L’utilizzo di tali codifiche e criteri è
accompagnato da precise indicazioni circa il loro significato, fornite dal
gestore, osservate dai partecipanti e rese agevolmente disponibili da entrambi,
anche a richiesta degli interessati.

5. Nel sistema di informazioni
creditizie sono registrati gli estremi identificativi del partecipante che ha
comunicato i dati personali relativi alla richiesta/rapporto di credito. Tali
estremi sono accessibili soltanto al gestore o agli interessati e non anche
agli altri partecipanti.

Articolo 4

(Modalità di raccolta e registrazione dei
dati)

1. Salvo quanto previsto dal comma 5,
il gestore acquisisce esclusivamente dai partecipanti i dati personali da
registrare nel sistema di informazioni creditizie.

2. Il partecipante adotta al proprio interno idonee procedure di verifica per
garantire la lecita utilizzabilità nel sistema, la correttezza e l’esattezza
dei dati comunicati al gestore.

3. Al ricevimento dei dati, il
gestore verifica la loro congruità attraverso controlli di carattere formale e
logico e, se i dati risultano incompleti od incongrui,
li ritrasmette al partecipante che li ha comunicati, ai fini delle necessarie
integrazioni e correzioni. All’esito dei controlli e delle eventuali
integrazioni e correzioni, i dati sono registrati nel sistema di informazioni creditizie e resi disponibili a tutti i
partecipanti.

4. Il partecipante verifica con cura
i dati da esso trattati e risponde tempestivamente
alle richieste di verifica del gestore, anche a seguito dell’esercizio di un
diritto da parte dell’interessato.

5. Eventuali operazioni di eliminazione, integrazione o modificazione dei dati
registrati in un sistema di informazioni creditizie sono disposte direttamente
dal partecipante che li ha comunicati, ove tecnicamente possibile, ovvero dal
gestore su richiesta del medesimo partecipante o d’intesa con esso, anche a
seguito dell’esercizio di un diritto da parte dell’interessato, oppure in
attuazione di un provvedimento dell’autorità giudiziaria o del Garante.

6. I dati relativi
al primo ritardo nei pagamenti in un rapporto di credito sono utilizzati
e resi accessibili agli altri partecipanti nel rispetto dei seguenti termini:

a) nei sistemi di informazioni
creditizie di tipo negativo, dopo almeno centoventi giorni dalla data di
scadenza del pagamento o in caso di mancato pagamento di almeno quattro rate
mensili;

b) nei sistemi di informazioni
creditizie di tipo positivo e negativo:

1) qualora l’interessato sia un
consumatore, dopo almeno sessanta giorni dall’aggiornamento mensile di cui al successivo comma 8 o in caso di mancato pagamento
di almeno tre (due) rate mensili, salvo che il ritardo si riferisca all’ultima
scadenza di pagamento o alle ultime tre (due) rate mensili;

2) negli altri
casi, dopo almeno trenta giorni dall’aggiornamento mensile di cui al successivo
comma 8.

7. Al verificarsi di ritardi nei
pagamenti, il partecipante, anche unitamente all’invio di solleciti o di altre comunicazioni, avverte l’interessato circa
l’imminente registrazione dei dati in uno o più sistemi di informazioni
creditizie. I dati relativi al primo ritardo di cui al
comma 6 possono essere resi accessibili ai partecipanti solo decorsi almeno
quindici giorni dalla spedizione del preavviso all’interessato.

8. Fermo restando quanto previsto dal
comma 6, i dati registrati in un sistema di informazioni
creditizie sono aggiornati periodicamente, con cadenza mensile, a cura del
partecipante che li ha comunicati.

Articolo 5

(Informativa)

1. Al momento della raccolta dei dati
personali relativi a richieste/rapporti di credito, il partecipante informa
l’interessato ai sensi dell’articolo 13 del Codice riguardo al trattamento dei dati personali effettuato nell’ambito di un sistema di
informazioni creditizie.

2. L’informativa di cui al comma i reca in modo chiaro e preciso, nell’ambito della descrizione
delle finalità e delle modalità del trattamento, nonché degli altri elementi di
cui all’articolo 13 del Codice, le seguenti indicazioni:

a) estremi identificativi dei sistemi
di informazioni creditizie cui sono comunicati i dati
personali e dei rispettivi gestori;

b) categorie di partecipanti che vi accedono;

c) tempi di conservazione dei dati
nei sistemi di informazioni creditizie cui sono
comunicati;

d) modalità di organizzazione,
raffronto ed elaborazione dei dati, nonché eventuale uso di tecniche o sistemi
automatizzati di credit scoring;

e) modalità per
l’esercizio da parte degli interessati dei diritti previsti dall’articolo 7 del
Codice.

3. L’informativa
di cui al comma 2 è fornita agli interessati per iscritto secondo il modello
allegato al presente codice e, se inserita in un modulo utilizzato dal
partecipante, è adeguatamente evidenziata e collocata in modo autonomo ed
unitario, in parti o riquadri distinti da quelli relativi ad eventuali altre
finalità del trattamento effettuato dal medesimo partecipante.

4. L’informativa relativa ad
eventuali aggiornamenti o modifiche delle indicazioni precedentemente
rese ai sensi del comma 2 (in caso, ad esempio, di cambiamento della
denominazione e dell’indirizzo del gestore) è fornita attraverso comunicazioni
periodiche, nonché su uno o più siti della rete di comunicazione e a richiesta
degli interessati.

5. Ad integrazione dell’informativa
resa dai partecipanti singolarmente ad ogni interessato, il gestore fornisce
un’informativa più dettagliata attraverso modalità ulteriori
di diffusione delle informazioni al pubblico, anche mediante strumenti telematici.

6. Quando la
richiesta di credito non è accolta, il partecipante comunica all’interessato se
ha consultato dati personali relativi ad informazioni creditizie di tipo
negativo in uno o più sistemi, indicandogli gli estremi identificativi del
sistema da cui sono state rilevate tali informazioni e del relativo gestore.

7. Il partecipante fornisce
all’interessato le altre notizie di cui agli articoli 9,
comma 1, lettera d) e 10, comma 1, lettera c).

Articolo 6

(Conservazione e aggiornamento dei dati)

1. I dati personali riferiti a
richieste di credito, comunicati dai partecipanti, possono essere conservati in
un sistema di informazioni creditizie per il tempo
necessario alla relativa istruttoria e comunque non oltre centottanta giorni
dalla data di presentazione delle medesime richieste. Se la richiesta di
credito non è accolta o è oggetto di rinuncia il partecipante ne dà notizia al gestore ai sensi dell’articolo 4, comma 8. In tal caso, i dati
personali relativi alla richiesta cui l’interessato ha rinunciato o che non è
stata accolta possono essere conservati nel sistema non oltre trenta giorni
dalla data del loro aggiornamento.

2. Le informazioni creditizie di tipo
negativo relative a ritardi nei pagamenti, successivamente
regolarizzati, possono essere conservate in un sistema di informazioni
creditizie fino a:

a) dodici mesi dalla data di
registrazione dei dati relativi alla regolarizzazione
di ritardi non superiori a due rate o mesi;

b) ventiquattro mesi dalla data di
registrazione dei dati relativi alla regolarizzazione
di ritardi superiori a due rate o mesi.

3. Decorsi i periodi di cui al comma
2, i dati sono eliminati dal sistema di informazioni
creditizie se nel corso dei medesimi intervalli di tempo non sono registrati
dati relativi ad ulteriori ritardi o inadempimenti.

4. Il partecipante ed il gestore
aggiornano senza ritardo i dati relativi alla
regolarizzazione di inadempimenti di cui abbiano conoscenza, avvenuta dopo la
cessione del credito da parte del partecipante ad un soggetto che non partecipa
al sistema, anche a seguito di richiesta dell’interessato munita di
attestazione del soggetto cessionario del credito o di altra idonea
documentazione.

5. Le informazioni creditizie di tipo
negativo relative a inadempimenti non regolarizzati
possono essere conservate nel sistema di informazioni creditizie non oltre
trentasei mesi dalla data di scadenza contrattuale del rapporto oppure, in caso
di successivi accordi ed altri eventi rilevanti in relazione al rimborso, (2)
dalla data in cui è risultato necessario il loro ultimo aggiornamento.

6. Le informazioni creditizie di tipo
positivo relative ad un rapporto che si è esaurito con
estinzione di ogni obbligazione pecuniaria, possono essere conservate nel
sistema non oltre ventiquattro (24) [trentasei (36)] (3) mesi dalla data di
cessazione del rapporto o di scadenza del relativo contratto, ovvero dal primo
aggiornamento effettuato nel mese successivo a tali date. Al fine di assicurare
il rispetto dei principi di completezza ed esattezza stabiliti dal Codice, le
predette informazioni di tipo positivo possono essere
conservate ulteriormente nel sistema qualora in quest’ultimo
risultino presenti, in relazione ad altri rapporti di credito riferiti al
medesimo interessato, informazioni creditizie di tipo negativo concernenti
ritardi od inadempimenti non regolarizzati. In tal caso, le informazioni
creditizie di tipo positivo sono eliminate dal sistema
allo scadere del termine previsto dal comma 5 per la conservazione delle
informazioni di tipo negativo registrate nel sistema in riferimento agli altri
rapporti di credito con l’interessato.

7. Qualora il consumatore interessato
comunichi al partecipante la revoca del consenso al trattamento delle
informazioni di tipo positivo, nell’ambito del sistema
di informazioni creditizie. il partecipante ne da
notizia al gestore ai sensi dell’articolo 4, comma 8. In tal caso, e in quello
in cui la revoca gli sia stata comunicata direttamente dall’interessato, il
gestore registra la notizia nel sistema ed elimina le informazioni non oltre
novanta giorni.

8. Prima dell’eliminazione dei dati
dal sistema di informazioni creditizie nei termini
indicati ai precedenti commi, il gestore può trasporre i dati su altro supporto
ai fini della loro limitata conservazione nel tempo per esclusive esigenze di
difesa di un proprio diritto in sede giudiziaria, nonché della loro eventuale
elaborazione statistica in forma anonima.

g. Le disposizioni del presente
articolo non riguardano la conservazione ad uso interno, da parte del
partecipante, della documentazione contrattuale o contabile contenente i dati
personali relativi alla richiesta/rapporto di credito.

Articolo 7

(Utilizzazione dei dati)

1. Il partecipante può accedere al sistema di informazioni creditizie anche
mediante consultazione di copia della relativa banca dati, rispetto a dati per
i quali sussiste un suo giustificato interesse, riguardanti esclusivamente:

a) consumatori che chiedono di
instaurare o sono parte di un rapporto di credito con il medesimo partecipante
e soggetti coobbligati, anche in solido;

b) soggetti che agiscono nell’ambito
della loro attività imprenditoriale o professionale per i
quali sia stata avviata un’istruttoria per l’instaurazione di un
rapporto di credito o comunque per l’assunzione di un rischio di credito,
oppure che siano già parte di un rapporto di credito con il medesimo
partecipante;

e) soggetti collegati sul piano
giuridico con quelli di cui alla lettera b), sempre che i dati personali cui il
partecipante intende accedere risultino oggettivamente necessari per valutare
la situazione finanziaria e il merito creditizio di questi ultimi.

2. Il gestore può comunicare al
partecipante periodicamente, anche in forma riepilogativa, i dati personali riguardanti le richieste/rapporti registrati nel sistema di
informazioni creditizie in riferimento a ciascun interessato per il quale il
medesimo partecipante ha comunicato precedentemente dati concernenti una
richiesta/rapporto di credito.

3. Il sistema di informazioni
creditizie è accessibile dal partecipante e dal gestore solo da un numero
limitato di responsabili ed incaricati del trattamento designati per iscritto,
con esclusivo riferimento ai dati strettamente necessari, pertinenti e non
eccedenti in rapporto alle finalità indicate nell’articolo 2, in relazione alle
specifiche esigenze derivanti dall’istruttoria di una richiesta di credito o
dalla gestione di un rapporto, concretamente verificabili sulla base degli
elementi in possesso dei partecipanti medesimi. Nei soli limiti e con le
medesime modalità appena indicate, il sistema è accessibile anche da banche ed
intermediari finanziari appartenenti al gruppo bancario del partecipante
all’esclusivo fine di curare l’istruttoria per l’instaurazione del rapporto di
credito tra l’interessato ed il medesimo partecipante o comunque
per l’assunzione del relativo rischio.

4. 1 partecipanti accedono
al sistema di informazioni creditizie attraverso le modalità e gli strumenti
anche telematici individuati per iscritto con il
gestore, nel rispetto della normativa sulla protezione dei dati personali. 1
dati personali relativi a richieste/rapporti di credito
registrati in un sistema di informazioni creditizie sono consultabili
con modalità di accesso graduale e selettivo, attraverso uno o più livelli di
consultazione di informazioni sintetiche o riepilogative dei dati riferiti
all’interessato, prima della loro visione in dettaglio e con riferimento anche
ad eventuali dati riferiti a soggetti coobbligati o collegati ai sensi del
comma i. Sono, in ogni caso, precluse, anche tecnicamente, modalità di accesso che permettano interrogazioni di massa o
acquisizioni di elenchi di dati concernenti richieste/rapporti di credito
relativi a soggetti diversi da quelli che hanno chiesto di instaurare o sono
parte di un rapporto di credito con il partecipante.

5. Non è inoltre consentito l’accesso
ad un sistema di informazioni creditizie da parte di
terzi, fatte salve le richieste da parte di organi giudiziari e di polizia
giudiziaria per ragioni di giustizia, oppure da parte di altre istituzioni,
autorità, amministrazioni o enti pubblici nei soli casi previsti da leggi,
regolamenti o normative comunitarie e con l’osservanza delle norme che regolano
la materia.

Articolo 8

(Accesso ed esercizio di altri diritti degli
interessati)

1. In relazione ai dati personali registrati in un
sistema di informazioni creditizie, gli interessati possono esercitare i propri
diritti secondo le modalità stabilite dal Codice, sia presso il gestore, sia
presso i partecipanti che li hanno comunicati. Tali soggetti garantiscono,
anche attraverso idonee misure organizzative e tecniche, un riscontro
tempestivo e completo alle richieste avanzate.

2. Nella richiesta con la quale
esercita i propri diritti, l’interessato indica anche, ove possibile, il codice
fiscale e/o la partita Iva, al fine di agevolare la ricerca dei dati che lo
riguardano nel sistema di informazioni creditizie.

3. Il terzo al quale l’interessato
conferisce, per iscritto, delega o procura per l’esercizio dei propri diritti,
può trattare i dati personali acquisiti presso un sistema di informazioni
creditizie esclusivamente per finalità di tutela dei diritti dell’interessato,
con esclusione di ogni altro scopo perseguito dal terzo medesimo o da soggetti
ad esso collegati.

4. Il partecipante, al quale è rivolta una richiesta con cui è esercitato taluno
dei diritti di cui all’articolo 7 del Codice relativamente alle informazioni
creditizie registrate in un sistema, fornisce direttamente riscontro nei
termini previsti dall’articolo 146, commi 2 e 3 del Codice e dispone le
eventuali modifiche ai dati ai sensi dell’articolo 4, comma 5. Se la richiesta è rivolta al gestore, quest’ultimo
provvede anch’esso direttamente nei medesimi termini, consultando ove
necessario il partecipante.

5. Qualora
sia necessario svolgere ulteriori o particolari verifiche con il partecipante,
il gestore informa l’interessato di tale circostanza entro il termine di quindici
giorni previsto dal Codice ed indica un altro termine per la risposta, che non
può essere superiore ad ulteriori quindici giorni. Durante il periodo
necessario ad effettuare le ulteriori verifiche con il
partecipante, il gestore:

a) nell’arco dei primi quindici
giorni, mantiene nel sistema di informazioni
creditizie l’indicazione relativa allo svolgimento delle verifiche, tramite
specifica codifica o apposito messaggio da apporre in corrispondenza dei dati
oggetto delle richieste dell’interessato;

b) negli ulteriori quindici giorni,
sospende la visualizzazione nel sistema di informazioni
creditizie dei dati oggetto delle verifiche.

6.
In
caso di richieste di cui al comma 4 riguardanti effettive contestazioni
relative ad inadempimenti del venditore/fornitore dei beni o servizi oggetto
del contratto sottostante al rapporto di credito, il gestore annota senza
ritardo nel sistema di informazioni creditizie, su
richiesta dell’interessato, del partecipante o informando quest’ultimo,
la notizia relativa all’esistenza di tali contestazioni, tramite l’inserimento
di una specifica codifica da apporre in corrispondenza dei dati relativi al
rapporto di credito.

Articolo 9

(Uso di tecniche o sistemi automatizzati
di credit scorino)

1. Nei casi in cui i dati personali contenuti
in un sistema di informazioni creditizie siano
trattati anche mediante l’impiego di tecniche o sistemi automatizzati di credit
scoring, il gestore e i partecipanti assicurano il
rispetto dei seguenti principi:

a) le tecniche o i sistemi, messi a
disposizione dal gestore o

impiegati per conto dei partecipanti, possono
essere utilizzati solo per l’istruttoria di una richiesta di credito o per la
gestione dei rapporti di credito instaurati;

b) i dati relativi
a giudizi, indicatori o punteggi associati ad un interessato sono
elaborati e comunicati dal gestore al solo partecipante che ha ricevuto la
richiesta di credito dall’interessato o che ha precedentemente comunicato dati
riguardanti il relativo rapporto di credito e, comunque, non sono conservati
nel sistema di informazioni creditizie ai sensi dell’articolo 6 del presente
codice, né resi accessibili agli altri partecipanti;

c) i modelli o i fattori di analisi statistica, nonché gli algoritmi di

calcolo dei giudizi, indicatori o punteggi
sono verificati periodicamente con cadenza almeno annuale ed aggiornati in
funzione delle risultanze di tali verifiche;

d) quando la richiesta di credito non
è accolta, il partecipante

comunica all’interessato se ha consultato
dati relativi a giudizi, indicatori o punteggi di tipo negativo ottenuti
mediante l’uso di tecniche o sistemi automatizzati di credit scoring e, su sua richiesta, gli fornisce tali dati, nonché
una spiegazione delle logiche di funzionamento dei sistemi utilizzati e delle
principali tipologie di fattori tenuti in considerazione nell’elaborazione.

Articolo 10

(Trattamento di dati provenienti da fonti
pubbliche)

1. Nei casi in cui il gestore di un
sistema di informazioni creditizie, direttamente o per
il tramite di società collegate o controllate, effettua in ogni forma il
trattamento di dati personali provenienti da pubblici registri, elenchi, atti o
documenti conoscibili da chiunque o comunque fornisce ai partecipanti servizi
per accedere ai dati provenienti da tali fonti, fermi restando i limiti e le
modalità che le leggi stabiliscono per la loro conoscibilità e pubblicità,
nonché le disposizioni di cui all’articolo 61, comma 1, del Codice, il gestore
e i partecipanti assicurano il rispetto dei seguenti principi:

a) i dati personali provenienti da
pubblici registri, elenchi, atti o

documenti conoscibili da chiunque, se
registrati, devono figurare in banche di dati personali separate dal sistema di
informazioni creditizie e non interconnesse a tale sistema;

b) nel caso di accesso
del partecipante a dati personali contenuti

sia in un sistema di informazioni
creditizie, sia in una delle banche di dati di cui alla lettera a), il gestore
adotta le adeguate misure tecniche ed organizzative al fine di assicurare la
separazione e la distinguibilità dei dati provenienti
dal sistema di informazioni creditizie rispetto a quelli provenienti da altre
banche dati, anche attraverso l’inserimento di idonee indicazioni, eliminando
ogni possibilità di equivoco circa la diversa natura ed origine dei dati
oggetto dell’accesso;

c) quando la richiesta di credito non
è accolta, il partecipante

comunica all’interessato se ha consultato
anche dati personali di tipo negativo nelle banche di dati di cui alla lettera
a) e, su sua richiesta, specifica la fonte pubblica da cui provengono i dati
medesimi.

Articolo 11

(Misure di sicurezza dei dati)

1. I dati personali
oggetto di trattamento nell’ambito di un sistema di informazioni
creditizie hanno carattere riservato e non possono essere divulgati a terzi, al
di fuori dei casi previsti dal Codice e nei precedenti articoli.

2. Le persone fisiche che, in qualità di responsabili o di incaricati del trattamento
designati dal gestore o dai partecipanti, hanno accesso al sistema di
informazioni creditizie, mantengono il segreto sui dati personali acquisiti e
rispondono della violazione degli obblighi di riservatezza derivanti da
un’utilizzazione dei dati o una divulgazione a terzi per finalità diverse o
incompatibili con le finalità di cui all’articolo 2 del presente codice o
comunque non consentite.

3. Il gestore e i partecipanti
adottano le misure tecniche, logiche, informatiche, procedurali, fisiche ed
organizzative idonee ad assicurare la sicurezza, l’integrità e la riservatezza
dei dati personali e delle comunicazioni elettroniche in conformità alla
disciplina in materia di protezione dei dati personali.

4. Il gestore adotta adeguate misure
di sicurezza al fine di garantire il corretto e regolare funzionamento del
sistema di informazioni creditizie, nonché il
controllo degli accessi. Questi ultimi sono registrati e memorizzati nel
sistema informativo del gestore medesimo o di ogni
partecipante presso cui risieda copia della stessa banca dati.

5. In relazione al rispetto degli obblighi di
sicurezza, riservatezza e segretezza di cui al presente articolo, il gestore e
i partecipanti impartiscono specifiche istruzioni per iscritto ai rispettivi
responsabili ed incaricati del trattamento e vigilano sulla loro puntuale
osservanza, anche attraverso verifiche da parte di idonei organismi di controllo.

Articolo 12

(Misure sanzionatorie)

1. Ferme restando le sanzioni
amministrative, civili e penali previste dalla normativa vigente, i gestori e i partecipanti prevedono d’intesa tra di loro, anche per il
tramite delle associazioni che sottoscrivono il presente codice, idonei
meccanismi per applicare misure sanzionatorie
graduate a seconda della gravità della violazione. [Le
misure comprendono il richiamo formale, la sospensione o la revoca
dell’autorizzazione ad accedere al sistema di informazioni creditizie e la
pubblicazione della notizia della violazione su uno o più quotidiani o
periodici nazionali, a spese del contravventore.](4)

Articolo 13

(Disposizioni transitorie e finali)

1. Le misure necessarie per
l’applicazione del presente codice di deontologia e di buona condotta sono
adottate dai soggetti tenuti a rispettarlo al più tardi entro il 31 marzo 2005.
1 partecipanti forniscono entro sei mesi, nell’ambito delle comunicazioni
periodiche inviate alla clientela, le informazioni di cui all’articolo 5, commi
i e 2, del presente codice eventualmente non comprese nelle informative precedentemente rese agli interessati i cui dati personali
risultino già registrati in un sistema di informazioni creditizie.

2. Entro il termine di cui al comma
1, il gestore del sistema centralizzato di rilevazione dei rischi di importo contenuto, istituito con deliberazione Cicr del 3 maggio 1999 (pubblicata in Gu
8 luglio 1999, n. 158), nonché i partecipanti che vi partecipano, adottano le
misure necessarie per l’applicazione degli articoli 5 e 8 del presente codice
in tema di informativa agli interessati e di esercizio dei diritti, ad
integrazione di quanto previsto nel punto 3 delle istruzioni della Banca
d’Italia (pubblicate in Gu 21 novembre 2000, n. 272).

3. Al fine di consentire il controllo
sulla corretta attuazione delle disposizioni del presente codice, ogni gestore
comunica al Garante, non oltre due mesi dal termine di cui al comma i e secondo
le modalità indicate da quest’ultimo:

a) oltre ai propri estremi identificativi
e recapiti, una descrizione

generale delle modalità di funzionamento del
sistema di informazioni creditizie e di accesso da parte dei partecipanti, che
permetta di valutare l’adeguatezza delle misure, anche tecniche ed
organizzative, adottate per l’applicazione del presente codice;

b) in relazione
alle sole parti aventi riflessi in materia di

protezione dei dati personali e relativamente
all’applicazione del presente codice, i modelli di contratti, accordi,
convenzioni, regolamenti o istruzioni che disciplinano le modalità di
partecipazione ed accesso dei partecipanti al sistema di informazioni
creditizie, nonché la documentazione circa le misure adottate in tema di
sicurezza, riservatezza e segretezza dei dati;

c) i documenti di cui agli articoli
3, commi 3 e 4, 10, commi 4 e 5,

e di cui al successivo comma 5.

4. Le comunicazioni di cui al comma 2
sono inviate, anche successivamente al predetto
termine, da qualsiasi titolare che, in qualità di gestore di un sistema di
informazioni creditizie, intenda procedere ad un trattamento di dati personali
soggetto all’ambito di applicazione del presente codice. I gestori trasmettono
al Garante eventuali variazioni delle comunicazioni e dei documenti precedentemente inviati, non oltre la fine dell’anno in cui
sono avvenute le variazioni.

5. Il gestore effettua
verifiche periodiche, con cadenza almeno annuale, sulla liceità e correttezza
del trattamento, controllando l’esattezza e completezza dei dati riferiti ad un
congruo numero di richieste/rapporti di credito, estratti a campione. Il
controllo è eseguito da un organismo composto da
almeno un rappresentante del gestore, un rappresentante dei partecipanti
designato a rotazione e un rappresentante delle associazioni dei consumatori
designato dal Consiglio nazionale dei consumatori ed utenti. Il verbale dei
controlli è trasmesso al Garante.

6. Allo scopo di vigilare sulla
puntuale osservanza delle disposizioni contenute nel presente codice e fermi
restando i poteri previsti dal Codice in materia di accertamenti
e controlli, il Garante può concordare previamente con il gestore l’esecuzione
di altre verifiche periodiche presso i luoghi ove si svolge il trattamento dei
dati personali, con eventuali accessi, anche a campione, al sistema di
informazioni creditizie. Il Garante può eseguire analoghi controlli concordati
sugli accessi effettuati da parte dei partecipanti.

7. Le associazioni
di categoria che sottoscrivono il presente codice e i gestori avviano forme di
collaborazione con le associazioni dei consumatori e con il Garante, al fine di
individuare sia soluzioni operative per il rispetto del presente codice, sia
sistemi alternativi di risoluzione delle controversie derivanti
dall’applicazione del presente codice.

8. Il Garante, anche su richiesta delle associazioni di categoria che
sottoscrivono il presente codice, promuove il periodico riesame e l’eventuale
adeguamento alla luce del progresso tecnologico, dell’esperienza acquisita
nella sua applicazione o di novità normative.

Articolo 14

(Entrata in vigore)

1. Il presente codice si applica a
decorrere dal 1° gennaio 2005.

Note

(1) Alle esistenti “centrali rischi”,
contrariamente a quanto verrebbe previsto per il futuro dalla presente versione
del Codice, partecipano attualmente anche gestori di telefonia mobile. Alcune
associazioni che partecipano ai lavori dei Codice
chiedono di inserire una disposizione che permetta a tali gestori di poter
continuare ad accedere ai sistemi di informazioni creditizie, con il consenso
degli interessati. Ciò, a loro avviso, dovrebbe avvenire in modo differenziato dagli altri partecipanti, permettendo ai
gestori di accedere non a tutti i dati in chiaro, ma solo ad un’informazione di
sintesi. Viene indicato come esempio ‑non
esclusivo‑ il caso della verifica dell’affidabilità di persone che, non
intendendo acquistare una carta pre-pagata, vogliano
effettuare il pagamento delle chiamate successivamente alla fornitura dei
servizi offerti in questo specifico settore (es.: roaming), diverso da quello della telefonia fissa e delle altre
forniture di beni e servizi (acqua, energia, ecc.).

(2) Alcune associazioni rappresentative
degli operatori del settore chiedono inoltre di inserire alla fine la seguente
frase: «Per scadenza contrattuale del rapporto si intende
la scadenza, originaria o prorogata, dell’ultima rata del piano di rimborso, quale
indicata in contratto o comunque desumibile secondo i parametri prefissati in
contratto».

(3) I termini tra parentesi sono
proposti solo dalle associazioni rappresentative degli operatori del settore.

(4) Alcune associazioni propongono di
eliminare l’ultima parte tra parentesi.