PRIVACY

Sistemi di informazione creditizia, il Gdpr “faro” del nuovo codice

Più tutele per i consumatori con le regole approvate Garante per la privacy, che si adeguano alle sfide della digital transformation. Via il consenso per il trattamento dati sulla base del legittimo interesse, più controllo su modelli di analisi e algoritmi. Comparazione fra vecchio e nuovo codice e analisi dello scenario

11 Ott 2019
Marco Cassaro

Senior Advisory Risk & Compliance presso BDO Italia S.p.A.


Come noto l’Autorità Garante per la Protezione dei dati personali ha approvato il 19 settembre 2019 le nuove regole per i sistemi di informazione creditizia (il SIC). Adeguandosi così alla normativa europea del GDPR e introducendo più tutele per i consumatori censiti nelle banche dati del credito, maggiore trasparenza sul funzionamento degli algoritmi che valutano il rischio, apertura alle nuove tecnologie.

Il precedente “Codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti” era stato approvato con Provvedimento del Garante n. 8 del 16 novembre 2004 e poi modificato tramite errata corrige pubblicata in Gazzetta Ufficiale il 9 marzo 2005.

Di seguito alcune riflessioni in merito a novità rilevanti e legittimo interesse.

Partecipante al Sic, si ridefinisce il concetto 

A mero titolo esemplificativo e volendo effettuare una prima opera di confronto strutturale tra vecchio e nuovo si riporta la composizione del Codice prima e dopo l’approvazione del 19 settembre 2019.

Codice nel Provvedimento del Garante n. 8 del 16 novembre 2004Codice nel Provvedimento del Garante n. 163 del 12 settembre 2019
Preambolo

Articolo 1 – Definizioni

Articolo 2 – Finalità del trattamento

Articolo 3 – Requisiti e categorie dei dati

Articolo 4 – Modalità di raccolta e registrazione dei dati

Articolo 5 – Informativa

Articolo 6- Conservazione e aggiornamento dei dati

Articolo 7 – Utilizzazione dei dati

Articolo 8 – Accesso ed esercizio di altri diritti degli interessati

Articolo 9 – Uso di tecniche o sistemi automatizzati di scoring

Articolo 10 – Trattamento di dati provenienti da fonti pubbliche

Articolo 11 – Misure di sicurezza dei dati

Articolo 12 – Misure sanzionatorie

Articolo 13 – Disposizioni transitorie e finali

Articolo 14 – Entrata in vigore

MODELLO UNICO DI INFORMATIVA

Articolo 1 – Ambito di applicazione

Articolo 2 – Definizioni

Articolo 3 – Finalità del trattamento

Articolo 4 – Requisiti e categorie dei dati

Articolo 5 – Modalità di raccolta e registrazione dei dati

Articolo 6 – Base giuridica e Informazione agli interessati

Articolo 7 – Tempi di conservazione dei dati

Articolo 8 – Utilizzazione dei dati

Articolo 9 – Accesso ed esercizio di altri diritti degli interessati

Articolo 10 – Trattamenti o processi decisionali automatizzati di scoring

Articolo 11 – Trattamento di dati provenienti da fonti pubbliche e/o da altre fonti

Articolo 12 – Misure di sicurezza dei dati

Articolo 13 – Notifica di una violazione dei dati personali

Articolo 14 – Trasferimento di dati personali verso paesi terzi o organizzazioni internazionali

Articolo 15 – Verifiche sul rispetto del Codice di condotta ed organismo di monitoraggio

Articolo 16 – Modalità di adesione al Codice di condotta

Articolo 17 – Revisione del Codice di condotta

Articolo 18 – Disposizioni transitorie e finali

Articolo 19 – Entrata in vigore

ALLEGATO 1 – PREAVVISO DI SEGNALAZIONE

ALLEGATO 2 – TEMPI DI CONSERVAZIONE

ALLEGATO 3 – MODELLO DI INFORMATIVA

ALLEGATO 4 – ORGANISMO DI MONITORAGGIO

Come appare evidente e come vedremo le modifiche e gli approfondimenti voluti dall’Autorità Garante non riguardano il mero aspetto strutturale (i.e. l’indice) del Codice ma intaccano anche la sostanza del Codice stesso introducendo e approfondendo in accordo con il Regolamento Ue 679/2016 cd. GDPR alcune novità normative di particolare rilevanza.

Volendo fornire alcuni spunti di riflessione ed operativi circa le rilevanti modifiche/introduzioni del nuovo Codice risulta fondamentale segnalare come primo fra tutti la modifica del concetto di partecipante.

Infatti, nel precedente provvedimento del 2004 rientravano all’interno della categoria tutti i soggetti privati titolari del trattamento dei dati personali raccolti in relazione a richieste/rapporti di credito, che in virtù di contratto o accordo con il gestore partecipassero al relativo sistema di informazioni creditizie e potessero utilizzare i dati presenti nel sistema, obbligandosi a comunicare al gestore i predetti dati personali relativi a richieste/rapporti di credito in modo sistematico, in un quadro di reciprocità nello scambio di dati con gli altri partecipanti, tra i quali:

  1. una banca;
  2. un intermediario finanziario;
  3. un altro soggetto privato che, nell’esercizio di un’attività commerciale o professionale, concede una dilazione di pagamento del corrispettivo per la fornitura di beni o servizi;

Ma con le novità introdotte, l’Autorità ha voluto ridelineare ed ampliare i soggetti identificati come partecipanti, facendovi rientrare:

  1. le banche, comprese quelle comunitarie e quelle extracomunitarie;
  2. le società finanziarie e tutti gli intermediari finanziari la cui attività è regolamentata nell’ambito del decreto legislativo 1° settembre 1993, n. 385;
  3. i soggetti autorizzati a svolgere in Italia l’attività di factoring (legge 21 febbraio 1991, n. 52 e successive modifiche);
  4. soggetti appartenenti a gruppi bancari o finanziari;
  5. gli istituti di pagamento;
  6. i soggetti privati che, nell’esercizio di attività commerciale o professionale, concedono una dilazione del pagamento del corrispettivo per la fornitura di beni o servizi, ovvero svolgono l’attività di leasing anche operativo, o l’attività di noleggio a lungo termine, nonché l’attività di gestione di piattaforme digitali per prestiti tra privati;

Partecipanti che dovranno, se non già elaborate in vigenza del vecchio codice, adottare idonee procedure atte a verificare e garantire:

  1. la lecita utilizzabilità dei dati nel sistema;
  2. la correttezza, l’aggiornamento e l’esattezza dei dati comunicati al gestore.

Restano invece invariate, salvo alcune modifiche di forma e la mancanza della precisazione del concetto di “consumatore”, le altre definizioni del documento.

Sic e privacy, che cos’è il “legittimo interesse”

Non meno importante è sicuramente l’introduzione dell’Articolo 6 in materia di “Base giuridica e Informazione agli interessati

WEBINAR - 3 NOVEMBRE
CISO as a Service: perché la tua azienda ha bisogno di un esperto di Cyber Security?
Sicurezza
Cybersecurity

Infatti, secondo quanto si legge dal citato Codice di Condotta: “Il trattamento dei dati personali da parte del gestore e dei partecipanti al SIC secondo i termini e le condizioni stabilite nel Codice di condotta risulta lecito ai sensi dell’art. 6 comma 1 lett. f) del Regolamento in quanto è necessario per il perseguimento di legittimi interessi dei partecipanti all’utilizzo del SIC per le finalità di cui al presente Codice di condotta. Pertanto, non è necessario acquisire il consenso dell’interessato”.

Attenzione dunque ad utilizzare il legittimo interesse come base di liceità del trattamento entro i limiti e dunque qualora il trattamento sia effettuato per:

  1. la corretta misurazione del merito e del rischio creditizio;
  2. la corretta valutazione dell’affidabilità e della puntualità dei pagamenti dell’interessato; e
  3. la prevenzione del rischio di frode, ivi inclusa la prevenzione del rischio del furto di identità;

Così come anche precisato all’Articolo 3 “Finalità del trattamento”.

Legittimo interesse che viene inoltre richiamato, mutatis mutandis anche in relazione all’accesso da parte dei partecipanti al SIC (cfr. Articolo 8 “Utilizzazione dei dati”) ed inevitabilmente anche nell’Informativa di cui all’Allegato 3 del Codice così come previsto ex art. 13 comma 1 del GDPR.

Gli step per la giusta informativa creditizia

Proseguendo, una posizione di privilegio spetta al rinnovamento di quanto previsto in materia di informativa ed il nuovo modello messo a disposizione già ut supra richiamato.

Informativa che come si legge all’interno del Codice:

  1. dovrà essere fornita a norma degli artt. 13 e 14 del GDPR al momento della raccolta dei dati personali relativi a richieste o rapporti;
  2. indicare in modo chiaro e preciso la descrizione delle finalità e delle modalità del trattamento; nonché contenere:
    1. estremi identificativi e dati di contatto dei SIC cui sono comunicati i dati personali o presso il quale tali dati sono consultati e dei rispettivi gestori;
    2. categorie di partecipanti;
    3. tempi di conservazione dei dati nei SIC, cui sono comunicati;
    4. modalità di organizzazione, raffronto ed elaborazione dei dati, nonché eventuale uso di trattamenti o processi decisionali automatizzati di scoring;
    5. modalità per l’esercizio da parte degli interessati dei diritti previsti dal Regolamento;
    6. eventuali trasferimenti di dati personali in paesi non facenti parte dello Spazio Economico Europeo.;
  3. se inserita in un modulo utilizzato dal partecipante, dovrà essere adeguatamente evidenziata e collocata in modo autonomo ed unitario, in parti o riquadri distinti da quelli relativi ad eventuali altre finalità del trattamento effettuato dal medesimo partecipante;
  4. in caso di eventuali aggiornamenti o modifiche relativi alle indicazioni rese, anche in caso di cambiamento dei SIC utilizzati dal partecipante e/o della denominazione e della sede del gestore, dovrà essere fornita attraverso comunicazioni periodiche, o attraverso uno o più siti internet e a richiesta degli interessati;
  5. dovrà contenere le altre notizie di cui agli articoli 10, comma 1, lett. d) e 11, comma 1, lett. c) del Codice

D’obbligo dunque risulterà la revisione ed aggiornamento delle Informative non ancora riviste rispetto alle recenti disposizioni normative.

Informazione creditizia, GDPR e nuovi diritti 

Come era facile presupporre anche i Diritti concessi all’interessato vengono ampliati e rafforzati in un’ottica di conformità alla Regolamentazione Europea ed alle disposizioni ex art. 15 e ss. del GDPR.

Infatti, in relazione ai dati personali registrati in un SIC, gli interessati potranno esercitare i propri diritti secondo le modalità, i termini e le condizioni stabiliti dal Regolamento, sia presso i partecipanti che li hanno comunicati sia presso il gestore, ad eccezione, riguardo a quest’ultimo, del diritto di cui all’art. 20 del Regolamento, non sussistendone i presupposti.

Quindi attenzione:

  • ad informare correttamente l’interessato sui suoi diritti e sulle modalità di esercizio degli stessi;
  • ad avere in essere procedure idonee a:
    • garantire un riscontro senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa (con eventuale proroga di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste);
    • gestire correttamente il processo di ricezione/riscontro/censimento delle richieste di esercizio dei diritti da parte dell’interessato;
  • a conformarsi in via generale a quanto previsto all’Articolo 9 “Accesso ed esercizio di altri diritti degli interessati”.

Cybersecurity, notifica di violazione dei dati

Non poteva certamente mancare, anche in ottemperanza alle disposizioni dell’art. 33 e ss. del GDPR, una menzione alla violazione dei dati cd. Data Breach. A tal proposito in caso di violazione di dati personali contenuti nei SIC il gestore dovrà comunicare la violazione medesima all’autorità di controllo compente e dovrà informare i partecipanti senza ingiustificato ritardo.

Le ulteriori specificazioni rimandano espressamente alle disposizioni in materia senza aggiungere particolari di rilevanza rispetto alle prassi già consolidate e dunque l’adozione di procedure idonee per l’identificazione e l’analisi delle violazioni (cd. Procedure in materia di Data Breach), tenuto anche conto dei limiti temporali di notifica all’Autorità Garante (i.e. senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui il Titolare ne è venuto a conoscenza), è fondamentale.

Sic, più sicurezza per il trattamento dati

Menzione meritano, inoltre, il rafforzamento delle misure di sicurezza in merito al trattamento dei dati.

Infatti, elencando gli aspetti più rilevanti:

  • i dati personali oggetto di trattamento nell’ambito di un SIC hanno carattere riservato e non potranno essere divulgati a terzi, al di fuori dei casi previsti dal Regolamento e dal presente Codice di condotta.
  • le persone fisiche che, in funzione dell’organizzazione del gestore o dei partecipanti operano sotto l’autorità di detti titolari del trattamento o dei loro responsabili del trattamento ed hanno accesso al SIC (e.g. gli autorizzati al trattamento dei dati), potranno trattare i dati personali solo se istruiti in tal senso dal titolare del trattamento e dovranno mantenere il segreto sui dati personali acquisiti e risponderanno della violazione degli obblighi di riservatezza derivanti da un´utilizzazione dei dati o una divulgazione a terzi per finalità diverse o incompatibili con le finalità di cui al presente codice o comunque non consentite. Attenzione dunque alle eventuali lettere ad autorizzati al trattamento elaborate ed al loro contenuto;
  • il gestore ed i partecipanti adottano e sono tenuti a far assumere dai propri eventuali responsabili del trattamento l’impegno ad adottare misure tecniche ed organizzative idonee per garantire un livello di sicurezza adeguato al rischio fin dalla fase della progettazione e per impostazione predefinita;
  • il gestore adotta ed è tenuto a far assumere dai propri eventuali responsabili del trattamento l’impegno ad adottare adeguate misure di sicurezza al fine di garantire il regolare funzionamento del SIC e il controllo degli accessi. Questi ultimi sono registrati e memorizzati nel sistema informativo del gestore medesimo o di ogni partecipante presso cui risieda copia della stessa banca dati;
  • in relazione al rispetto degli obblighi di sicurezza, riservatezza e segretezza di cui al presente articolo, il gestore ed i partecipanti impartiscono specifiche istruzioni al personale impiegato e vigilano sulla loro puntuale osservanza, anche attraverso verifiche da parte di idonei organismi di controllo.

Istruzioni e controllo assumono quindi un ruolo fondamentale per la corretta gestione/sicurezza/riservatezza dei dati.

Operato del Sic: l’organismo di monitoraggio

Infine, l’istituzione del relativo Organismo di monitoraggio indipendente, che vigili sull’operato dei SIC, segna la volontà di prevedere un canale specifico per la gestione/valutazione/controllo di tutte le attività inerenti i sistemi di informazioni creditizie nonché i rapporti/reclami fra questi ultimi e gli interessati.

Sul punto a mero titolo esaustivo si segnala che il nuovo Codice di condotta, nonostante gli aderenti si siano impegnati fin da ora a rispettarne le regole e i principi, diverrà pienamente efficace solo al completamento della fase di accreditamento dell’organismo di monitoraggio da parte del Garante presso il Comitato che riunisce le Autorità di protezione dati dell’Ue (cd. Edpb).

Sic, in primo piano Fintech e algoritmi

Altre considerazioni potrebbero essere formulate in merito al nuovo codice di condotta, alcune della quali certamente richiederebbero un maggiore approfondimento rispetto a quanto fino a qui affrontato. Ciò che è certo è che con questo Codice l’Autorità Garante ha voluto lanciare un segnale in merito agli sforzi fatti e che verranno fatti per attuare il GDPR.

Al Titolare del trattamento con il supporto del Responsabile della protezione dei dati, ove presente, spetterà l’onere, anche in un’ottica dei Piani di Attività per l’anno 2019, di verificare e dimostrare l’osservanza dell’operato dei soggetti destinatari al Codice vigente.

Per completezza si veda il Comunicato stampa del 19 settembre 2019 dell’Autorità Garante dove il consumatore rimane elemento centrale e maggiormente tutelato, stante l’obiettivo dell’Autorità Garante a fornire maggiori tutele per i consumatori censiti nelle banche dati del credito; maggiore trasparenza sul funzionamento degli algoritmi che analizzano il rischio nei finanziamenti; apertura alle nuove tecnologie e ai servizi del Fintech.

WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

@RIPRODUZIONE RISERVATA

Articoli correlati