EntiOnLine
Categorie
indietro
12/09/2019 Garante Privacy: Provvedimento del 12 settembre 2019 - Codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilita' e puntualita' nei pagamenti

Provvedimento del 12 settembre 2019 - Codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti

Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

Registro dei provvedimenti
n. 163 del 12 settembre 2019

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. XX, presidente, della dott.ssa XX, vicepresidente, della prof.ssa XX, della dott.ssa XX, componenti e del dott. XX, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito il “Codice”) come novellato dal d.lgs 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679”;

CONSIDERATO che l’art. 40 del Regolamento prevede, in particolare, che gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggino l’elaborazione di codici di condotta destinati a contribuire alla corretta applicazione del Regolamento in funzione delle specificità dei vari settori di trattamento e delle esigenze delle micro, piccole e medie imprese;

VISTO il considerando n. 98 del Regolamento secondo il quale i codici di condotta possono calibrare gli obblighi dei titolari del trattamento e dei responsabili del trattamento, tenuto conto del potenziale rischio del trattamento per i diritti e le libertà delle persone fisiche;

CONSIDERATO che l’art. 20 del d.lgs n. 101/2018 recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento, che ha modificato il Codice, prevede che il Codice di deontologia e buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti (Allegato 5 del Codice), in vigore dal 1° gennaio 2005, continui a produrre effetti a condizione che entro 6 mesi dall’entrata in vigore del d.lgs n. 101/2018, le associazioni e gli altri organismi rappresentanti le categorie interessate sottopongano all’approvazione del Garante a norma dell’art. 40 del Regolamento i codici di condotta elaborati a norma del paragrafo 2 del predetto articolo, purché la procedura di approvazione si concluda entro sei mesi successivi alla sottoposizione del codice di condotta all’esame del Garante;

VISTE le “Linee guida sui codici di condotta e organismi di monitoraggio” n. 1/2019 adottate in data 12 febbraio 2019 come modificate ed approvate in data 4 giugno 2019;

VISTA la nota del 19 marzo 2019 con la quale AISREC, CTC e ASSILEA (di seguito, “i proponenti”) hanno presentato un progetto di codice di condotta elaborato ai sensi degli artt. 40 e 41 del Regolamento dopo averlo sottoposto a consultazione sia con i soggetti rappresentativi delle categorie di interessati sia con rappresentanti delle categorie dei c.d. utilizzatori;

VISTE le note del 6 e 27 giugno 2019 con cui l’Ufficio ha formulato alcune osservazioni in merito al progetto di codice di condotta;

VISTA, da ultimo, la nota del 10 settembre 2019 con cui i proponenti hanno sottoposto all’approvazione del Garante l’ultima versione del progetto di codice di condotta, a seguito degli incontri svoltisi presso l’Autorità in data 6 agosto e 4 settembre 2019;

RILEVATO che ai sensi dell’art. 55 del Regolamento il Garante è l’autorità di controllo competente ad approvare il presente progetto di codice di condotta avente validità nazionale nell’esercizio del potere conferitole ai sensi dell’art. 57, paragrafo 1, del Regolamento;

CONSIDERATO che i proponenti, essendo i soggetti che professionalmente svolgono in Italia l’attività di gestione dei sistemi di informazioni creditizie, sono legittimati, ai sensi dell’art. 40, paragrafo 2 del Regolamento, a promuovere l’adozione di un codice di condotta nel settore di riferimento;

CONSIDERATO che il progetto di codice di condotta presentato dai proponenti contribuisce alla corretta applicazione del Regolamento nel settore dei sistemi di informazioni creditizie e può costituire elemento idoneo a dimostrare la conformità del trattamento posto in essere alla disciplina della protezione dei dati (Considerando 77 e artt. 24, par. 3, 32, par. 3, 28, par. 5 del Regolamento);

RILEVATO che il progetto di codice di condotta presentato dai proponenti prevede la costituzione di un organismo di monitoraggio individuando altresì i meccanismi che consentono allo stesso di effettuare il controllo obbligatorio del rispetto del codice da parte degli aderenti che si impegnano ad applicarlo, così come previsto dall’art. 40, paragrafo 2, del Regolamento;

CONSIDERATO che l’approvazione di un progetto di codice di condotta è subordinato all’accreditamento dell’organismo di monitoraggio da parte del Garante ai sensi dell’art. 41 del Regolamento, ma che nel caso di specie tale fase, in attesa della definizione di criteri uniformi per l’accreditamento a livello europeo, non si è ancora conclusa;

RITENUTO tuttavia che il progetto di codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti presentato dai proponenti, all’esito dell’esame di questa Autorità, offra in misura sufficiente garanzie adeguate a tutela degli interessati, come previsto dall’art. 40, paragrafo 5, del Regolamento, a condizione che siano apportate alcune limitate modifiche o integrazioni come di seguito indicato:

a) all’art. 18, comma 1, l’espressione “dall’entrata in vigore” deve essere sostituita con “dall’approvazione del presente Codice di condotta”;

b) al comma 3 dell’All. 4- Organismo di Monitoraggio, dopo “determinate dai gestori medesimi” deve essere inserita la seguente espressione “secondo procedure di finanziamento che non pregiudichino l’indipendenza dell’OdM”;

c) al comma 4 dell’All. 4 l’espressione “ma con un congruo preavviso” deve essere sostituita con “anche senza necessità di preavviso”;

d) al comma 5, dell’All. 4 dopo “Odm” va eliminata l’espressione “esclusivamente dopo aver infruttuosamente esercitato, nei confronti del Gestore, i diritti di cui all’art. 9 e trascorsi i termini in esso previsti” e dopo “pregiudizio lamentato” deve essere aggiunta la seguente frase “Il reclamo riguardante l’esercizio dei diritti potrà essere proposto all’OdM esclusivamente dopo aver infruttuosamente esercitato, nei confronti del Gestore, i diritti di cui all’art. 9 e trascorsi i termini in esso previsti.”;

e) al comma 7 dell’All. 4, ultimo capoverso, dopo “la revoca” deve essere aggiunta l’espressione “e la sospensione temporanea”;

VISTA la documentazione in atti:

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa XX;

TUTTO CIÒ PREMESSO IL GARANTE:

ai sensi dell’art. 20 del d.lgs. 10 agosto 2018, n. 101 approva il codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti nella versione inviata in data 10 settembre u.s., a condizione che siano apportate le modifiche e le integrazioni di cui in premessa, subordinandone altresì l’efficacia al completamento della fase di accreditamento dell’organismo di monitoraggio da parte dell’Autorità.

Roma, 12 settembre 2019

______________________________

CODICE DI CONDOTTA PER I SISTEMI INFORMATIVI GESTITI DA SOGGETTI PRIVATI IN TEMA DI CREDITI AL CONSUMO, AFFIDABILITÀ E PUNTUALITÀ NEI PAGAMENTI

(Il presente Codice di condotta tiene già conto delle modifiche e integrazioni richieste dal Garante per la protezione dei dati personali con il Provvedimento n. 163 del 12 settembre 2019)

INDICE

Articolo 1 - Ambito di applicazione

Articolo 2 - Definizioni

Articolo 3 - Finalità del trattamento

Articolo 4 - Requisiti e categorie dei dati

Articolo 5 - Modalità di raccolta e registrazione dei dati

Articolo 6 - Base giuridica e Informazione agli interessati

Articolo 7 - Tempi di conservazione dei dati

Articolo 8 - Utilizzazione dei dati

Articolo 9 - Accesso ed esercizio di altri diritti degli interessati

Articolo 10 - Trattamenti o processi decisionali automatizzati di scoring

Articolo 11 - Trattamento di dati provenienti da fonti pubbliche e/o da altre fonti

Articolo 12 - Misure di sicurezza dei dati

Articolo 13 - Notifica di una violazione dei dati personali

Articolo 14 - Trasferimento di dati personali verso paesi terzi o organizzazioni internazionali

Articolo 15 - Verifiche sul rispetto del Codice di condotta ed organismo di monitoraggio

Articolo 16 - Modalità di adesione al Codice di condotta

Articolo 17 - Revisione del Codice di condotta

Articolo 18 - Disposizioni transitorie e finali

Articolo 19 - Entrata in vigore

ALLEGATO 1 - PREAVVISO DI SEGNALAZIONE

ALLEGATO 2 - TEMPI DI CONSERVAZIONE

ALLEGATO 3 - MODELLO DI INFORMATIVA

ALLEGATO 4 - ORGANISMO DI MONITORAGGIO

PREAMBOLO

L’Associazione Italiana Società di Referenza Creditizia (di seguito “AISReC”), in qualità di associazione rappresentativa dei gestori di sistemi di informazioni creditizia che ne fanno parte, unitamente all’Associazione Italiana Leasing e al Consorzio per la Tutela del Credito sottoscrivono il presente Codice di condotta con gli allegati da 1 a 4 che ne costituiscono parte integrante, sottoposto all’approvazione del Garante per la protezione dei dati personali (di seguito il “Garante”) ai sensi dell’art. 40 del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (Regolamento Generale sulla Protezione dei Dati, di seguito il “Regolamento”) e nel rispetto della procedura stabilita dall’art. 20 del D.lgs. 101/2018, recante disposizioni di adeguamento del D.lgs. 196/2003, il Codice in materia di protezione dei dati personali (di seguito denominato "Codice") alle norme del Regolamento, sulla base delle seguenti

PREMESSE

1. L’art. 40 del Regolamento prevede che gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggino l’elaborazione di codici di condotta destinati a contribuire alla corretta applicazione del Regolamento in funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese. Il considerando n. 98 del Regolamento prevede che i codici di condotta possono calibrare gli obblighi dei titolari del trattamento e dei responsabili del trattamento, tenuto conto del potenziale rischio del trattamento per i diritti e le libertà delle persone fisiche.

2. Con Provvedimento del Garante n. 8 del 16 novembre 2004, Gazzetta Ufficiale 23 dicembre 2004, n. 300, come modificato dall´errata corrige pubblicata in Gazzetta Ufficiale 9 marzo 2005, n. 56 è stato adottato il Codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti (di seguito “Codice deontologico”).

3. L’art. 20 del d. lgs. n. 101/2018 recante disposizioni per l'adeguamento della normativa nazionale alle disposizioni del Regolamento, che ha modificato il d. lgs. n. 196/2003, prevede che il Codice deontologico continui a produrre effetti a condizione che entro il termine definito (12 mesi dalla entrata in vigore del decreto) venga avviata e portata a termine la procedura tesa ad elaborare un Codice di condotta rispondente ai criteri di cui agli artt. 40 e 41 del Regolamento e che permetta di trasfondere in nuovo testo, coerente con il quadro regolamentare europeo, i principi delle vigenti norme deontologiche.

4. Con nota del Garante per la protezione dei dati personali dell’11 ottobre 2018 i soggetti che professionalmente gestiscono i sistemi di informazioni creditizie sono stati esortati a predisporre una bozza di Codice di condotta da sottoporre alla approvazione dello stesso Garante per la protezione dei dati personali (entro sei mesi dalla data di entrata in vigore del d. lgs. n. 101/2018).

5. I partecipanti al SIC sono, in forza del Codice deontologico previgente, banche, intermediari finanziari e altri soggetti privati che, nell'esercizio di un'attività commerciale o professionale, concedono una dilazione di pagamento del corrispettivo per la fornitura di beni o servizi (articolo 1, comma 1, lett. e) del Codice deontologico) che operano in un quadro di reciprocità nello scambio di dati con gli altri partecipanti. Il legislatore è intervenuto a più riprese per consentire l’accesso ai dati presenti nel SIC a ulteriori soggetti quali, attualmente, in forza dell’articolo 6-bis, del decreto-legge 13 agosto 2011, n. 138 convertito con la legge 14 settembre 2011, n. 148 e del vigente articolo 30-ter del decreto legislativo 13 agosto 2010, n.141 (come successivamente modificato):

• i fornitori di servizi di comunicazione elettronica e i fornitori di servizi interattivi associati o di servizi di accesso condizionato (tra cui, quindi, le società telefoniche);

• le imprese di assicurazione;

• i soggetti autorizzati a svolgere le attività di vendita a clienti finali di energia elettrica e di gas naturale ai sensi della normativa vigente.

Per effetto delle predette norme, tali soggetti (cosiddetti accedenti), attualmente hanno facoltà di consultare i dati personali presenti nei SIC, stipulando a tal fine appositi accordi con uno o più gestori di Sic.

6. Inoltre, la legge 4 agosto 2017, n. 124, recante Legge annuale per il mercato e la concorrenza, all’art. 1, comma 85, ha stabilito anche che “al fine di promuovere la concorrenza attraverso la riduzione delle asimmetrie informative, anche intersettoriali, all'articolo 6-bis del decreto-legge 13 agosto 2011, n. 138, convertito, con modificazioni, dalla legge 14 settembre 2011, n. 148, dopo il comma 1 sono aggiunti i seguenti: «1-bis. L'accesso ai sistemi informativi di cui al comma 1 da parte dei soggetti ivi indicati può avvenire anche in un quadro di reciprocità, ma solo nel rispetto delle prescrizioni stabilite dal Garante per la protezione dei dati personali necessarie ad assicurare proporzionalità, correttezza e sicurezza circa il trattamento di dati personali ai sensi del predetto comma 1 e il rispetto dei diritti e delle libertà fondamentali, nonché della dignità dei soggetti cui le 2 informazioni si riferiscono, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali”.

7. Il Garante ha adottato un provvedimento interpretativo di alcune disposizioni del Codice deontologico il 26 ottobre 2017 (pubblicato sulla Gazzetta Ufficiale n. 279 del 29 novembre 2017).

8. Il trattamento di dati personali, effettuato nell'ambito dei sistemi informativi regolati dal presente Codice di condotta deve svolgersi nel rispetto dei principi dettati dalla normativa applicabile, avuto particolare riguardo a quella dettata in materia di protezione dei dati personali.

9. Con il presente Codice di condotta, che recepisce quanto indicato nelle premesse 5 e 7 e vuole altresì mettere le basi per una piena realizzazione di quanto indicato nella premessa 6 al fine di una coerente regolamentazione del settore, sono individuate adeguate garanzie in conformità con il Regolamento al fine di precisarne e facilitarne la sua applicazione.

10. Il presente Codice di condotta è elaborato ai sensi dell’art. 40 del Regolamento per garantire, settorialmente, ed in funzione delle specifiche esigenze delle diverse categorie dei partecipanti ai SIC, l’applicazione efficace, coerente ed omogenea del Regolamento e, nel contempo, per garantire un corretto bilanciamento di interessi tra i soggetti coinvolti nel trattamento.

11. Le disposizioni del presente Codice di condotta si applicano esclusivamente al trattamento di dati personali effettuato nell’ambito dei sistemi di informazioni creditizie e, in particolare, il presente Codice di condotta non riguarda sistemi informativi di cui sono titolari soggetti pubblici, quale il servizio di centralizzazione dei rischi gestito dalla Banca d'Italia (artt. 13, 53, comma 1, lett. b), 60, comma 1, 64, 67, comma 1, lett. b), 106 107, 144 e 145 del d.lgs. 1 settembre 1993, n. 385 -Testo unico delle leggi in materia bancaria e creditizia; delibera Cicr del 29 marzo 1994; provvedimento Banca d'Italia 10 agosto 1995; circolare Banca d'Italia 11 febbraio 1991, n. 139 e successivi aggiornamenti).

12. Tutti i soggetti che gestiscono sistemi di informazioni creditizie possono aderire al presente Codice di condotta, anche attraverso le rispettive associazioni di categoria, seguendo le procedure di seguito stabilite.

Articolo 1 - Ambito di applicazione

Il presente Codice di condotta è riferito ad attività di trattamento dei dati personali relativi a persone fisiche limitatamente al territorio dello Stato Italiano ed è applicabile unicamente a livello nazionale. Per tale motivo, l’approvazione di cui all’art. 40 del Regolamento è richiesta al Garante in qualità di Autorità di controllo competente ai sensi dell’art. 55 del Regolamento.

Articolo 2 - Definizioni

1. Ai fini del presente Codice di condotta, si applicano le definizioni previste dall’art. 4 del Regolamento.

2. Ai medesimi fini, si intende per:

a) "richiesta/rapporto": qualsiasi richiesta o rapporto riguardanti la concessione, nell'esercizio di un'attività commerciale o professionale, di un credito, di una dilazione di pagamento, di un pagamento differito, di un finanziamento o di un’altra analoga facilitazione finanziaria; rientrano nell’accezione di facilitazione finanziaria, il noleggio a lungo termine, il leasing operativo (1), la cessione di crediti e di dilazioni di pagamento e il prestito tra privati gestito attraverso piattaforme digitali (c.d. peer to peer lending) nei limiti stabiliti dal Legislatore, dalla normativa di settore, dalle Autorità di vigilanza e dalla Giurisprudenza;

b) “regolarizzazione”: l’estinzione delle obbligazioni pecuniarie inadempiute (derivanti sia da un mancato pagamento, sia da un ritardo), senza perdite o residui per il creditore anche a titolo di interessi e spese o comunque a seguito di vicende estintive diverse dall’adempimento, in particolare a seguito di transazioni, o concordati o accordi raggiunti anche in via stragiudiziale o con l’ausilio di organismi di composizione delle crisi;

c) “sistema di informazioni creditizie” o “SIC”: banca di dati concernenti richieste/rapporti di cui alla lettera a) gestita da una persona giuridica, un ente, un’associazione o un altro organismo in ambito privato. Il SIC può contenere, in particolare:

i. informazioni di tipo negativo, che riguardano soltanto rapporti per i quali si sono verificati inadempimenti;

ii. informazioni di tipo positivo e negativo, che attengono a richieste/rapporti a prescindere dalla sussistenza di inadempimenti registrati nel SIC al momento del loro verificarsi;

d) “gestore”: il soggetto privato, autonomo titolare del trattamento dei dati personali registrati in un SIC, che gestisce tale sistema stabilendone le modalità di funzionamento e di utilizzazione;

e) “partecipante”: il soggetto privato, che in virtù di contratto o accordo con il gestore partecipa al relativo SIC e può accedere ed utilizzare i dati presenti nel sistema. Il partecipante, autonomo titolare del trattamento dei dati personali raccolti in relazione a richieste/rapporti, comunica al gestore i relativi dati personali in modo sistematico, in un quadro di reciprocità nello scambio di dati con gli altri partecipanti e in base alle categorie di dati ed agli standard individuati nel presente Codice di condotta; rientrano nella categoria dei partecipanti le banche, comprese quelle comunitarie e quelle extracomunitarie, le società finanziarie e tutti gli intermediari finanziari la cui attività è regolamentata nell’ambito del decreto legislativo 1° settembre 1993, n. 385, i soggetti autorizzati a svolgere in Italia l’attività di factoring (legge 21 febbraio 1991, n. 52 e successive modifiche), soggetti appartenenti a gruppi bancari o finanziari, gli istituti di pagamento, i soggetti privati che, nell’esercizio di attività commerciale o professionale, concedono una dilazione del pagamento del corrispettivo per la fornitura di beni o servizi, ovvero svolgono l’attività di leasing anche operativo, o l’attività di noleggio a lungo termine, nonché l’attività di gestione di piattaforme digitali per prestiti tra privati;

f) “tempo di conservazione dei dati”: il periodo nel quale i dati personali relativi a richieste/rapporti rimangono registrati in un SIC e sono utilizzabili per le finalità di cui al presente Codice di condotta;

g) “trattamenti di scoring”: le modalità di organizzazione, aggregazione, raffronto od elaborazione di dati personali relativi a richieste/rapporti di cui alla lettera a), consistenti nell’impiego di trattamenti automatizzati basati sull’applicazione di metodi o modelli matematici e/o statistici per valutare il rischio, e i cui risultati sono espressi in forma di esiti sintetici, indicatori numerici o punteggi, associati all’interessato, diretti a fornire una rappresentazione, in termini predittivi o probabilistici, del suo profilo di rischio.

Articolo 3 - Finalità del trattamento

Il trattamento dei dati personali contenuti in un SIC può essere effettuato dal gestore e dai partecipanti, ciascuno per le attività di propria competenza, coerentemente con quanto disciplinato nel presente Codice di condotta, esclusivamente per finalità connesse alla valutazione, all’assunzione o alla gestione di un rischio di credito, alla valutazione dell’affidabilità e della puntualità nei pagamenti dell’interessato. Rientrano in tali finalità la prevenzione del rischio di frodi e del furto di identità.

Articolo 4 - Requisiti e categorie dei dati

1. Per ogni richiesta/rapporto segnalato ad un SIC possono essere trattate le seguenti categorie di dati personali:

a) dati identificativi, anagrafici e sociodemografici (quali, ad esempio: codice fiscale, partita Iva, dati di contatto, documenti di identità, tessera sanitaria, codice Iban, dati relativi alla occupazione/professione, al reddito, al sesso, all’età, alla residenza/domicilio, allo stato civile, al nucleo familiare);

b) dati relativi alla richiesta/rapporto, descrittivi, in particolare, della tipologia di contratto, dell'importo dovuto, delle modalità di pagamento e dello stato della richiesta o dell'esecuzione del contratto;

c) dati di tipo contabile, relativi, in particolare, agli utilizzi o ai pagamenti, al loro andamento periodico, all'esposizione debitoria anche residua e alla sintesi dello stato contabile del rapporto;

d) dati relativi al contenzioso e ad attività di recupero del credito, alla cessione del credito o a eccezionali vicende che incidono sulla situazione soggettiva o patrimoniale degli interessati.

2. Nell'ambito di un SIC possono essere registrati i dati personali riferiti all’interessato che chiede di instaurare o che è parte di un rapporto con un partecipante, o all’interessato:

- che è coobbligato, anche in solido, o

- che è terzo ceduto, in relazione all’ipotesi di cessione di crediti o dilazioni di pagamento o

- che è un esponente aziendale o un partecipante al capitale della società e/o ente, che è parte di una richiesta/rapporto, come individuato dal successivo art. 8 o

- che è comunque legato sul piano economico o giuridico al soggetto che è parte di una richiesta/rapporto, come specificato nel successivo art. 8,

la cui posizione è chiaramente distinta da quella del debitore principale. Al fine della prevenzione delle frodi per i contratti di locazione finanziaria, ed altresì per le altre richieste/rapporti di cui all’art.2 comma 2 lettera A, possono essere registrati i dati personali del fornitore dei beni che ne formano oggetto.

3. Non possono essere oggetto di trattamento nell’ambito di un SIC categorie particolari di dati personali di cui all’art. 9 del Regolamento e i dati personali relativi a condanne penali, ai reati e a connesse misure di sicurezza di cui all’art. 10 del Regolamento. Il trattamento concerne dati personali di tipo obiettivo, adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati, e concerne anche ogni vicenda intervenuta a qualsiasi titolo o causa in relazione ad una richiesta/rapporto, nel rispetto dei tempi di conservazione dei dati stabiliti nel presente Codice di condotta.

4. Le codifiche ed i criteri eventualmente utilizzati per registrare dati personali in un SIC e per facilitarne il trattamento sono diretti esclusivamente a fornire una rappresentazione oggettiva e corretta degli stessi dati, nonché delle vicende del rapporto segnalato. L'utilizzo di tali codifiche e criteri è accompagnato da precise indicazioni circa il loro significato, fornite dal gestore, osservate dai partecipanti e rese dagli stessi agevolmente disponibili agli interessati.

5. Nel SIC sono registrati gli estremi identificativi del partecipante che ha comunicato i dati personali relativi alla richiesta/rapporto. Tali estremi sono accessibili al gestore o agli interessati e non anche agli altri partecipanti.

6. Il gestore registra i dati relativi agli accessi al SIC, anche ai fini dei controlli di cui al presente Codice di condotta.

Articolo 5 - Modalità di raccolta e registrazione dei dati

1. I partecipanti aderiscono ad un SIC in forza di accordi sulla base del principio di reciprocità ed all’atto della consultazione hanno accesso al dettaglio completo dei dati relativi a richieste e rapporti, oltre che indicatori di sintesi e scoring.

Salvo quanto previsto dal comma 5, il gestore acquisisce esclusivamente dai partecipanti i dati personali da registrare nel SIC.

2. Il partecipante adotta idonee procedure di verifica per garantire la lecita utilizzabilità nel sistema, la correttezza, l’aggiornamento e l’esattezza dei dati comunicati al gestore.

3. All’atto del ricevimento dei dati, il gestore verifica la loro congruità attraverso controlli di carattere formale e logico e, se i dati risultano incompleti od incongrui, li ritrasmette al partecipante che li ha comunicati, ai fini delle necessarie integrazioni e correzioni. All’esito dei controlli e delle eventuali integrazioni e correzioni, i dati sono registrati nel SIC e resi disponibili.

4. Il partecipante verifica con cura i dati da esso trattati e risponde tempestivamente alle richieste di verifica del gestore, anche a seguito dell’esercizio di un diritto da parte dell’interessato.

5. Eventuali operazioni di cancellazione, integrazione o modificazione dei dati registrati in un SIC sono disposte direttamente dal partecipante che li ha comunicati, ove tecnicamente possibile, ovvero dal gestore su richiesta del medesimo partecipante o d’intesa con esso, anche a seguito dell’esercizio di un diritto da parte dell’interessato, oppure in attuazione di un provvedimento dell’autorità giudiziaria o del Garante.

6. Al verificarsi di ritardi nei pagamenti, il partecipante, anche unitamente all’invio di solleciti o di altre comunicazioni, o eventualmente con le modalità indicate nel contratto, invia all’interessato un preavviso circa l’imminente registrazione dei dati in uno o più SIC. I dati relativi al primo ritardo possono essere resi accessibili ai partecipanti solo decorsi almeno quindici giorni dalla spedizione del preavviso all’interessato.

Le modalità, anche digitali e innovative, per garantire la ricezione di detto preavviso sono definite dal partecipante sulla base di quanto previsto dal Garante nel provvedimento del 26 ottobre 2017 e nell’Allegato 1 al presente Codice di condotta.

7. I dati registrati in un SIC sono aggiornati periodicamente, con cadenza mensile, a cura del partecipante che li ha comunicati.

Articolo 6 - Base giuridica e Informazione agli interessati

1. Il trattamento dei dati personali da parte del gestore e dei partecipanti al SIC secondo i termini e le condizioni stabilite nel Codice di condotta risulta lecito ai sensi dell’art. 6 comma 1 lett. f) del Regolamento in quanto è necessario per il perseguimento di legittimi interessi dei partecipanti all’utilizzo del SIC per le finalità di cui al presente Codice di condotta. Pertanto, non è necessario acquisire il consenso dell’interessato.

Costituiscono legittimi interessi: la corretta misurazione del merito e del rischio creditizio, la corretta valutazione dell’affidabilità e della puntualità dei pagamenti dell’interessato, la prevenzione del rischio di frode, ivi inclusa la prevenzione del rischio del furto di identità.

2. Al momento della raccolta dei dati personali relativi a richieste o rapporti, il partecipante informa l’interessato ai sensi degli artt. 13 e 14 del Regolamento anche con riguardo al trattamento dei dati personali effettuato nell’ambito di un SIC.

3. Le informazioni di cui al comma 2 recano in modo chiaro e preciso, nell’ambito della descrizione delle finalità e delle modalità del trattamento, nonché degli altri elementi di cui all´art. 13 del Regolamento, le seguenti indicazioni:

a) estremi identificativi e dati di contatto dei SIC cui sono comunicati i dati personali o presso il quale tali dati sono consultati e dei rispettivi gestori;

b) categorie di partecipanti;

c) tempi di conservazione dei dati nei SIC, cui sono comunicati;

d) modalità di organizzazione, raffronto ed elaborazione dei dati, nonché eventuale uso di trattamenti o processi decisionali automatizzati di scoring;

e) modalità per l’esercizio da parte degli interessati dei diritti previsti dal Regolamento;

f) eventuali trasferimenti di dati personali in paesi non facenti parte dello Spazio Economico Europeo.

4. L’informativa di cui al comma 2 è fornita agli interessati secondo il modello allegato al presente Codice di condotta nell’Allegato 3 e, se inserita in un modulo utilizzato dal partecipante, è adeguatamente evidenziata e collocata in modo autonomo ed unitario, in parti o riquadri distinti da quelli relativi ad eventuali altre finalità del trattamento effettuato dal medesimo partecipante.

5. L’informativa dovuta per effetto di eventuali aggiornamenti o modifiche relativi alle indicazioni rese ai sensi del comma 3, anche in caso di cambiamento dei SIC utilizzati dal partecipante e/o della denominazione e della sede del gestore, è fornita attraverso comunicazioni periodiche, o attraverso uno o più siti internet e a richiesta degli interessati.

6. Ad integrazione dell’informativa resa dai partecipanti singolarmente ad ogni interessato, il gestore fornisce un’informativa più dettagliata attraverso il proprio sito internet e/o altre eventuali ulteriori modalità anche digitali.

7. Quando la richiesta di credito o di un servizio o prodotto non è accolta, il partecipante comunica all’interessato se, per istruire la richiesta, ha consultato dati personali relativi ad informazioni di tipo negativo in uno o più SIC, indicandogli gli estremi identificativi del SIC da cui sono state rilevate tali informazioni e del relativo gestore.

8. Il partecipante fornisce all’interessato le altre notizie di cui agli articoli 10, comma 1, lett. d) e 11, comma 1, lett. c) del Codice di condotta.

Articolo 7 - Tempi di conservazione dei dati

I dati personali riferiti a richieste e/o rapporti, comunicati dai partecipanti, possono essere conservati in un SIC per il tempo previsto e con le modalità indicate nell’Allegato 2 al presente Codice di condotta.

Articolo 8 - Utilizzazione dei dati

1. Il partecipante può accedere al SIC rispetto a dati per i quali sussiste un suo legittimo interesse, riguardanti esclusivamente:

a) interessati che chiedono di instaurare o sono parte o che, a seguito di operazioni di cessione di crediti o dilazioni di pagamento, possono divenire parte di un rapporto con il medesimo partecipante e soggetti coobbligati, anche in solido;

b) interessati che agiscono nell’ambito della loro attività imprenditoriale o professionale che chiedono di instaurare o sono parte o che, a seguito di operazioni di cessione di crediti, possono divenire parte di un rapporto con il medesimo partecipante e soggetti coobbligati, anche in solido;

c) soggetti aventi un collegamento di tipo giuridico o economico con quelli di cui alla lettera b), sempre che i dati personali cui il partecipante intende accedere risultino necessari per il perseguimento delle finalità di cui al presente Codice di condotta relativamente ai soggetti di cui alla stessa lettera b). In tali casi la posizione del soggetto collegato all’interno del SIC non subisce comunque alcuna modificazione in virtù delle vicende relative al soggetto a cui è riferito in via principale il rapporto.

2. Il partecipante può accedere al SIC anche mediante consultazione di copia della relativa banca dati.

3. Il SIC è accessibile solo da un numero limitato, rispetto all´intera organizzazione del titolare del trattamento e/o dei suoi responsabili del trattamento, di persone autorizzate per iscritto al trattamento sotto l’autorità diretta del titolare o del responsabile ed istruite in tal senso, con esclusivo riferimento ai dati strettamente necessari, pertinenti e non eccedenti in rapporto alle finalità indicate nell´articolo 3, in relazione alle specifiche esigenze derivanti dal perseguimento delle medesime finalità, concretamente verificabili sulla base degli elementi in possesso dei partecipanti medesimi, nonché per assolvere ad obblighi di legge e per garantire la corretta manutenzione dei sistemi e la qualità dei dati.

4. I partecipanti accedono al SIC attraverso le modalità e gli strumenti anche digitali individuati dal gestore, nel rispetto della normativa sulla protezione dei dati personali. I dati personali relativi a richieste/rapporti registrati in un SIC sono di norma consultabili con modalità di accesso graduale e selettivo, attraverso uno o più livelli di consultazione di informazioni sintetiche o riepilogative dei dati riferiti all’interessato, prima della loro visione in dettaglio e con riferimento anche ad eventuali dati riferiti a soggetti coobbligati o collegati ai sensi del comma 1. Sono, in ogni caso, precluse, anche tecnicamente, modalità di accesso che permettano interrogazioni di massa o acquisizioni di elenchi di dati personali concernenti richieste/rapporti relativi a soggetti diversi da quelli che hanno chiesto di instaurare o che sono o che, a seguito di operazioni di cessione di crediti o di dilazioni di pagamenti, possono divenire parte di un rapporto di credito.

5. L’accesso ad un SIC è consentito anche agli organi giudiziari e di polizia giudiziaria per ragioni di giustizia, oppure da parte di altre istituzioni, autorità, amministrazioni o enti pubblici nei soli casi previsti da leggi, regolamenti o normative comunitarie e con l’osservanza delle norme che regolano la materia.

Articolo 9 - Accesso ed esercizio di altri diritti degli interessati

1. In relazione ai dati personali registrati in un SIC, gli interessati possono esercitare i propri diritti secondo le modalità, i termini e le condizioni stabiliti dal Regolamento, sia presso i partecipanti che li hanno comunicati sia presso il gestore, ad eccezione, riguardo a quest’ultimo, del diritto di cui all’art. 20 del Regolamento, non sussistendone i presupposti. Tali soggetti titolari del trattamento garantiscono, anche attraverso idonee misure organizzative e tecniche, un riscontro senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il partecipante o il gestore presso cui sia stato esercitato dall’interessato uno dei diritti allo stesso riconosciuti, informa quest’ultimo di tale proroga e dei motivi del ritardo, entro un mese dal ricevimento della richiesta.

2. Nella richiesta con la quale esercita i propri diritti, l’interessato indica i propri dati identificativi (ad esempio il codice fiscale e/o la partita Iva), anche al fine di agevolare la ricerca dei dati che lo riguardano nel SIC.

3. Il terzo al quale l´interessato conferisce, per iscritto, delega o procura per l´esercizio dei propri diritti, non deve avere alcun interesse, sia diretto che indiretto, riguardo alla conoscenza dei dati dell’interessato e può trattare i dati personali acquisiti presso un SIC esclusivamente nei limiti della delega stessa ed in ogni caso solamente per la finalità di tutela dei diritti dell’interessato e nel rispetto dei diritti fondamentali dell’interessato, con esclusione di ogni altro scopo perseguito dal terzo medesimo o da soggetti ad esso collegati. Nell’esercizio dei diritti dell’interessato, il terzo delegato dichiara per iscritto l’assenza di un suo interesse diretto o indiretto ed il partecipante o il gestore prima di rispondere possono verificarlo attraverso richieste di chiarimenti o altro, potendo, in mancanza, rifiutare la richiesta, contestualmente informandone il Garante. In caso di richieste massive e/o ripetitive provenienti da uno o più soggetti delegati dell’interessato, il gestore e il partecipante hanno comunque sempre la facoltà di rispondere direttamente a quest’ultimo.

4. Il partecipante, al quale è rivolta una richiesta con cui è esercitato taluno dei diritti di cui all’articolo 12 del Regolamento relativamente alle informazioni creditizie registrate in un SIC, fornisce direttamente riscontro nei termini previsti dall´art. 12 del Regolamento e dispone le eventuali modifiche ai dati ai sensi del presente Codice di condotta. Se la richiesta è rivolta al gestore, quest’ultimo provvede anch’esso direttamente nei medesimi termini, consultando ove necessario il partecipante e fatta salva l’applicazione del successivo comma 6.

5. Qualora sia necessario svolgere ulteriori o particolari verifiche con il partecipante, il gestore informa l’interessato di tale circostanza entro il termine di un mese, prorogabile di due mesi ai sensi del precedente comma 1 del presente articolo 9. Durante il periodo necessario ad effettuare le ulteriori verifiche con il partecipante, il gestore:

- Nell’arco del primo mese, mantiene nel SIC l’indicazione relativa allo svolgimento delle verifiche, tramite specifica codifica o apposito messaggio da apporre in corrispondenza dei dati oggetto delle richieste dell’interessato;

- successivamente ne limita il trattamento sospendendo la visualizzazione nel SIC dei dati oggetto delle verifiche.

6. In caso di richieste di cui al comma 4 riguardanti effettive contestazioni relative ad inadempimenti del venditore/fornitore dei beni o servizi oggetto del contratto sottostante al rapporto, il gestore annota senza ritardo nel SIC, su richiesta dell’interessato, del partecipante o informando quest’ultimo, la notizia relativa all’esistenza di tali contestazioni, tramite l’inserimento di una specifica codifica da apporre in corrispondenza dei dati relativi al rapporto.

Articolo 10 - Trattamenti o processi decisionali automatizzati di scoring

1. Nei casi in cui i dati personali contenuti in un SIC siano trattati anche mediante trattamenti o processi decisionali automatizzati di scoring, il gestore ed i partecipanti, fermo restando che i gestori non adottano ai sensi del Regolamento alcuna decisione che può incidere su diritti e libertà degli interessati, assicurano il rispetto dei seguenti principi:

a) tali trattamenti possono essere effettuati solo per l’istruttoria di una richiesta o per la gestione dei rapporti instaurati;

b) i dati relativi a esiti, indicatori o punteggi associati ad un interessato sono elaborati e comunicati dal gestore al solo partecipante che ha ricevuto la richiesta dall’interessato o che ha precedentemente comunicato dati riguardanti il relativo rapporto;

c) i modelli o i fattori di analisi statistica, nonché gli algoritmi di calcolo degli esiti, indicatori o punteggi sono verificati periodicamente con cadenza almeno biennale ed aggiornati in funzione delle risultanze di tali verifiche;

d) quando la richiesta non è accolta, l’interessato può richiedere al partecipante se, per istruire la richiesta, ha consultato dati relativi a esiti, indicatori o punteggi di tipo negativo ottenuti mediante trattamenti o processi decisionali automatizzati di scoring e di fornirgli tali dati, nonché una spiegazione delle logiche di funzionamento dei sistemi utilizzati e delle principali tipologie di fattori tenuti in considerazione nell’elaborazione.

Articolo 11 - Trattamento di dati provenienti da fonti pubbliche e/o da altre fonti

1. Nei casi in cui il gestore di un SIC, direttamente o per il tramite di società controllate o collegate, effettua in ogni forma il trattamento di dati provenienti da fonti pubbliche e/o da altre fonti o comunque fornisce ai partecipanti servizi per accedere a tali dati, fermi restando i limiti e le modalità che le leggi stabiliscono per la loro conoscibilità e pubblicità, il gestore ed i partecipanti assicurano il rispetto dei seguenti principi:

a) i dati provenienti da fonti pubbliche e/o da altre fonti, se registrati, devono figurare in banche di dati personali separate dal SIC;

b) nel caso di accesso del partecipante sia a dati personali contenuti in un SIC sia a dati personali contenuti in una delle banche dati di cui alla lettera a), anche nell'eventualità che gli stessi siano associati tra di essi, il gestore adotta le adeguate misure tecniche ed organizzative al fine di assicurare la separazione e la distinguibilità dei dati provenienti dal SIC rispetto a quelli provenienti dalle banche dati di cui alla lettera a), anche attraverso l´inserimento di idonee indicazioni, eliminando ogni possibilità di equivoco circa la diversa natura ed origine dei dati oggetto dell´accesso;

c) quando la richiesta non è accolta, l’interessato può richiedere al partecipante se, per istruire la richiesta di credito, ha consultato anche dati personali di tipo negativo nelle banche di dati di cui alla lett. a) ed ottenere dettagli circa la fonte da cui provengono i dati medesimi e gli estremi identificativi del gestore del SIC che ha fornito tali informazioni;

Articolo 12 - Misure di sicurezza dei dati

1. I dati personali oggetto di trattamento nell’ambito di un SIC hanno carattere riservato e non possono essere divulgati a terzi, al di fuori dei casi previsti dal Regolamento e dal presente Codice di condotta.

2. Le persone fisiche che, in funzione dell’organizzazione del gestore o dei partecipanti operano sotto l’autorità di detti titolari del trattamento o dei loro responsabili del trattamento ed hanno accesso al SIC, possono trattare i dati personali solo se istruiti in tal senso dal titolare del trattamento mantengono il segreto sui dati personali acquisiti e rispondono della violazione degli obblighi di riservatezza derivanti da un´utilizzazione dei dati o una divulgazione a terzi per finalità diverse o incompatibili con le finalità di cui al presente codice o comunque non consentite.

3. Il gestore ed i partecipanti adottano e sono tenuti a far assumere dai propri eventuali responsabili del trattamento l’impegno ad adottare misure tecniche ed organizzative idonee per garantire un livello di sicurezza adeguato al rischio fin dalla fase della progettazione e per impostazione predefinita. Tali misure comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

4. Il gestore adotta ed è tenuto a far assumere dai propri eventuali responsabili del trattamento l’impegno ad adottare adeguate misure di sicurezza al fine di garantire il regolare funzionamento del SIC e il controllo degli accessi. Questi ultimi sono registrati e memorizzati nel sistema informativo del gestore medesimo o di ogni partecipante presso cui risieda copia della stessa banca dati.

5. In relazione al rispetto degli obblighi di sicurezza, riservatezza e segretezza di cui al presente articolo, il gestore ed i partecipanti impartiscono specifiche istruzioni al personale impiegato e vigilano sulla loro puntuale osservanza, anche attraverso verifiche da parte di idonei organismi di controllo.

Articolo 13 - Notifica di una violazione dei dati personali

1. Ai sensi e nei limiti dell’art. 33 del Regolamento, in caso di violazione di dati personali contenuti nei SIC il gestore comunica la violazione medesima all’autorità di controllo compente e si impegna ad informare i partecipanti senza ingiustificato ritardo e, comunque, entro i termini fissati dal Regolamento, unitamente alla descrizione dettagliata della violazione ed informazioni circa la natura della violazione, il numero approssimativo di interessati in questione nonché le categorie di dati personali trattati, il numero approssimativo di registrazioni di dati personali in questione, il nome e i dati di contatto del responsabile della protezione dei dati, le probabili conseguenze della violazione e le misure adottate o da adottare per porre rimedio alla violazione, mitigare l’impatto sugli interessati e prevenire il ripetersi della violazione. I contenuti della notifica sono quelli indicati nel paragrafo 3 dell’art. 33 del Regolamento.

2. Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche cui i dati personali contenuti nei SIC si riferiscono, il partecipante e/o il gestore sono tenuti, in base agli elementi di cui sono rispettivamente venuti a conoscenza, a comunicare la violazione all’interessato. Fermo restando quanto stabilito nel paragrafo 3 dell’art. 34 del Regolamento, in particolare nel caso che detta comunicazione, nei confronti del singolo interessato, richieda sforzi sproporzionati, il partecipante e/o il gestore procedono ad una comunicazione pubblica, o ad una analoga misura, tramite la quale gli interessati sono informati con analoga efficacia.

Articolo 14 - Trasferimento di dati personali verso paesi terzi o organizzazioni internazionali

I dati personali oggetto di trattamento ai sensi del presente Codice di condotta possono essere trasferiti verso partecipanti, gestori e/o, comunque, altri destinatari, titolari o responsabili del trattamento, ubicati in paesi non appartenenti allo Spazio Economico Europeo, nel rispetto delle condizioni di cui al Capo V del Regolamento.

Articolo 15 - Verifiche sul rispetto del Codice di condotta ed organismo di monitoraggio

Fatti salvi i compiti e i poteri del Garante di cui agli articoli da 56 a 58 del Regolamento, il rispetto del presente Codice di condotta per quanto attiene esclusivamente alle operazioni di trattamento di dati personali poste in essere dai gestori aderenti al presente Codice di condotta è garantito da un apposito organismo di monitoraggio (di seguito “OdM”) costituito e accreditato ai sensi dell'articolo 41 del Regolamento, la cui composizione e il cui funzionamento sono disciplinati nell’Allegato 4 al presente Codice di condotta.

Articolo 16 - Modalità di adesione al Codice di condotta

1. Tutti i gestori di sistemi di informazioni creditizie che non hanno ancora sottoscritto il presente Codice di condotta possono aderirvi in qualsiasi momento inviando formale richiesta all’OdM, corredata da una visura camerale aggiornata e dall’ultimo bilancio approvato. L’OdM verifica l’assenza di circostanze ostative all’adesione del gestore richiedente.

2. Entro 30 (trenta) giorni dall’inoltro della richiesta di adesione, l’OdM, accertato il possesso da parte del richiedente dei necessari requisiti, sentiti i gestori già aderenti, procede a comunicare la nuova adesione al Garante, affinché l’autorità possa aggiornare il registro di cui all’art. 40, paragrafo 11, del Regolamento.

3. L’eventuale mancata accettazione della domanda di adesione al Codice di condotta regolarmente presentata da parte di un gestore dovrà essere brevemente motivata da parte dell’OdM, fermo restando che tale diniego non preclude il successivo rinnovo della domanda di adesione. In quest’ultimo caso, tuttavia, il gestore richiedente dovrà allegare alla nuova istanza una breve nota che illustri le misure adottate per superare le ragioni che avevano condotto al precedente diniego.

Articolo 17 - Revisione del Codice di condotta

Sul presupposto di quanto evidenziato nelle premesse 5 e 6, i gestori che sottoscrivono il presente Codice di condotta proporranno al Garante un nuovo progetto entro un termine massimo di dodici mesi dall’entrata in vigore del presente Codice di condotta, nell’ottica di una coerente regolamentazione del settore, anche attraverso la riduzione delle asimmetrie informative.

Articolo 18 - Disposizioni transitorie e finali

1. Le misure necessarie per l’applicazione del presente Codice di condotta sono adottate dai soggetti tenuti a rispettarlo entro il termine di sei mesi dall’approvazione del presente Codice di condotta.

2. Fermo restando quanto precede, i gestori che sottoscrivono il presente Codice di condotta possono promuovere il riesame e l’eventuale modifica dello stesso, anche alla luce di novità normative, delle prassi applicative del Regolamento, del progresso tecnologico o dell’esperienza acquisita nella sua applicazione.

3. In funzione di quanto indicato alla premessa 6, ai soggetti ivi richiamati si applicano le disposizioni del presente Codice di condotta tra le quali, in particolare, sebbene non siano ivi espressamente citati, quelle contenute nell’articolo 3, nell’articolo 4 comma 5, nell’articolo 5 commi 6 e 8, nell’articolo 6, nell’articolo 8 commi 1, 3 e 4, nell’articolo 9 commi 1 e 3, negli articoli 10, 11, 12, 13, 14 e 18.

Articolo 19 - Entrata in vigore

Il presente Codice di condotta è approvato in data 12/09/2019 con efficacia subordinata all’accreditamento dell’OdM ai sensi dell’art. 41 del Regolamento. In attesa dell’accreditamento dell’OdM i sottoscrittori del presente Codice di Condotta porranno in essere le operazioni di trattamento dei dati personali nel rispetto delle regole e dei principi in esso disciplinati oltre che di ogni altra normativa applicabile.

ALLEGATO 1 – PREAVVISO DI SEGNALAZIONE

Fermi restando gli strumenti già individuati con il provvedimento del Garante del 26 ottobre 2017 (ad esempio la posta elettronica certificata (PEC) con evidenza della consegna del relativo messaggio di invio ad altro indirizzo PEC o posta elettronica semplice), si considera altresì idoneo a garantire l’adempimento dell’obbligo di preavviso di segnalazione del primo ritardo di cui al presente Codice di condotta l’invio tramite vettore con servizio di tracciatura e certificazione dell’avvenuta consegna. Il documento contenente il preavviso di segnalazione viene inviato tramite un servizio di postalizzazione che preveda la tracciatura della spedizione con certificazione dell’avvenuta consegna al destinatario tramite un servizio di localizzazione satellitare GPS nonché la lettura del codice a barre univoco assegnato ad ogni lettera, con evidenza fornita dallo spedizioniere dell’avvenuta consegna comprensiva degli elementi del recapito effettuato.

Inoltre il preavviso, se inviato con una delle modalità di seguito indicate, previamente concordate con l’interessato, si presume conosciuto da parte del destinatario, salvo che questi non provi di essere stato, senza sua colpa, nell’impossibilità di avere notizia della comunicazione:

a) messa a disposizione in un’area riservata ad accesso esclusivo del cliente. Il documento contenente il preavviso è messo a disposizione in un’area riservata alla quale il cliente abbia effettivo accesso (qualora, ad esempio, il cliente abbia già effettuato almeno un accesso in tale area), nell’ambito del sito web del partecipante (home banking o analogo servizio), accompagnata da un messaggio sms, istantaneo o da una email che allerti il cliente circa la presenza in tale area riservata di una comunicazione importante a lui destinata;

b) comunicazione telefonica con registrazione della chiamata. Il preavviso di segnalazione viene comunicato tramite contatto telefonico registrato (al numero fornito dal cliente) previa e documentata verifica dell’identità del soggetto rispondente;

c) in considerazione dell’estrema diffusione di modalità di contatto e comunicazione digitali e innovative, fruibili anche tramite device, il preavviso di segnalazione può essere validamente inviato utilizzando forme di messaggistica istantanea che consentano di tracciare anche l’avvenuta consegna del preavviso.

ALLEGATO 2 - TEMPI DI CONSERVAZIONE

1. I dati personali riferiti a richieste, comunicati dai partecipanti, possono essere conservati in un SIC per il tempo necessario alla relativa istruttoria e comunque non oltre centottanta giorni dalla data di presentazione delle richieste medesime. Se la richiesta di credito non è accolta o è oggetto di rinuncia il partecipante ne dà notizia al gestore con l’aggiornamento mensile di cui al Codice di condotta. In tal caso, i dati personali relativi alla richiesta cui l’interessato ha rinunciato o che non è stata accolta possono essere conservati nel sistema non oltre novanta giorni dalla data del loro aggiornamento con l’esito della richiesta.

2. Le informazioni creditizie di tipo negativo relative a ritardi nei pagamenti, successivamente regolarizzati, possono essere conservate in un SIC fino a:

a) dodici mesi dalla data di registrazione dei dati relativi alla regolarizzazione di ritardi non superiori a due rate o mesi;

b) ventiquattro mesi dalla data di registrazione dei dati relativi alla regolarizzazione di ritardi superiori a due rate o mesi.

3. Decorsi i periodi di cui al comma 2, i dati sono eliminati dal SIC se nel corso dei medesimi intervalli di tempo non sono registrati dati relativi ad ulteriori ritardi o inadempimenti.

4. Il partecipante ed il gestore aggiornano senza ritardo i dati relativi alla regolarizzazione di inadempimenti di cui abbiano conoscenza, avvenuta dopo la cessione del credito da parte del partecipante ad un soggetto che non partecipa al sistema, anche a seguito di richiesta dell’interessato munita di dichiarazione del soggetto cessionario del credito o di altra idonea documentazione.

5. Le informazioni creditizie di tipo negativo relative a inadempimenti non successivamente regolarizzati possono essere conservate nel SIC non oltre trentasei mesi dalla data di scadenza contrattuale del rapporto oppure, in caso di altre vicende rilevanti in relazione al pagamento, dalla data in cui è risultato necessario il loro ultimo aggiornamento, e comunque, anche in quest’ultimo caso, al massimo fino a sessanta mesi dalla data di scadenza del rapporto, quale risulta dal contratto.

6. Le informazioni creditizie di tipo positivo relative ad un rapporto che si è esaurito con estinzione di ogni obbligazione pecuniaria, possono essere conservate nel sistema non oltre sessanta mesi dalla data di cessazione del rapporto o di scadenza del relativo contratto, ovvero dal primo aggiornamento effettuato nel mese successivo a tali date. Tenendo conto del requisito della completezza dei dati in rapporto alle finalità perseguite, le predette informazioni di tipo positivo possono essere conservate ulteriormente nel sistema qualora in quest’ultimo risultino presenti, in relazione ad altri rapporti di credito riferiti al medesimo interessato, informazioni creditizie di tipo negativo concernenti ritardi od inadempimenti non regolarizzati.

7. I dati relativi al primo ritardo nei pagamenti in un rapporto sono utilizzati e resi accessibili agli altri partecipanti nel rispetto dei seguenti termini:

a) nei SIC di tipo negativo, dopo almeno centoventi giorni dalla data di scadenza del pagamento o in caso di mancato pagamento di almeno quattro rate mensili non regolarizzate;

b) nei SIC di tipo positivo e negativo, decorsi sessanta giorni dall’aggiornamento mensile, oppure in caso di mancato pagamento di almeno due rate mensili consecutive, oppure quando il ritardo si riferisce ad una delle due ultime scadenze di pagamento. Nel secondo caso i dati sono resi accessibili dopo l’aggiornamento mensile relativo alla seconda rata consecutivamente non pagata.

8. Prima dell’eliminazione dei dati dal SIC secondo i tempi di conservazione indicati nel presente allegato, il gestore può trasporre i dati su altro supporto, ai fini della limitata conservazione per il tempo necessario e del loro utilizzo, in relazione ad esigenze di rispetto di un obbligo di legge, di difesa di un proprio diritto in sede giudiziaria, amministrativa, arbitrale o di conciliazione (inclusa la fase propedeutica). Il gestore, prima della eliminazione, potrà altresì trasporre i dati su altro supporto, non direttamente accedibile dai partecipanti. Tale base di dati, unitamente a dati resi temporaneamente accessibili a tutti i partecipanti, ed assistita dalle opportune misure e tecniche per garantirne la gestione in sicurezza (ad es. attraverso opportune tecniche di cripting o pseudonimizzazione), potrà essere utilizzata per la verifica, anche comparativa, della predittività delle informazioni contenute nel SIC, per lo sviluppo e la verifica dei modelli di cui all’articolo 10 lett. c) del presente Codice di condotta e per elaborazioni in forma aggregata, anonima o pseudonima, atte a soddisfare esigenze statistiche, normative/regolamentari o di sviluppo di prodotti o servizi dei partecipanti. I gestori ed i partecipanti assicurano che il trasferimento delle anzidette informazioni dal gestore al partecipante abbia luogo in sicurezza e nel rispetto delle finalità su indicate. In ogni caso tali dati non potranno essere conservati per un periodo superiore a 10 anni dalla scadenza dei tempi di conservazione dei dati nel SIC. Tale base di dati potrà essere utilizzata inoltre per fornire dati e informazioni ad autorità di vigilanza, e a Banca d’Italia in particolare, per proprie finalità istituzionali.

9. Le disposizioni del presente Allegato non riguardano la conservazione ad uso interno, da parte del partecipante, della documentazione contrattuale o contabile contenente i dati personali relativi alla richiesta/rapporto.

ALLEGATO 3 – MODELLO DI INFORMATIVA

INFORMATIVA

per tutti gli operatori di SIC - Sistema di Informazioni Creditizie

Come utilizziamo i Suoi dati

La presente informativa di cui agli artt. 13 e 14 del Regolamento UE 679/2016 è resa anche per conto dei sistemi di informazioni creditizie.

Gentile Cliente,

…. in qualità di titolare del trattamento, La informiamo che per dare seguito alla sua richiesta, utilizziamo alcuni dati che La riguardano. Si tratta di informazioni che Lei stesso ci fornisce o che otteniamo consultando alcune banche dati.

Tali banche dati (Sistema di Informazioni Creditizie o SIC) contenenti informazioni circa gli interessati sono consultate per valutare, assumere o gestire un rischio di credito, per valutare l’affidabilità e la puntualità nei pagamenti dell’interessato e sono gestite da privati e partecipate da soggetti privati appartenenti alle categorie che troverà nelle informative fornite dai gestori dei SIC.

Queste informazioni saranno conservate presso di noi; alcune delle informazioni che Lei stesso ci fornisce, assieme alle informazioni originate dal Suo comportamento nei pagamenti riguardo al rapporto che si andrà ad instaurare potranno essere comunicate periodicamente ai SIC (2).

Ciò significa che i soggetti appartenenti alle categorie sopra menzionate, a cui Lei chiederà l’instaurazione di un rapporto potranno sapere se Lei ha presentato a noi una richiesta e se paga regolarmente.

Il trattamento e la comunicazione dei Suoi dati è un requisito necessario per la conclusione del contratto. Senza questi dati potremmo non essere in condizione di dar seguito alla sua richiesta.

La conservazione di queste informazioni da parte delle banche dati viene effettuato sulla base del legittimo interesse del titolare del trattamento a consultare i SIC.

Trattamento effettuato dalla nostra Società

I Suoi dati non verranno da noi trasferiti ad un paese terzo extra UE o a un’organizzazione internazionale. [OVVERO: I Suoi dati verranno da noi trasferiti a … (indicare, in tal caso, attraverso quali strumenti; in particolare, indicare l’esistenza o meno di una decisione di adeguatezza della Commissione UE e, nel caso in cui si faccia riferimento alle adeguate garanzie di cui agli articoli 46 e seguenti del Regolamento, i mezzi per ottenere copia di tali garanzie o il luogo dove sono state rese disponibili)].

Secondo i termini, le modalità e nei limiti di applicabilità stabiliti dalla normativa vigente, Lei ha diritto di conoscere i Suoi dati e di esercitare i diversi diritti relativi al loro utilizzo (rettifica, aggiornamento, cancellazione, limitazione del trattamento, opposizione ecc.).

Lei potrà proporre reclamo all’Autorità Garante per la protezione dei Dati Personali (www.garanteprivacy.it), nonché ricorrere agli altri mezzi di tutela previsti dalla normativa applicabile.

Conserviamo i Suoi dati presso la nostra società per il tempo necessario per gestire il Suo rapporto contrattuale e per adempiere ad obblighi di legge (ad esempio per quanto previsto dall’articolo 2220 del codice civile in materia di conservazione delle scritture contabili).

Per ogni richiesta riguardante i Suoi dati, utilizzi nel Suo interesse il fac-simile presente sul sito ... inoltrandolo alla nostra società:

Partecipante ... Recapiti utili (indirizzo, telefono, fax, e mail)

e/o alle società sotto indicate, cui comunicheremo i Suoi dati:

I Suoi dati potranno/non potranno essere utilizzati nel processo decisionale automatizzato di una richiesta nel caso in cui tale decisione sia necessaria per la conclusione o l’esecuzione del Suo contratto con noi … (inserire dettagli sulla logica utilizzata, l’importanza e le conseguenze di tale trattamento per l’interessato).

Le comunichiamo inoltre che per ogni occorrenza può essere contattato il nostro Responsabile della protezione dei dati al seguente recapito: email … e/o pec …

Trattamento effettuato dal Gestore dei SIC

Al fine di meglio valutare il rischio di credito, nonché l’affidabilità e puntualità nei pagamenti, comunichiamo alcuni dati (dati anagrafici, anche della persona eventualmente coobbligata, tipologia del contratto, importo del credito, modalità di rimborso) ai sistemi di Sistema di Informazioni Creditizie, i quali sono regolati dal relativo Codice di condotta (…) e che rivestono la qualifica di autonomo titolare del trattamento. I dati sono resi accessibili anche ai diversi soggetti privati appartenenti alle categorie che troverà nelle informative fornite dai gestori dei SIC, disponibili attraverso i canali di seguito elencati.

I dati che La riguardano sono aggiornati periodicamente con informazioni acquisite nel corso del rapporto (andamento dei pagamenti, esposizione debitoria residuale, stato del rapporto).

Nell'ambito dei SIC, i Suoi dati saranno trattati secondo modalità di organizzazione, raffronto ed elaborazione strettamente indispensabili per perseguire le finalità sopra descritte, e in particolare saranno…

I Suoi dati sono/non sono oggetto di particolari elaborazioni statistiche al fine di attribuirLe un giudizio sintetico o un punteggio sul Suo grado di affidabilità e solvibilità (cd. credit scoring), tenendo conto delle seguenti principali tipologie di fattori: ...

Alcune informazioni aggiuntive possono esserLe fornite in caso di mancato accoglimento di una sua richiesta.

I SIC cui noi aderiamo sono gestiti da:

1. ESTREMI IDENTIFICATIVI: ... (denominazione)

DATI DI CONTATTO: ...

TIPO DI SISTEMA: positivo e negativo

TEMPI DI CONSERVAZIONE DEI DATI: tali tempi sono indicati nella tabella sotto riportata

USO DI SISTEMI AUTOMATIZZATI DI CREDIT SCORING: si

ESISTENZA DI UN PROCESSO DECISIONALE AUTOMATIZZATO: no

2. ESTREMI IDENTIFICATIVI: ... (denominazione)

DATI DI CONTATTO: ...

TIPO DI SISTEMA: positivo e negativo

TEMPI DI CONSERVAZIONE DEI DATI: tali tempi sono indicati nella tabella sotto riportata

USO DI SISTEMI AUTOMATIZZATI DI CREDIT SCORING: si

ESISTENZA DI UN PROCESSO DECISIONALE AUTOMATIZZATO: no

3. ESTREMI IDENTIFICATIVI: ... (denominazione)

DATI DI CONTATTO: ...

TIPO DI SISTEMA: positivo e negativo

TEMPI DI CONSERVAZIONE DEI DATI: tali tempi sono indicati nella tabella sotto riportata

USO DI SISTEMI AUTOMATIZZATI DI CREDIT SCORING: si

ESISTENZA DI UN PROCESSO DECISIONALE AUTOMATIZZATO: no

Lei ha diritto di accedere in ogni momento ai dati che La riguardano. Si rivolga alla nostra società [INDICARE L'UNITÁ O PERSONA RESPONSABILE PER IL RISCONTRO ALLE ISTANZE DI CUI Agli artt. da 15 a 22 del Regolamento n. 679/2016], oppure ai gestori dei SIC, ai recapiti sopra indicati.

Allo stesso modo può richiedere la correzione, l'aggiornamento o l'integrazione dei dati inesatti o incompleti, ovvero la cancellazione o il blocco per quelli trattati in violazione di legge, o ancora opporsi al loro utilizzo per motivi legittimi da evidenziare nella richiesta (artt. da 15 a 22 del Regolamento UE escluso art. 20).

Tempi di conservazione dei dati nei SIC:

[tabella]

ALLEGATO 4 – ORGANISMO DI MONITORAGGIO

1. L’OdM sarà esterno e composto da tre componenti, uno dei quali designato dal CNCU (Consiglio nazionale consumatori e utenti) sulla base delle candidature presentate da parte delle associazioni maggiormente rappresentative degli interessati a livello nazionale, un altro designato all’unanimità dai gestori aderenti al presente Codice di condotta in conformità con i criteri fissati dalle Linee-guida sui codici di condotta e organismi di monitoraggio n. 1/2019 adottate in data 12 febbraio 2019 come modificate ed approvate in data 4 giugno 2019 ed il terzo nominato dai due così designati, il quale dovrà essere una persona di riconosciuta esperienza in materia di protezione dei dati personali, con particolare riguardo al settore dei SIC, e ricoprirà il ruolo di presidente. L’incarico, eventualmente rinnovabile, avrà durata quinquennale. Prima della scadenza del mandato dell’OdM, i gestori provvederanno a richiedere l’accreditamento dell’organismo nella nuova composizione. Laddove l’OdM, ai fini di un efficiente svolgimento dei propri compiti, avesse necessità di personale di supporto, il relativo incarico potrà essere affidato anche a consulenti esterni.

2. Ciascuno dei componenti dell’OdM deve garantire e mantenere per l’intera durata dell’incarico i seguenti requisiti:

a. Onorabilità

Non potranno essere nominati coloro che:

• si trovino in una delle condizioni di ineleggibilità o decadenza previste dall’art. 2382 del codice civile;

• siano stati radiati da albi professionali per motivi disciplinari;

• abbiano riportato condanna, anche se con pena condizionalmente sospesa, salvi gli effetti della riabilitazione, per uno dei delitti previsti dal R.D. 16 marzo 1942, n. 267 (legge fallimentare) e successive modifiche o integrazioni, o per uno dei delitti previsti dal titolo XI del Libro V del codice civile, o per un delitto non colposo, per un tempo non inferiore ad un anno; per un delitto contro la pubblica amministrazione, contro la fede pubblica, contro il patrimonio, contro l’economia pubblica;

• abbiano riportato una condanna, anche non definitiva, per uno dei reati previsti dal D.lgs. n. 231/2001 e s.m.i.;

• fermo quanto sopra disposto e salvi gli effetti della riabilitazione, siano stati sottoposti a misure di prevenzione disposte dall'autorità giudiziaria, ovvero siano stati condannati con sentenza irrevocabile per un qualsiasi reato.

b. Autonomia e indipendenza

Al fine di garantire la piena autonomia dei componenti dell’OdM, evitando qualsiasi forma di interferenza, condizionamento o conflitto di interessi, è previsto che sia l’organismo nel proprio complesso che i singoli componenti dello stesso, non debbano subire alcuna ingerenza nell’esercizio delle proprie attività da parte dei gestori aderenti al presente Codice di condotta. Ciascun componente dell’OdM deve rispondere a requisiti di indipendenza rispetto sia ai gestori che alle associazioni rappresentanti degli interessati. Nello svolgimento delle proprie funzioni di controllo, inoltre, l’OdM non sarà soggetto ad alcun potere gerarchico e disciplinare da parte dei gestori e si relazionerà direttamente con gli stessi. L’OdM adotterà le proprie decisioni senza che alcuno dei gestori possa sindacarle.

c. Professionalità

Ai fini di un corretto ed efficiente svolgimento dei propri compiti, è essenziale che ciascun componente dell’OdM garantisca una adeguata professionalità, da intendersi come l’insieme delle conoscenze, delle esperienze e degli strumenti necessari ad un adeguato svolgimento delle funzioni assegnate. Per tale ragione, i componenti dovranno conoscere la materia dei sistemi di informazioni creditizie, con particolare riguardo ai profili di protezione dei dati personali.

3. Le attività dell’OdM, debitamente rendicontate, saranno finanziate, secondo criteri di economicità ed efficienza, da parte di ciascuno dei gestori aderenti al presente Codice di condotta secondo quote, da pagare alla scadenza di ogni trimestre, determinate dai gestori medesimi secondo procedure di finanziamento che non pregiudichino l’indipendenza dell’OdM.

L’OdM si doterà di un manuale contenente specifiche istruzioni operative, definito d’intesa con i gestori aderenti, nel quale saranno dettagliate l’organizzazione e la gestione operativa ed economica dell’OdM medesimo.

4. Ai fini del controllo del rispetto del presente Codice di condotta da parte di tutti i gestori ad esso aderenti, l’OdM potrà in ogni momento, anche senza necessità di preavviso, svolgere - anche delegandole a soggetti terzi - tutte le verifiche ritenute opportune, ivi incluse ispezioni, sia in remoto che presso la sede dei gestori, i quali saranno tenuti a prestare la massima collaborazione ai fini del proficuo svolgimento di tali attività.

5. L’OdM sarà altresì chiamato a gestire i reclami eventualmente insorti esclusivamente tra gestori ed interessati, relativamente a violazioni del presente Codice di condotta. Fatto salvo il diritto dell’interessato alla presentazione di un reclamo al Garante e/o all’avvio di procedure giudiziali di tutela dei propri diritti ai sensi degli artt. 77 e 79 del Regolamento, ogni interessato che ritenga che i propri diritti e le proprie libertà siano stati lesi da uno o più trattamenti svolti da un gestore aderente al presente Codice di condotta, potrà proporre reclamo all’OdM inviando apposita segnalazione scritta che dovrà contenere una breve descrizione dei fatti e del pregiudizio lamentato. Il reclamo riguardante l’esercizio dei diritti potrà essere proposto all’OdM esclusivamente dopo aver infruttuosamente esercitato, nei confronti del Gestore, i diritti di cui all’art.9 e trascorsi i termini in esso previsti.

La presentazione di un reclamo al Garante o l’avvio di un procedimento in sede giudiziaria ordinaria o amministrativa preclude l’avvio, o determina l’improcedibilità, qualsiasi sia lo stato di svolgimento, di una procedura avente il medesimo oggetto o comunque attinente alle medesime questioni dinanzi all’OdM.

6. Entro cinque (5) giorni lavorativi dal ricevimento del reclamo da parte dell’interessato, l’OdM dovrà darne notizia al gestore coinvolto, affinché quest’ultimo possa, entro i successivi trenta (30) giorni lavorativi, presentare le proprie memorie. Garantendo la pienezza del contraddittorio in ogni fase della procedura, qualora gli elementi acquisiti già consentano all’OdM di definire la controversia, quest’ultimo dovrà adottare la propria decisione entro quarantacinque (45) giorni lavorativi dalla data di deposito delle proprie memorie da parte del gestore. Diversamente, l’OdM potrà richiedere ad entrambe le parti ulteriori precisazioni, così come l’acquisizione di documenti o lo svolgimento di audizioni, raccogliendo in ogni caso tutti gli elementi necessari alla definizione del reclamo, che non potrà avvenire oltre novanta (90) giorni lavorativi successivi alla data di presentazione dello stesso da parte dell’interessato.

7. In conseguenza dei controlli effettuati in esecuzione dei propri poteri, o delle decisioni adottate all’esito della procedura di reclamo di cui al precedente comma, l’OdM potrà decidere, fornendo adeguata motivazione, di applicare al gestore, in dipendenza della gravità della violazione eventualmente riscontrata o della numerosità delle violazioni, una delle seguenti misure, da applicare secondo un criterio di gradualità:

a. un richiamo formale indirizzato esclusivamente al gestore;

b. in caso di reiterazione della condotta di cui al punto precedente, la segnalazione al Garante del richiamo di cui sopra;

c. in caso di reiterazione della condotta di cui al punto precedente, la sospensione temporanea dall’adesione al presente Codice di condotta;

d. in caso di reiterazione della condotta di cui al punto precedente, la revoca dall’adesione al presente Codice di condotta.

Alla scadenza di ciascun semestre, eccezion fatta per la revoca e la sospensione temporanea dell’adesione che dovrà essere tempestivamente comunicata, l’OdM dovrà fornire al Garante un resoconto riassuntivo dei controlli e delle verifiche effettuate, delle procedure di reclamo definite e delle misure eventualmente adottate ai sensi del comma che precede.

_______________________________________

NOTE

(1) L’attività di leasing operativo - caratterizzata dall’assenza dell’opzione finale di acquisto - è consentita sia a società commerciali che a soggetti vigilati dalla Banca d’Italia (banche o intermediari finanziari); in quest’ultimo caso si tratta di “attività connessa” secondo quando stabilito dalla Banca d’Italia nelle Disposizioni di vigilanza per gli intermediari finanziari (Circolare 3 aprile 2015, n. 288, Titolo I, cap. 3, sez. III).

(2) Tali dati, nei limiti delle prescrizioni del Garante, appartengono alle seguenti categorie:

a) dati identificativi, anagrafici e sociodemografici: codice fiscale, partita Iva, dati di contatto, documenti di identità, tessera sanitaria, codice iban, dati relativi all’occupazione/professione, al reddito, al sesso, all’età, alla residenza/domicilio, allo stato civile, al nucleo familiare);

b) dati relativi alla richiesta/rapporto, descrittivi, in particolare, della tipologia di contratto, dell'importo, delle modalità di rimborso/pagamento e dello stato della richiesta o dell'esecuzione del contratto;

c) dati di tipo contabile, relativi ai pagamenti, al loro andamento periodico, all'esposizione debitoria anche residua e alla sintesi dello stato contabile del rapporto;

d) dati relativi ad attività di recupero o contenziose, alla cessione del credito o a eccezionali vicende che incidono sulla situazione soggettiva o patrimoniale di imprese, persone giuridiche o altri enti.

Fonte: Garante Privacy

Banca dati