Studio Legale Tidona e Associati

HOME

CONTATTO

CHI SIAMO

 

Magistra Banca e Finanza | Studio Legale Tidona e Associati | Diritto Bancario e Finanziario

Rivista di Diritto Bancario e Finanziario
Per contattarci

CERCA ARTICOLI:

Il nuovo codice deontologico per le centrali rischi private

Di Giorgia Marsicano, Avvocato

19 settembre 2005

 

Il 1° gennaio 2005 è entrato in vigore il nuovo Codice deontologico delle Centrali rischi private, strumento importante per la corretta definizione del rapporto che intercorre tra i consumatori e gli Istituti di credito (e le finanziarie in generale).
 

L’esigenza di emanare un codice di deontologia (pubblicato sulla G.U. n. 300 del 23 dicembre 2004), deriva dal fatto che sono emersi, soprattutto nel corso degli ultimi anni, diversi problemi relativi all’esattezza, alla completezza ed alla corretta gestione delle informazioni riguardanti diversi soggetti richiedenti l’accesso al credito e contenute nelle banche dati consultate dai vari operatori finanziari prima di concedere un prestito.
 

Le attuali “Centrali rischi private”, infatti, erano sorte senza una base normativa prima della legge sulla privacy del 1996: per anni, pertanto, si sono determinati innumerevoli contenziosi sulle informazioni relative ai c.d. “cattivi pagatori”, sulla loro esattezza e sui tempi di conservazione delle informazioni pregiudizievoli, che duravano cinque anni ed oltre.
 

Un rilevante numero di persone lamentava una lesione della propria dignità e reputazione, ed effetti negativi sull’accesso al credito, sull’iniziativa privata, sulle proprie relazioni sociali e professionali: al centro delle controversie i tempi eccessivamente lunghi di conservazione specie per piccoli ritardi nei pagamenti o mancati pagamenti di lievi importi, informazioni non sempre esatte o aggiornate, resistenze burocratiche nel correggere i dati.
 

Ora un Codice deontologico vincolante sul piano normativo fissa nuove garanzie per gli interessati; chiarisce cosa è lecito raccogliere e come mettere legittimamente in circolazione notizie relative a prestiti, finanziamenti, dilazioni di pagamento, acquisti rateali di beni al consumo, altre facilitazioni finanziarie; delinea una maggiore distinzione tra informazioni relative a lievi indebitamenti da un lato e sovraesposizioni finanziarie o artifizi e raggiri dall’altro; prevede tempi più brevi di conservazione in rete dei dati relativi a lievi inadempimenti nonché informazioni più selezionate, individuate meglio nella loro origine e aggiornate più accuratamente.
 

Il nuovo Codice, costituito da 14 articoli, è stato varato dal Garante della protezione dei dati personali e sottoscritto dalle Associazioni rappresentative delle c.d. “Centrali rischi private” (CRIF, EXPERIAN, CTC), dalle Associazioni di categoria interessate (tra cui l’ABI, Associazione Bancaria Italiana) e dalle Associazioni di consumatori.
 

Le linee guida che hanno determinato l’adozione del Codice deontologico sono contenute già nel preambolo, laddove viene espressamente sancito il principio secondo cui il trattamento dei dati personali effettuato nell’ambito dei sistemi informativi di cui sono titolari soggetti privati, utilizzati a fini di credito al consumo o comunque riguardanti l’affidabilità e la puntualità dei pagamenti, debba svolgersi nel pieno rispetto dei diritti, delle libertà fondamentali e della dignità delle persone interessate, in particolare del diritto alla protezione dei dati personali, del diritto alla riservatezza e del diritto all’identità personale.
 

Inoltre, il Codice esclude l’applicabilità delle disposizioni in esso contenute alle Centrali rischi gestite da soggetti pubblici e, in particolare, al servizio di centralizzazione dei rischi gestito dalla Banca d’Italia (c.d. Centrale rischi della Banca d’Italia), per il quale vale ancora la disciplina contenuta nel Testo Unico delle leggi in materia bancaria e creditizia (D.Lgs. n. 385/93) e nella deliberazione del CICR del 16 maggio 1962.
 

Dopo aver espressamente chiarito (art. 1) il significato delle definizioni contenute nel Codice, l’art. 2 in materia di finalità del trattamento dei dati contenuti in un sistema di informazione creditizia, prevede che i dati personali possono essere trattati solo per finalità correlate alla tutela del credito ed al contenimento dei relativi rischi e, in particolare, per valutare la situazione finanziaria ed il merito creditizio degli interessati o, comunque, la loro affidabilità e puntualità nei pagamenti.
 

Al fine di garantire una maggior tutela, viene espressamente previsto che le informazioni presenti nei data base non potranno essere usate per scopi diversi, specie se relativi a ricerche di mercato e promozione, pubblicità e vendita diretta di prodotti e servizi.
 

Anche il dettato dell’art. 3 è sufficientemente chiaro poiché prevede che le informazioni creditizie trattabili devono riguardare solo dati relativi 1) al debitore principale; 2) agli eventuali coobligati (ossia coloro che rispondono solidalmente con il debitore principale del debito); 3) agli eventuali garanti (ossia coloro che, nel caso in cui il debitore non adempia, possono essere escussi dal creditore); 4) in ogni caso i dati devono essere compatibili con la richiesta e con le successive vicende collegate alla gestione del credito.
 

Il dato personale, inoltre, deve avere tre caratteristiche fondamentali per il suo legittimo trattamento:
• deve essere di tipo obiettivo, ossia legato a parametri ben individuati, (data di nascita, codice fiscale, ecc);
• deve essere strettamente pertinente rispetto alle finalità perseguite (non possono essere trattati dati che non riguardano la richiesta di credito);
• non deve essere eccedente rispetto alle finalità perseguite: ad esempio non può essere trattato l’indirizzo e-mail del garante che ha già fornito un indirizzo di corrispondenza.
 

Inoltre si prevede che i dati identificativi della banca che ha comunicato i dati personali, e che sono anch’essi registrati nella centrale rischi, non debbano essere a conoscenza di altre banche.
 

Tutti i dati personali da inserire nell’archivio, che devono essere congrui e completi, devono essere ricevuti esclusivamente da istituti partecipanti (art. 4) che dovranno, a questo fine, adottare idonee procedure di verifica per garantire la loro lecita utilizzabilità nel sistema, nonché la loro correttezza ed esattezza: a questo punto i dati sono registrati nel sistema di informazioni creditizie e resi disponibili a tutti i partecipanti i quali sono tenuti a verificare con cura i dati medesimi nonché a rispondere tempestivamente alle richieste di verifica del gestore.
 

Di fondamentale importanza è il successivo art. 5, relativo all’informativa: infatti, al momento della raccolta dei dati personali relativi a richieste/rapporti di credito, il partecipante ha l’obbligo di informare l’interessato anche con riguardo al trattamento dei dati personali effettuato nell’ambito di un sistema di informazioni creditizie; tale informativa reca, in modo chiaro e preciso, nell’ambito della descrizione delle finalità e delle modalità del trattamento, tutta una serie di informazioni che l’articolo riporta in modo preciso.
 

L’art. 6 riguarda la conservazione e l’aggiornamento dei dati per i quali sono stati individuati determinati limiti temporali rispettivamente per la richiesta di finanziamento (tempo necessario alla relativa istruttoria e comunque non oltre 180 giorni dalla data di presentazione della richiesta; ma se la richiesta di credito non è accolta o è oggetto di rinuncia, i dati personali relativi alla richiesta medesima possono essere conservati nel sistema non oltre trenta giorni dalla data del loro aggiornamento) e per l’ipotesi di morosità.
 

In quest’ultimo caso bisogna distinguere:
1) le informazioni creditizie che riguardano ritardi nei pagamenti successivamente regolarizzati, possono essere conservate fino a:
a) 12 mesi dalla data di registrazione dei dati relativi alla regolarizzazione di ritardi non superiori a due rate o mesi;
b) 24 mesi dalla data di registrazione dei dati relativi alla regolarizzazione di ritardi superiori a due rate o mesi.
Decorsi tali periodi i dati sono eliminati dal sistema di informazioni creditizie se nel corso dei medesimi intervalli di tempo non sono registrati dati relativi ad ulteriori ritardi o inadempimenti.
2) le informazioni creditizie che sono invece relative a inadempimenti non successivamente regolarizzati, possono essere conservate nel sistema di informazioni creditizie:
a) non oltre 36 mesi dalla data di scadenza contrattuale del rapporto;
b) in caso di altre vicende rilevanti in relazione al pagamento, dalla data in cui è risultato necessario il loro ultimo aggiornamento o comunque dalla data di cessazione del rapporto.

L’art. 7 concerne l’utilizzazione dei dati: il partecipante può accedere al sistema di informazioni creditizie anche mediante consultazione di copia della relativa banca, rispetto a dati per i quali sussiste un suo giustificato interesse, riguardante esclusivamente il richiedente, i coobbligati e i garanti eventuali; rimane il limite della oggettiva necessità di trattare tali dati per valutare la situazione finanziaria ed il merito creditizio dei richiedenti.
 

Per motivi di sicurezza, il sistema di informazioni creditizie è accessibile dal partecipante e dal gestore solo da un numero limitato, rispetto all’intera organizzazione del titolare, di responsabili ed incaricati del trattamento, designati per iscritto.
 

Di estrema importanza è il successivo art. 8 che prevede le modalità di accesso da parte degli interessati che possono esercitare i propri diritti, secondo le modalità stabilite dal Codice sulla privacy, sia presso il gestore che presso i partecipanti che li hanno comunicati.
 

L’interessato, quando esercita i propri diritti, dovrà indicare il Codice fiscale e/o la Partita Iva, al fine di agevolare la ricerca dei dati che lo riguardano nel sistema di informazioni creditizie; da parte sua il partecipante al quale è rivolta una richiesta fornisce direttamente riscontro al richiedente e dispone le eventuali modifiche.
 

L’art. 9 riguarda l’uso di tecniche o sistemi automatizzati di credit scoring: in tali ipotesi il gestore e i partecipanti sono obbligati ad assicurare il rispetto dei seguenti principi:
• unicità dello scopo;
• unicità della comunicazione ed inaccessibilità da parte degli altri partecipanti;
• verifica periodica dei modelli utilizzati e degli algoritmi di calcolo e relativo aggiornamento;
 

Una regola particolare è stata prevista per le ipotesi nelle quali la richiesta di credito non è stata accolta: il partecipante deve comunicare all’interessato se, per istruire la richiesta di credito, ha consultato dati relativi a giudizi, indicatori o punteggi di tipo negativo mediante l’uso di tecniche o sistemi automatizzati di credit scoring e, su sua richiesta, gli fornisce i dati nonché una spiegazione delle logiche di funzionamento dei sistemi utilizzati e delle principali tipologie di fattori tenuti in considerazione nell’elaborazione.
 

Regole particolari sono previste (art. 10) per il trattamento dei dati provenienti da fonti pubbliche (pubblici registri, elenchi, atti o documenti conoscibili da chiunque): tali dati personali, se registrati, devono figurare in banche dati personali separate dal sistema di informazioni creditizie e non interconnesse a tale sistema. Anche in questo caso si tratta di una misura che tende ad evitare la commistione dei dati e che, probabilmente, tutela il richiedente più di quanto non sembri.
 

L’art. 11 riguarda le misure di sicurezza dei dati personali oggetto di trattamento nell’ambito di un sistema di informazioni creditizie: essi hanno carattere riservato e non possono essere divulgati a terzi, al di fuori dei casi previsti dal Codice e negli articoli precedenti. Invero, le persone fisiche che, in qualità di responsabili o di incaricati del trattamento, hanno accesso al sistema di informazioni creditizie, hanno l’obbligo di mantenere il segreto sui dati personali acquisiti e rispondono della violazione degli obblighi di riservatezza derivanti da un’utilizzazione dei dati o una divulgazione a terzi per finalità diverse od incompatibili con le finalità previste dal Codice o comunque non consentite.
 

Ed è proprio in relazione al rispetto di tali obblighi di sicurezza, riservatezza e segretezza, che il gestore ed i partecipanti impartiscono specifiche istruzioni per iscritto ai rispettivi responsabili ed incaricati del trattamento e vigilano sulla loro puntuale osservanza, anche attraverso verifiche da parte di idonei organismi di controllo. In particolare, per quanto riguarda la posizione del gestore, egli ha l’obbligo di adottare adeguate misure di sicurezza al fine di garantire il corretto e regolare funzionamento del sistema di informazioni creditizie, nonché il controllo degli accessi.
 

Inoltre, il nuovo codice deontologico prevede, all’art. 12, le misure sanzionatorie applicabili, oltre alle sanzioni penali, civili ed amministrative, che sono previste d’intesa tra i gestori ed i partecipanti, anche per il tramite delle Associazioni che hanno sottoscritto il Codice e comprendono:
- il richiamo formale;
- la sospensione;
- la revoca dell’autorizzazione ad accedere al sistema di informazioni creditizie;
- nei casi più gravi anche la pubblicazione della notizia della violazione su uno o più quotidiani o periodici nazionali, a spese del contravventore.
 

Gli artt. 13 e 14 prevedono infine le disposizioni transitorie e finali.
 

Relativamente alle forme di tutela, vi è da specificare che il nuovo Codice deontologico non prevede disposizioni particolari: pertanto valgono le regole generali previste dall’art. 145 del D. Lgs. n. 196/2003 per il quale il soggetto interessato ha due alternative:
1) presentare ricorso al Garante (art. 141 del D. Lgs. n. 196/2003): l’interessato può rivolgersi al Garante attraverso a) un reclamo circostanziato, per rappresentare una violazione della disciplina rilevante in materia di trattamento dei dati personali; b) una segnalazione, al fine di sollecitare un controllo da parte del Garante sulla disciplina medesima; c) un ricorso, se intende far valere specifici diritti.
2) adire l’autorità giudiziaria (ex art. 152 D. Lgs. 196/2003): la relativa azione si propone con ricorso depositato nella cancelleria del Tribunale del luogo ove risiede il titolare del trattamento.
 

La scelta comporta delle conseguenze importanti poiché adire il garante significa poter chiedere l’inibitoria del comportamento lesivo, ma non l’eventuale risarcimento dei danni, cosa che invece può essere richiesta al Giudice ordinario.

Elenco completo degli articoli

 

Si iscriva alla Newsletter per ricevere gli approfondimenti

 

Raccolta di Giurisprudenza in Omaggio:

IL CONTENZIOSO SUL MUTUO BANCARIO

Clicca qui per richiedere la Raccolta in omaggio

 
 
 

© COPYRIGHT TIDONA

Tutti i contenuti sono protetti dal diritto d'autore. Ogni utilizzo non autorizzato sarà perseguito ai sensi di legge.

RIPRODUZIONE VIETATA

 

 

 

Vedi tutti gli articoli
NOTE OBBLIGATORIE per la citazione o riproduzione degli articoli e dei documenti pubblicati in Magistra Banca e Finanza
È consentito il solo link dal proprio sito alla pagina della rivista che contiene l'articolo di interesse.
È vietato che l'intero articolo, se non in sua parte (non superiore al decimo), sia copiato in altro sito;  anche in caso di pubblicazione di un estratto parziale è sempre obbligatoria l'indicazione della fonte e l'inserimento di un link diretto alla pagina della rivista che contiene l'articolo.
Per la citazione in Libri, Riviste, Tesi di laurea, e ogni diversa pubblicazione, online o cartacea, di articoli (o estratti di articoli) pubblicati in questa rivista è obbligatoria l'indicazione della fonte, nel modo che segue:
Autore, Titolo, in Magistra, Banca e Finanza - www.magistra.it - ISSN: 2039-7410, anno
Esempio: CASTIGLIONI M., La securitization in Italia, in Magistra Banca e Finanza - Tidona.com - ISSN: 2039-7410, 2010
Studio Legale Tidona | Diritto Bancario e Finanziario
 
In questo sito web utilizziamo cookies tecnici per migliorare la Sua navigazione. Continuando la navigazione acconsente al loro uso. Maggiori informazioni alla nostra cookie policy.

stampa questa pagina

© copyright 1998-2009 Studio Legale Tidona e Associati | Tidona.com |