Nuovo codice di condotta per i sistemi di informazione creditizia

Avv. Vincenzo Colarocco

Al fine di garantire la compliance con il Regolamento UE 679/2016 (“GDPR”) ed il riformato Codice Privacy, l’Autorità Garante per la protezione dei dati personali ha di recente approvato, con provvedimento del 12 settembre 2019, il nuovo codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti (cosiddetti “SIC”).

I SIC costituiscono delle banche dati in cui sono contenuti una pluralità di dati personali riferibili a soggetti richiedenti, ad esempio, la concessione di un credito, la dilazione di un pagamento, un finanziamento o altra analoga facilitazione finanziaria. Detti dati saranno trattati per perseguire finalità quali la valutazione di un rischio di credito, la valutazione dell’affidabilità e della puntualità nei pagamenti dell’interessato, la prevenzione del rischio di frodi e furti di identità.

Il Garante ha, quindi, dettato una serie di prescrizioni ed accortezze – che troveranno applicazione sia da parte dei “gestori” dei SIC che dai soggetti abilitati alla relativa consultazione – da porre in essere in relazione al trattamento delle suesposte categorie di dati personali. In particolare, si prevede che:

–          dovranno essere attuate misure idonee a garantire la correttezza, l’aggiornamento periodico e l’esattezza dei dati;

–          non potranno costituire oggetto di trattamento le categorie particolari di dati personali di cui all’art. 9 del GDPR;

–          il SIC risulterà accessibile solo ad un numero limitato di soggetti espressamente istruiti in tale senso;

–          quando la richiesta di credito formulata da un interessato non è accolta, verrà a questi comunicato se è stato previamente consultato un SIC e, in tal caso, gli saranno altresì indicati gli estremi identificativi del SIC di specie.

Il Garante ha inoltre espressamente sottolineato come i dati censiti nelle descritte banche dati potranno essere trattati senza il consenso degli interessati, riconducendo la base giuridica del trattamento nel legittimo interesse perseguito dai titolari in relazione alle suelencate finalità (ai sensi dell’art. 6, comma 1, lett. f del GDPR); tale circostanza dovrà trovare spazio all’interno dell’informativa da fornire agli interessati. Informativa che, come sottolineato dalla medesima Autorità, assume un’importanza decisiva intenzione ulteriormente confermata dall’aver allegato un modello di informativa privacy al Codice di Condotta (cfr. Allegato 3 del provvedimento del 12 settembre 2019).

In conclusione, risulta opportuno accennare all’organismo di monitoraggio che vigilerà sull’operato dei SIC (ancora in fase di accreditamento), che sarà in particolare chiamato a verificare il rispetto delle prescrizioni di cui al codice di condotta in esame e alla normativa vigente per quanto attiene alle operazioni di trattamento di dati personali poste in essere all’interno delle banche dati.