Il Codice di condotta dei SIC (sistemi di informazione creditizia)
Con il nuovo “Codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti” (proposto da alcune associazioni di categoria e approvato dal Garante dopo l’integrale revisione del vecchio Codice deontologico divenuto oramai vetusto alla luce del GDPR e della normativa nazionale in materia di protezione dei dati personali) sono state previste forme rafforzate di tutela per i consumatori censiti nelle banche dati del settore creditizio nonché trasparenza sul funzionamento degli algoritmi che analizzano il rischio “finanziamenti” e l’apertura al Fintech e alle nuove tecnologie.
L’approvazione dei suddetto Codice per i “SIC” (Sistemi di informazioni creditizie) segue quello relativo alle informazioni commerciali e va a delineare il nuovo quadro regolatorio alla luce del quale andranno svolte le attività dei players del settore.
Va evidenziato che le associazioni delle imprese del settore che hanno sottoscritti i codici e si sono impegnate da subito al loro rispetto, compongono la maggior parte dell’attuale mercato mentre l’”avvallo” del Garante ne fa appendere appieno il loro modello di riferimento per tutti i titolari del trattamento che appartengono alle categorie in questione.
Il nuovo contesto regolatorio è necessario per adeguare l’analisi del rischio di credito relativo a mutui, prestiti, leasing, noleggio a lungo termine, prestiti tra privati tramite piattaforme fintech all’economia digitale che sta iniziando a “contagiare” il settore finanziario.
Si tratta di situazioni frequenti, quotidiane e attuali nelle quali il consumatore acquista a rate un bene di consumo oppure chiede un finanziamento e l’andamento dei pagamenti viene registrato dai gestori delle informazioni di credito.
Per agevolare il funzionamento corretto del mercato finanziario e del credito i dati dei consumatori censiti potranno essere trattati sulla base giuridica costituita dal legittimo interesse delle imprese aderenti al SIC a fronte della garanzia del rispetto di tutti i diritti previsti dal GDPR.
Gli interessati godranno ovviamente dei diritti previsti dal GDPR consistenti nel diritto di conoscere i dati trattati, rettifica, cancellazione e opposizione al trattamento.
Cosa sono i SIC.
Sono banche dati contenenti informazioni relative a richieste di finanziamenti in particolar modo di quelle su pagamenti, ritardi o inadempimenti delle rate.
Queste banche dati sono gestite da soggetti che mettono le suddette informazioni a disposizione di altri soggetti (es. istituti di credito, finanziarie, venditori che vendono beni a rate, fornitori di servizi di telecomunicazioni, ecc.) che potranno valutare le circostanze dell’erogazione di un finanziamento basandosi sulle informazioni presente nei SIC.
Detti soggetti utilizzatori sono anche i primi “alimentatori” dei SIC i quali svolgono quindi un’importante funzione di condivisione delle informazioni tra i players del settore del credito al consumo.
È ovvio che tale attività deve essere svolta con tutte le garanzie di tutela dei dati personali dei consumatori censiti nel SIC. Da qui la necessità di regole condivise formalizzate nel Codice SIC.
Finalità dei trattamenti dei dati dei consumatori.
In perfetta aderenza al principio di finalità, il trattamento dei dati personali contenuti in un SIC potrà essere effettuato dal gestore e dagli altri partecipanti, ognuno per le finalità di propria competenza, esclusivamente per finalità connesse alla valutazione, all’assunzione o alla gestione di un rischio di credito, alla valutazione dell’affidabilità e della puntualità nei pagamenti (incluse la prevenzione del rischio di frodi e del furto d’identità) del consumatore interessato (art. 3 Codice SIC).
Base giuridica dei trattamenti.
Il gestore e i partecipanti ai SIC non dovranno acquisire il consenso degli interessati in quanto la base giuridica “legittimante” i trattamenti consiste nel legittimo interesse dei partecipanti/utilizzatori dei SIC alla:
- corretta valutazione dell’affidabilità e della puntualità dei pagamenti dell’interessato;
- corretta misurazione del merito e del rischio creditizio;
- prevenzione del rischio di frode;
- prevenzione del rischio del furto d’identità.
Informativa “rafforzata”.
Al momento della raccolta dei dati personali relativi a richieste o rapporti, l’interessato deve essere informato in modo chiaro e preciso ai sensi degli artt. 13 e 14 GDPR dall’aderente al SIC anche con riguardo ai trattamenti dei dati personali che verranno effettuati nell’ambito di un SIC.
Dovranno in particolare essere indicati all’interessato (art. 6, 3° comma del Codice SIC):
- estremi identificativi e dati di contatto dei SIC cui sono comunicati i dati personali o presso il quale tali dati sono consultati e dei rispettivi gestori;
- categorie di partecipanti;
- i tempi di conservazione dei dati nei SIC, cui sono comunicati;
- le modalità di organizzazione, raffronto ed elaborazione dei dati, nonché eventuale uso di trattamenti o processi decisionali automatizzati di scoring;
- le modalità per l’esercizio da parte degli interessati dei diritti previsti dal Regolamento;
- eventuali trasferimenti di dati personali in paesi non facenti parte dello Spazio Economico Europeo.
L’informativa, che dovrà essere fornita secondo il modello previsto dall’Allegato 3 del Codice SIC, nel caso venisse inserita in un modulo usato dal partecipante dovrà essere adeguatamente evidenziata e collocata in modo autonomo e unitario in parti o quadri distinti da quelli relativi ad eventuali altre finalità del trattamento effettuate dallo stesso partecipante.
Eventuali “aggiornamenti” o modifiche relativi alle indicazioni rese ai sensi dell’art. 6, 3° comma del Codice SIC può essere fornita attraverso comunicazioni periodiche o a mezzo sito internet e a richiesta degli interessati.
Categorie e requisiti dei dati (art. 4 del Codice SIC)
Nell’ambito di ogni richiesta/rapporto segnalato ad un SIC potranno essere trattati
- dati identificativi, anagrafici e sociodemografici (es. codice fiscale, partita Iva, dati di contatto, documenti di identità, tessera sanitaria, codice Iban, dati relativi alla occupazione/professione, al reddito, al sesso, all’età, alla residenza/domicilio, allo stato civile, al nucleo familiare);
- dati relativi alla richiesta/rapporto, descrittivi, in particolare, della tipologia di contratto, dell’importo dovuto, delle modalità di pagamento e dello stato della richiesta o dell’esecuzione del contratto;
- dati di tipo contabile, relativi, in particolare, agli utilizzi o ai pagamenti, al loro andamento periodico, all’esposizione debitoria anche residua e alla sintesi dello stato contabile del rapporto;
- dati relativi al contenzioso e ad attività di recupero del credito, alla cessione del credito o a eccezionali vicende che incidono sulla situazione soggettiva o patrimoniale degli interessati.
Nell’ambito di un SIC potranno inoltre essere registrati i dati personali riferiti all’interessato che chiede di instaurare o che è parte di un rapporto con un partecipante, o all’interessato che:
- è coobbligato, anche in solido, o
- che è terzo ceduto, in relazione all’ipotesi di cessione di crediti o dilazioni di pagamento o
- che è un esponente aziendale o un partecipante al capitale della società e/o ente, che è parte di una richiesta/rapporto, come individuato dall’art. 8 del Codice SIC o
- che è comunque legato sul piano economico o giuridico al soggetto che è parte di una richiesta/rapporto, come specificato sempre nell’art. 8 del Codice SIC, la cui posizione è chiaramente distinta da quella del debitore principale.
Coerentemente con il principio di finalità accennato sopra, nell’ambito SIC non potranno essere trattati le categorie particolari di dati ex art. 9 GDPR nonché i dati personali relative a condanne penali, ai reati e connesse misure di sicurezza ex art. 10 GDPR.
I dati personali trattati dovranno essere di tipo obiettivo, adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.
Termini massimi di conservazione delle informazioni.
L’allegato 2 al Codice SIC prevede i tempi e le modalità della conservazione dei dati personali degli interessati che vengono conservati nei SIC. Specificatamente:
- i dati personali comunicati dagli interessati e riferiti a richieste potranno essere conservati in un SIC per tempo necessario alla relativa istruttoria e comunque non oltre 180 giorni dalla presentazione delle richieste;
- Per le richieste non accolte o rinunciate il termine di conservazione è di non oltre 90 giorni dalla date del loro aggiornamento all’esito della richiesta;
- Le informazioni creditizie di tipo negativo relative a ritardi nei pagamenti, successivamente regolarizzati, possono essere conservate in un SIC fino a 12 mesi dalla data di registrazione dei dati relativi alla regolarizzazione di ritardi non superiori a 2 rate o mesi o 24 mesi dalla data di registrazione dei dati relativi alla regolarizzazione di ritardi superiori a 2 rate o mesi.
Decorsi i suddetti periodi di tempo, i dati sono eliminati dal SIC se nel corso dei medesimi intervalli di tempo non sono registrati dati relativi ad ulteriori ritardi o inadempimenti.
Sarà onere del partecipante e del gestore aggiornare senza ritardo i dati relativi alla regolarizzazione di inadempimenti di cui abbiano conoscenza, avvenuta dopo la cessione del credito da parte del partecipante ad un soggetto che non partecipa al sistema, anche a seguito di richiesta dell’interessato munita di dichiarazione del soggetto cessionario del credito o di altra idonea documentazione.
Per quanto riguarda le informazioni creditizie di tipo negativo relative a inadempimenti non successivamente regolarizzati possono essere conservate nel SIC non oltre 36 mesi dalla data di scadenza contrattuale del rapporto oppure, in caso di altre vicende rilevanti in relazione al pagamento, dalla data in cui è risultato necessario il loro ultimo aggiornamento, e comunque, anche in quest’ultimo caso, al massimo fino a 60 mesi dalla data di scadenza del rapporto, quale risulta dal contratto.
Le informazioni creditizie di tipo positivo relative ad un rapporto che si è esaurito con estinzione di ogni obbligazione pecuniaria, possono essere conservate nel sistema non oltre sessanta mesi dalla data di cessazione del rapporto o di scadenza del relativo contratto, ovvero dal primo aggiornamento effettuato nel mese successivo a tali date.
Tenendo conto del requisito della completezza dei dati in rapporto alle finalità perseguite, le predette informazioni di tipo positivo possono essere conservate ulteriormente nel sistema qualora in quest’ultimo risultino presenti, in relazione ad altri rapporti di credito riferiti al medesimo interessato, informazioni creditizie di tipo negativo concernenti ritardi od inadempimenti non regolarizzati.
I dati relativi al primo ritardo nei pagamenti in un rapporto sono utilizzati e resi accessibili agli altri partecipanti nel rispetto dei seguenti termini:
- nei SIC di tipo negativo, dopo almeno 120 giorni dalla data di scadenza del pagamento o in caso di mancato pagamento di almeno 4 rate mensili non regolarizzate;
- nei SIC di tipo positivo e negativo, decorsi 60 giorni dall’aggiornamento mensile, oppure in caso di mancato pagamento di almeno 2 rate mensili consecutive, oppure quando il ritardo si riferisce ad una delle 2 ultime scadenze di pagamento. Nel secondo caso i dati sono resi accessibili dopo l’aggiornamento mensile relativo alla seconda rata consecutivamente non pagata.
Prima dell’eliminazione dei dati dal SIC secondo i tempi di conservazione prescritti, il gestore può trasporre i dati su altro supporto, ai fini della limitata conservazione per il tempo necessario e del loro utilizzo, in relazione ad esigenze di rispetto di:
- un obbligo di legge;
- di difesa di un proprio diritto in sede giudiziaria, amministrativa, arbitrale o di conciliazione (inclusa la fase propedeutica).
Il gestore, prima della eliminazione, potrà altresì trasporre i dati su altro supporto, non direttamente accedibile dai partecipanti.
Tale base di dati, unitamente a dati resi temporaneamente accessibili a tutti i partecipanti, ed assistita dalle opportune misure e tecniche per garantirne la gestione in sicurezza (ad es. attraverso opportune tecniche di criptazione o pseudonimizzazione), potrà essere utilizzata per la verifica, anche comparativa, della predittività delle informazioni contenute nel SIC, per lo sviluppo e la verifica dei modelli, fattori di analisi statistica, algoritmi, indicatori e punteggi (articolo 10 lett. c) del Codice SIC) e per elaborazioni in forma aggregata, anonima o pseudonima, atte a soddisfare esigenze statistiche, normative/regolamentari o di sviluppo di prodotti o servizi dei partecipanti al SIC.
I gestori ed i partecipanti garantiscono che il trasferimento delle anzidette informazioni dal gestore al partecipante abbia luogo in sicurezza e nel rispetto delle finalità prescritte.
In ogni caso tali dati non potranno essere conservati per un periodo superiore a 10 anni dalla scadenza dei tempi di conservazione dei dati nel SIC. Tale base di dati potrà essere utilizzata inoltre per fornire dati e informazioni ad autorità di vigilanza, e a Banca d’Italia in particolare, per proprie finalità istituzionali.
Ulteriori diritti e garanzie dell’interessato.
Il Codice SIC esprime dettagliatamente tutte le garanzie per gli interessati presenti nei SIC.
In caso di ritardo nel pagamento ad es. di una rata di un finanziamento. Il diretto interessato dovrà riceve un preavviso relativo all’imminente iscrizione in un SIC. I dati relativi al primo ritardo potranno essere disponibili agli altri aderenti al SIC solo al decorrere di 15 giorni dalla spedizione del preavviso all’interessato.
Tale preavviso potrà essere inoltrato a mezzo raccomandata oppure, ed è qui la vera novità, a mezzo dei servizi di messaggistica istantanea (es. WhatsApp) che garantiscano però la tracciabilità della consegna.
A livello pratico un cliente di una banca che si veda negata l’erogazione di un mutuo potrà sapere se tale diniego è stato giustificato anche sulla base di un punteggio di rischio attribuitogli da un algoritmo del quale avrà diritto a conoscerne il funzionamento.
Una delle novità maggiori è la possibilità, per la persona a cui viene negato un mutuo, di conoscere i criteri con cui si è presa la decisione, sapere anche se ci si è basati sul punteggio di rischio attribuito da un algoritmo, e come funziona quest’ultimo.
Nel settore del credito al consumo è prassi dei players del settore affidarsi a processi decisionali automatizzati che attribuiscono una valutazione automatizzata al debitore. Trattandosi di un vero e proprio “giudizio” effettuato da un algoritmo le garanzie dell’interessato sono state rafforzate prevedendo, ogni 2 anni, una verifica ed un aggiornamento ai modelli di analisi statistica di detti algoritmi. Saranno necessarie anche misure di sicurezza idonee a garantire l’affidabilità dei sistemi e proteggere i dati da eventuali accessi illeciti.
Avv. Federico Alessandri