
*È un provvedimento adottato ai fini della corretta valutazione del merito di credito dei clienti, le banche e gli intermediari finanziari necessitano sempre più di informazioni aggiornate sui comportamenti finanziari dei soggetti affidati. Si parla, in proposito, di referenza creditizia.
La referenza creditizia rappresenta la reputazione che il cliente ha presso le banche e gli intermediari finanziari e riflette la correttezza dei suoi comportamenti nell’ambito dei rapporti di finanziamento.
La referenza è importante perché gli intermediari ne tengono conto quando decidono se concedere il finanziamento.
Maggiori tutele per i consumatori censiti nelle banche dati del credito, trasparenza sul funzionamento degli algoritmi che analizzano il rischio nei finanziamenti, apertura alle nuove tecnologie e ai servizi del FinTech.
Queste sono alcune delle novità previste nel nuovo “Codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti” (i cosiddetti “Sic”).Il nuovo Codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti (i cosiddetti “Sic”) – proposto dalle associazioni di categoria e approvato dal Garante per la privacy dopo un complesso lavoro di revisione del vecchio Codice deontologico, reso inattuale dalle modifiche introdotte dal GDPR – introduce diverse novità: maggiori tutele per i consumatori censiti nelle banche dati del credito, trasparenza sul funzionamento degli algoritmi che analizzano il rischio nei finanziamenti, apertura alle nuove tecnologie e ai servizi del Fintech.
Le nuove regole per l’analisi del rischio creditizio – per adeguarsi alle sfide poste dalla digital economy – non riguardano solo i dati su prestiti e mutui, ma anche quelli relativi alle diverse forme di leasing, al noleggio a lungo termine e alle più innovative forme di prestito tra privati gestite tramite piattaforme tecnologiche Fintech.
Al fine di favorire il corretto funzionamento del mercato finanziario e creditizio, i dati censiti potranno essere trattati senza il consenso degli interessati, sulla base del cosiddetto legittimo interesse delle società partecipanti ai Sic (Sistemi di informazioni creditizie), garantendo però i più ampi diritti previsti dal Regolamento europeo in materia di protezione dei dati. Potranno essere trattati solo dati necessari, pertinenti e non eccedenti le finalità di valutazione del rischio creditizio, fornendo informazioni complete e puntuali agli interessati. Ad esempio, chi richiede un mutuo, in caso di diniego, potrà conoscere se la decisione è stata assunta anche basandosi sul punteggio (scoring) di rischio attribuito all’utente da un algoritmo e, in tal caso, chiedere di conoscerne la logica di funzionamento.
A tutela della referenza creditizia sono previsti alcuni strumenti che il cliente può attivare per correggere eventuali segnalazioni errate o per aggiornare le informazioni quando le irregolarità siano state sanate.
In generale, vi è l’obbligo del segreto per le banche e gli intermediari che consultano i sistemi.
Gli intermediari bancari e finanziari e i gestori dei SIC hanno l’obbligo di controllare l’esattezza delle informazioni segnalate e di provvedere al loro aggiornamento.
Il cliente ha diritto, con una semplice richiesta rivolta al finanziatore o ai SIC, di conoscere le informazioni registrate a proprio nome nell’archivio e, in caso di errori, richiedere la cancellazione ovvero la modifica di dati non corretti. L’eliminazione, l’integrazione e la modifica dei dati contenuti negli archivi può essere disposta anche con provvedimento dell’Autorità Garante per la privacy.
Il trattamento dei dati può riguardare solo dati personali di tipo obiettivo, che vengono precisamente individuati dal codice. Non possono essere usate informazioni e giudizi del tipo “cattivo pagatore”.
L’intermediario prima di procedere alla segnalazione nell’archivio ha il dovere di avvisare l’interessato che potrà evitare la segnalazione ai SIC relativa al primo ritardo nei rimborsi con il versamento della rata scaduta. Un successivo ritardo nei pagamenti nell’ambito del medesimo rapporto di credito, invece, verrà subito segnalato nei SIC.
Le informazioni riguardanti l’affidabilità e la puntualità dei pagamenti dei clienti possono essere conservate per periodi predefiniti allo scadere dei quali esse vengono automaticamente cancellate dal sistema, senza l’applicazione di alcun onere. I tempi di conservazione variano in relazione alla tipologia e alla gravità dell’irregolarità.
Quando regolarizzati, le informazioni sui ritardi nei pagamenti sono conservate fino a 12 mesi dalla data della regolarizzazione, se il ritardo nei pagamenti non è superiore a due rate; la conservazione dura invece 24 mesi se si tratta di ritardo superiore a 2 rate (o due mensilità). Una volta scaduti i termini, le informazioni vengono automaticamente cancellate dal sistema, a condizione che nel frattempo non si siano verificati ulteriori ritardi nel medesimo rapporto contrattuale. In tal caso, il decorso riprende dalla data della nuova regolarizzazione.
Le informazioni negative circa i ritardi nei pagamenti non regolarizzati, invece, sono mantenute per la durata di 36 mesi dalla data di cessazione del rapporto contrattuale.
Prima della scadenza dei termini sopra indicati, non è possibile ottenere la cancellazione delle segnalazioni attinenti a comportamenti irregolari, sebbene essi siano stati sanati. Il rispetto delle previsioni normative in ordine alla tutela della referenza creditizia compete al Garante per la protezione dei dati personali, che può disporre verifiche periodiche ai SIC.
Per eventuali violazioni restano applicabili le sanzioni amministrative e, civili e penali previste dalla normativa sul trattamento dei dati personali.
I modelli di analisi statistica, così come gli algoritmi utilizzati, dovranno inoltre essere sottoposti a verifica e aggiornamento con cadenza almeno biennale. Particolare attenzione è stata posta sulle misure di sicurezza adottate per proteggere i dati da accessi illeciti e garantire l’affidabilità dei sistemi. Per semplificare le modalità di preavviso agli interessati prima dell’eventuale iscrizione nei Sic, sono state individuate anche nuove forme di contatto, come quelle garantite dai sistemi di messaggistica istantanea utilizzate sugli smartphone.
Ecco alcune delle principali novità:
- Diritti – rafforzati i diritti a tutela della privacy delle persone interessate
- Informativa – informazioni più complete sui trattamenti dei dati posti in essere dalle società aderenti
- Organismo di monitoraggio – istituito un organismo indipendente che vigili sull’operato dei Sic
- Nuove forme di contatto – previo accordo con gli interessati è possibile inviare “preavvisi di segnalazione” anche tramite sistemi di messaggistica istantanea che garantiscano la tracciabilità della consegna
- Nuove tipologie di rapporti – estensione dei dati censiti alle varie forme di leasing, al noleggio, ai prestiti tra privati (peer to peer lending)
- Serie storiche positive più lunghe – a tutela del credito e per rispondere alle richieste degli organismi di vigilanza, i dati storici positivi sui clienti potranno essere conservati per 60 mesi
- Trasparenza nelle decisioni – in caso di negazione del credito sulla base di analisi automatizzate l’interessato potrà richiedere la logica di funzionamento degli algoritmi
- Dati pseudonimizzati per l’allenamento degli algoritmi – gli algoritmi potranno essere “allenati” con dati pseudonimizzati, quindi non più riferibili a un soggetto specifico
- Sicurezza – adozione di ulteriori misure a tutela della sicurezza dei dati e contro gli accessi illeciti
Nel provvedimento di approvazione, il Garante ha comunque imposto ai Sic di apportare alcune modifiche al funzionamento dell’ “Organismo di monitoraggio” (OdM) istituito dal codice stesso, al fine di rafforzarne l’ autonomia e l’indipendenza rispetto alle società del settore.
Gli aderenti al nuovo Codice di condotta si sono impegnati a rispettarne già da ora le regole e i principi, anche se il testo diverrà pienamente efficace solo al completamento della fase di accreditamento dell’organismo di monitoraggio da parte del Garante presso il Comitato che riunisce le Autorità di protezione dati dell’Ue (Edpb).
*di Sarah Yacoubi –
DATA PROTECTION OFFICER
Docente Universitario Pegaso
Privacy Consulent