Nuove regole per la tutela dei dati dei consumatori relativi a mutui, prestiti e piattaforme Fintech: il Garante per la privacy ha approvato il codice di condotta per i SIC – Sistemi di informazione creditizia, revisionato alla luce del GDPR.
Per esteso, si tratta del “Codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti”, ed è un regolamento di categoria.
Esisteva già, ma è stato necessario rivederlo in quanto con l’avvento del GDPR il vecchio codice deontologico era ormai diventato inattuale.
Non teneva infatti conto di tutte le novità normative in tema di privacy introdotte con il Regolamento europeo: “Questo codice è un ottimo segnale, significa che il Garante sta facendo ogni sforzo per attuare il GDPR”, spiega il docente di diritto costituzionale ed ex presidente dell’autorità garante Francesco Pizzetti.
Indice degli argomenti
GDPR e codici di condotta
In base al GDPR non è obbligatorio avere il codice di condotta, “è facoltativo e deve partire dall’iniziativa delle associazioni di categorie – spiega Pizzetti -. In questo caso c’erano già le regole deontologiche che però non erano più attuali, era necessario rendere il tutto conforme al GDPR”.
Cosa dicono le nuove regole per i SIC
Il nuovo Codice include diciannove articoli e quattro allegati. È stato proposto all’autorità dall’Associazione Italiana Società di Referenza – AISReC, insieme all’Associazione Italiana Leasing e al Consorzio per la Tutela del Credito. Dopo le verifiche del caso il Garante ha approvato il nuovo regolamento per i SIC.
Al centro della revisione del regolamento, la tutela dei dati relativi a mutui, prestiti, noleggio, leasing, prestiti gestiti via Fintech. Come spiegato direttamente dal Garante per la privacy in una comunicazione ufficiale, l’obiettivo è fare in modo che il mercato creditizio e quello finanziario funzionino correttamente, a questo pro “i dati censiti potranno essere trattati senza il consenso degli interessati, sulla base del cosiddetto legittimo interesse delle società partecipanti ai SIC, garantendo però i più ampi diritti previsti dal GDPR”.
In particolare, si potranno trattare “solo dati necessari, pertinenti e non eccedenti le finalità di valutazione del rischio creditizio, fornendo informazioni complete e puntuali agli interessati”. Dovranno venir sottoposti a verifiche e aggiornamenti almeno due volte all’anno i modelli di analisi statistica e gli algoritmi.
Gande attenzione viene data ovviamente alle misure di sicurezza da adottare per la data protection, al fine di “proteggere i dati da accessi illeciti e garantire l’affidabilità dei sistemi”. Inoltre, sono state indicate nuove forme per contattare gli interessati al fine di rendere più semplice il preavviso prima dell’iscrizione nel SIC. Tra questi sistemi, la messaggistica istantanea sugli smartphone.
L’organismo di monitoraggio
Con il regolamento è stato istituito anche un organismo indipendente che vigili sull’operato dei SIC, il Garante ha imposto che il funzionamento dell’organismo venisse modificato per renderlo maggiormente indipendente.
Solo al completamento della fase di accreditamento di tale organismo presso l’Edpb, il nuovo codice di condotta diventerà efficace.
