Maggior
rispetto della privacy per i clienti morosi con la segnalazione alle
banche dati delle centrali rischi solo per ritardi e morosità di più
mesi o più rate; conservazione dei dati dei cosiddetti cattivi pagatori
per periodi più brevi e ragionevoli; cancellazione delle informazioni
relative a richieste di finanziamento non accolte o ritirate dagli interessati;
informative dettagliate ai clienti sull’utilizzo dei loro dati; tempestività
e completezza dei riscontri forniti alle richieste degli interessati
di accesso, modifica o cancellazione dei dati che li riguardano. Queste,
in sintesi, le regole dettate dall’Autorità Garante per la protezione
dei dati personali in vista della prossima disciplina di settore. Nel
provvedimento - reso noto dalla consueta news letter settimanale - si
punta ad una maggior tutela dei consumatori nei o rapporti con banche
e finanziarie quando chiedono o ottengono prestiti, mutui, particolari
carte di credito e finanziamenti anche per acquisti rateali. Il provvedimento
"riassume" le decisioni prese dal Garante nell’esame dei ricorsi, e
individua alcune condizioni minime per la raccolta, la conservazione
e l’uso delle informazioni presenti nei sistemi informativi di rilevazioni
dei rischi creditizi, le cosiddette centrali rischi, utilizzate da banche
e finanziarie. In particolare stabilisce che i dati relativi agli eventuali
ritardi nei pagamenti poi completamente sanati, devono essere cancellati
entro un anno dalla data della loro regolarizzazione o comunque dalla
data di estinzione del rapporto di finanziamento. Viene poi vietato
l’utilizzo dei dati personali presenti nelle centrali rischi per scopi
estranei all’attività di rilascio o di gestione dei finanziamenti, ad
esempio per scopi di marketing. (19 novembre 2002) Ý
Provvedimento Garante per la protezione dei dati personali Newsletter
18.11.2002
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna,
Esaminati i numerosi reclami, segnalazioni ed istanze presentati da
interessati ed associazioni di consumatori relativamente al trattamento
di dati personali svolto da soggetti privati che gestiscono sistemi
informativi di rilevazione dei rischi creditizi (c.d. "centrali rischi")
e da banche o società finanziarie che vi accedono;
Ritenuta la necessità, anche per ridurre il contenzioso in aumento,
di segnalare ai titolari alcune modificazioni al fine di rendere il
trattamento conforme ai principi in materia di protezione dei dati personali
(articolo 31, comma 1, lett. c), legge n. 675/1996);
Visti gli elementi acquisiti dall’Ufficio del Garante a seguito degli
accertamenti avviati ai sensi dell’articolo 31, comma 1, lett. d), della
legge n. 675/1996;
Visti i precedenti provvedimenti adottati in materia;
Vista la relazione sul procedimento curato dal Dipartimento realtà economiche
e produttive dell’Ufficio;
Vista la restante documentazione in atti; Viste le osservazioni dell’Ufficio
formulate dal segretario generale ai sensi dell’articolo 15 del regolamento
del Garante n. 1/2000;
Relatore il prof. Stefano Rodotà;
PREMESSO:
1. "CENTRALI RISCHI" PRIVATE A più riprese questa Autorità si è occupata
del trattamento di dati personali svolto dalle c.d. "centrali rischi"
private, nonché da istituti bancari e finanziari che accedono ai relativi
sistemi informativi contenenti dati su rapporti contrattuali e pre-contrattuali
concernenti finanziamenti, prestiti o mutui alla clientela, in particolare
nel settore del credito al consumo.
Le finanziarie e le banche cui vengono rivolte richieste di finanziamento
si obbligano, reciprocamente e con i soggetti che gestiscono le "centrali
rischi" private, anche sulla base di regolamenti consortili ed accordi
associativi, a comunicare con carattere di sistematicità i dati relativi
agli interessati (di regola conservati nelle "centrali rischi" per periodi
ulteriori rispetto all’esito delle richieste o dei rapporti di finanziamento,
oscillanti da uno a cinque anni).
Alcuni sistemi informativi di rilevazione dei rischi creditizi possono
essere connotati come banche dati negative o "liste nere", in quanto
registrano soltanto dati personali relativi a morosità o altre situazioni
ritenute meritevoli di annotazione, unitamente alla segnalazione di
sofferenze o dell’esistenza di azioni legali, procedure concorsuali
o cessioni del credito a terzi.
Altri sistemi, che rappresentano la maggior parte delle "centrali rischi"
private operanti in Italia, gestiscono invece sistemi di tipo positivo/negativo,
raccogliendo informazioni sul rapporto di finanziamento, a partire dalla
richiesta dell’interessato, indipendentemente dalla sussistenza di inadempimenti,
per incentivare gli operatori finanziari ad una valutazione più ampia
del rischio creditizio sulla base dell’osservazione di diversi comportamenti
e situazioni personali del richiedente. In presenza di adeguate garanzie,
tale tipologia di trattamento di dati potrebbe non comportare un effetto
pregiudizievole nei confronti del cliente, potendolo invece agevolare
nell’accesso al credito, tutelandolo in pari tempo dal rischio di sovraindebitamento.
2. DISCIPLINA DELLE ATTIVITà
Nel nostro ordinamento manca una regolamentazione dell’attività svolta
dalle "centrali rischi" private; esiste, invece, una specifica normativa
del servizio di centralizzazione dei rischi gestito dalla Banca d’Italia
(la c.d. "centrale rischi" pubblica, per i finanziamenti di importo
superiore ai 75.ooo euro o comunque crediti in "sofferenza": artt. 13,
53, comma 1, lett. b), 60, comma 1, 64, 67, comma 1, lett. b), 106,
107, 144 e 145 del d.lg. 1 settembre 1993, n. 385 - Testo unico delle
leggi in materia bancaria e creditizia -, delibera Cicr del 29 marzo
1994, provvedimento Banca d’Italia 10 agosto 1995, circolare della stessa
Banca 11 febbraio 1991, n. 139 e successivi aggiornamenti). Nel 1999
è stata altresì introdotta una disciplina per la rilevazione dei rischi
di importo contenuto (affidamenti di importo inferiore a quello censito
nella centrale rischi gestita dalla Banca d’Italia - 75.000 euro - e
superiore a quello previsto per le operazioni di credito al consumo
- 30.000 euro -: v. la deliberazione Cicr del 3 maggio 1999), con la
quale è stato previsto un sistema centralizzato gestito da una società,
sottoposto alla vigilanza della Banca d’Italia e disciplinato, nel dettaglio,
da istruzioni della medesima Banca (pubblicate in G.U. - serie generale
n. 272 del 21 novembre 2000), che prevedono in capo alle banche, società
ed intermediari finanziari (individuati in base agli artt. 106 e 107,
d.lg. n. 385/1993) l’obbligo di comunicare dati relativi alle esposizioni
creditizie dei clienti.
Per le attività delle "centrali rischi" private, come detto non oggetto
di disciplina normativa, la modulistica contrattuale predisposta dagli
operatori del settore prevede, nei confronti degli interessati, clausole
di informativa e di richiesta del consenso al trattamento dei dati personali;
ciò al fine di individuare una base di liceità del trattamento sia per
la comunicazione dei dati relativi al finanziamento da parte dell’istituto
bancario o finanziario alle "centrali rischi" private ("soggetti terzi"
rispetto al rapporto instaurato con la clientela), sia per il successivo
trattamento dei dati da parte di queste ultime e la loro conseguente
messa a disposizione di una cerchia assai ampia di operatori.
Le prassi contrattuali finora seguite, anteriori all’entrata in vigore
del d. lg. n. 467/2001, dovranno essere ulteriormente valutate da questa
Autorità alla luce del quadro normativo così modificato, con particolare
riguardo al contenuto delle clausole contrattuali relative al trattamento
dei dati e alle modalità del loro inserimento nei contratti. Taluni
altri aspetti, nei termini che seguono, possono sin d’ora formare oggetto
di esame.
3. INFORMATIVA
Dalle numerose segnalazioni ricevute e dai moduli di finanziamento acquisiti
è emerso che le informative rese da alcuni operatori risultano spesso
generiche ed indicano in un unico contesto finalità eterogenee di trattamento
dei dati, nonché categorie diverse di destinatari (es.: enti di tutela
del credito, rivenditori convenzionati, agenti, società di factoring,
soggetti che forniscono informazioni commerciali). La varietà e la vaghezza
degli elementi indicati, pertanto, non permette agli interessati di
comprendere le caratteristiche del trattamento dei dati che gli stessi
si accingono ad "autorizzare".
In relazione al principio di correttezza del trattamento (articolo 9,
comma 1, lett. a), legge n. 675), gli operatori devono assicurare che
gli interessati siano edotti, all’atto della richiesta di un finanziamento
(anteriormente al momento in cui i dati vengono conferiti o viene avviata
una richiesta preliminare di notizie a terzi), delle conseguenze che
derivano dall’instaurazione di un rapporto di finanziamento e delle
modalità di raccolta, registrazione e circolazione delle loro informazioni
personali.
La parte dell’informativa riguardante la comunicazione di dati alle
"centrali rischi" private deve essere formulata con indicazione precisa
degli estremi identificativi delle "centrali rischi" alle quali i dati
verranno trasmessi, con una sintesi delle principali caratteristiche
del trattamento svolto da queste ultime. Ciò anche per agevolare l’esercizio
da parte degli interessati dei diritti previsti dall’articolo 13 della
stessa legge.
Non è altresì rispondente ai principi stabiliti dalla legge n. 675/1996
l’impostazione seguita in alcuni moduli recanti in un medesimo riquadro
indicazioni relative a distinte finalità di trattamento di dati (ad
esempio, per finalità di tutela del credito e per scopi di marketing,
e solo, in quest’ultimo caso, con l’indicazione di una doppia opzione
positiva/negativa), generando confusione nell’interessato; pertanto
nell’informativa tali finalità devono essere menzionate separatamente,
con autonoma collocazione.
4. UTENTI DELLE "CENTRALI RISCHI" PRIVATE
Tutti gli operatori devono rispettare il principio di finalità, consistente
nella tutela del credito e nel contenimento del relativo rischio, in
virtù del quale la consultazione dei dati personali riguardanti gli
interessati può avvenire soltanto se strettamente connessa all’istruttoria
di una richiesta di finanziamento (principio affermato, sotto altro
profilo, anche al punto 3 della delibera Cicr del 3 maggio 1999 e al
paragrafo 2 delle istruzioni della Banca d’Italia relative al sistema
di rilevazione dei rischi di importo contenuto).
Sono quindi illeciti i trattamenti dei dati presenti nelle "centrali
rischi" private per scopi ulteriori o comunque estranei alle attività
di rilascio o gestione dei finanziamenti (collegati, ad esempio, ad
attività di marketing).
5. QUALITà DEI DATI
Deve essere attentamente verificata la pertinenza e non eccedenza dei
dati analitici (anagrafici, contrattuali, contabili, economici e finanziari)
registrati nei sistemi informativi, nonché dei codici utilizzati per
eventuali inadempimenti anche meno gravi (come, ad esempio, le rate
non pagate e poi "regolarizzate"), frutto di scelte operate di comune
accordo tra gli istituti di credito o finanziari che offrono servizi
di credito al consumo.
In molti casi sottoposti all’esame di questa Autorità la comunicazione
di un’ampia mole di dati, non sempre o non più significativi rispetto
alle finalità perseguite (lievi morosità poi sanate, richieste di finanziamento
non concesso, ecc.), determina conseguenze per gli interessati di sostanziale
estromissione dal credito anche per effetto di automatismi (ad esempio,
nei frequenti casi relativi ad operatori che rifiutano, al pari di altri,
l’instaurazione di rapporti a seguito della mera presenza in "centrale
rischi" di generiche indicazioni concernenti il semplice, mancato rilascio
di un finanziamento oppure brevi ritardi nel rimborso dei ratei).
In tal modo il sistema, soprattutto con riguardo al credito al consumo,
non distingue adeguatamente gli eventi da ritenere invece fisiologici
in un rapporto destinato a svolgersi nel tempo, e che non incidono sull’affidabilità
e solvibilità della clientela, da situazioni più critiche relative a
inadempimenti gravi e reiterati o, addirittura, a veri e propri artifizi
e raggiri nel ricorso al credito.
In relazione al principio di proporzionalità (articolo 9 legge n. 675/1996),
i criteri seguiti nei vari circuiti informativi per la segnalazione
delle morosità, ossia dei ritardi di pagamento delle rate scadute, devono
essere tendenzialmente uniformati in chiave di maggiore tutela degli
interessati, tenendo conto della reale intensità e gravità degli inadempimenti,
dal punto di vista economico e temporale, in modo da non recare pregiudizi
ingiustificati ai diritti dei consumatori.
Specie nei casi di finanziamenti di minore importo, con rate di modesta
entità, le segnalazioni delle morosità devono anzitutto essere effettuate
alla "centrale rischi" solo in caso di mancato pagamento di consistenti
somme, di più rate o di gravi ritardi, anche al fine di evitare la registrazione
di dati relativi a situazioni verificatesi a causa di disguidi bancari
o postali non sempre imputabili all’interessato. Appare ragionevole
e corrispondente ai requisiti richiesti dal richiamato articolo 9 della
legge n. 675/1996 la previsione di soglie temporali minime o di più
rate cumulate tra di loro (ad es., per ritardi di almeno quattro mesi
o di quattro rate, secondo prassi già seguite da alcuni operatori).
Le banche o le finanziarie devono comunque, anche in virtù del principio
di lealtà o correttezza nel trattamento (articolo 9, comma 1, lett.
a), l. n. 675/1996), dare preavviso agli interessati affinché questi
possano eventualmente intervenire prima della segnalazione della morosità
o di altro evento negativo alla "centrale rischi" privata.
6. CONSERVAZIONE DEI DATI RELATIVI ALLE RICHIESTE DI FINANZIAMENTO
In alcune "centrali rischi" private sono conservati dati personali relativi
a richieste di finanziamento anche quando gli interessati vi abbiano
rinunciato o gli istituti di credito o finanziari le abbiano rifiutate.
In genere è previsto che, anche se il finanziamento non viene accolto,
i dati rimangano in banca dati per dodici mesi o per periodi inferiori
a seconda dell’esito della richiesta di finanziamento, che viene a sua
volta indicato con particolari termini o codifiche (ad esempio, 3 o
6 mesi se non vi sono successivi aggiornamenti, oppure 9 mesi, qualora
il richiedente rinunci al finanziamento o quest’ultimo non sia concesso
perché non rientrante nella tipologia di operazioni e servizi offerti
dalla società cui si è rivolto l’interessato).
Alcune "centrali rischi" private giustificano la scelta di conservare
i dati personali relativi a tali richieste di finanziamento con motivazioni
non sempre fondate, soprattutto per quanto riguarda la diversa durata
dei periodi di conservazione rispetto agli scopi per i quali i dati
sono raccolti e successivamente trattati (articolo 9, comma 1, lett.
e), legge n. 675).
La conservazione dei dati relativi alla richiesta di finanziamento può
essere giustificata nell’intervallo di tempo richiesto dalla relativa
istruttoria - che può avere a volte una durata anche di sei mesi -,
poiché, in tale periodo, può venire in considerazione l’esigenza di
verificare, anche presso altri soggetti, l’eventuale esposizione complessiva
del richiedente (il quale potrebbe ricorrere a meccanismi di c.d. credit
shopping o di frazionamento del credito, chiedendo un finanziamento
contemporaneamente a diverse banche e finanziarie).
Le codifiche e i diversi periodi temporali indicati negli altri casi,
invece, si prestano ad ampi rilievi per quanto concerne la loro rispondenza
ai richiamati principi sulle modalità di raccolta e sui requisiti dei
dati (articolo 9, l. n. 675/1996). Si tratta infatti di informazioni
raccolte in fase pre-contrattuale per valutare l’instaurazione di un
rapporto di finanziamento; qualora tale rapporto non abbia concreto
inizio tali informazioni devono essere cancellate senza ritardo, venendo
meno la legittima finalità sopra evidenziata.
I periodi di conservazione devono essere resi omogenei tra di loro e
correlati alle descritte esigenze di cautela concernenti i tempi dell’istruttoria
delle richieste di finanziamento, con una durata massima di sei mesi
dalla registrazione dei dati e comunque di un mese dalla rinuncia dell’interessato
o dalla mancata concessione del finanziamento (termine, quest’ultimo,
funzionale all’inserimento degli aggiornamenti periodici nelle "centrali
rischi").
Quanto alla correttezza della raccolta e del trattamento di segnalazioni
concernenti il c.d. "rifiuto" della richiesta di finanziamento, va altresì
rilevato che con la relativa codifica vengono identificate, in via residuale,
diverse situazioni nelle quali il prestito non è concesso, anche in
conseguenza di valutazioni discrezionali di istituti di credito o di
società finanziarie conseguenti a stime statistiche, a disponibilità
finanziarie oppure a scelte di mercato, più che a determinazioni concernenti
i singoli richiedenti.
Tuttavia questo tipo di indicazioni ingenerano comunque in altre società
che consultano la "centrale rischi" una valutazione negativa sull’interessato,
esponendolo al sospetto che il rifiuto di finanziamento derivi non tanto
da politiche contrattuali dell’operatore, quanto da comportamenti dell’interessato
documentati solo agli atti della banca, anziché anche nella centrale
rischi.
In generale, quindi, la comunicazione di informazioni negative di questo
tipo risulta ingiustificata in base al richiamato principio di proporzionalità,
in considerazione del fatto che il rapporto di finanziamento non si
è instaurato o si è comunque interrotto ad uno stadio che non legittima
una divulgazione dei dati. Vanno inoltre verificate con attenzione,
anche sotto questo profilo, le formule di informativa e consenso sottoposte
agli interessati, risultate anche in tal caso spesso generiche ed insufficienti
a legittimare il predetto trattamento di dati.
7. CONSERVAZIONE DEI DATI RELATIVI AL RAPPORTO DI FINANZIAMENTO
è necessario poi valutare la congruità del periodo di conservazione
delle informazioni relative ai rapporti di finanziamento - oggetto di
innumerevoli segnalazioni di clienti i cui dati sono stati registrati
per disguidi od errori, oppure che hanno pagato regolarmente l’importo
finanziato o comunque sanato il debito maturato -, che sono attualmente
conservati e consultabili nelle "centrali rischi" private per una durata
che può arrivare sino a cinque anni.
Risulta sproporzionata la scelta (che risale talvolta ad epoca antecedente
all’entrata in vigore della legge n. 675/1996) di conservare in "centrale
rischi" per cinque anni tutti i dati, anche quando questi ultimi siano
integrati dalla menzione che la sofferenza è venuta meno o che il finanziamento
è stato estinto.
Nella prevalenza dei casi tale termine è eccedente rispetto alla finalità
perseguita, che non è in questo caso quella di conservare all’interno
della società che concede il finanziamento la documentazione contabile
inerente al rapporto in corso od estinto, ma di far conoscere a terzi
che operano nel settore del credito informazioni relative ad un intero
spettro di comportamenti contrattuali del consumatore, spesso ininfluenti
ai fini di successivi rapporti (es.: lievi ritardi o contenute morosità
sanate senza debiti residui, anche per effetto di un’estinzione anticipata).
La permanenza di tali informazioni, nei contesti appena descritti (specie
in quelli dove sono state da tempo definite tutte le pendenze con piena
soddisfazione dei diritti del creditore), non è giustificabile in base
a mere esigenze di conoscenza prospettate da altri operatori. Ciò in
riferimento alla latitudine dell’indicato tempo di conservazione dei
dati, agli oneri eventualmente assunti dagli interessati per regolarizzare
la propria posizione e alla frequente estinzione del rapporto medesimo.
Va garantita una piena tutela del c.d. diritto all’oblio degli interessati,
in considerazione anche delle esperienze applicative della "centrale
rischi" gestita dalla Banca d’Italia (che, attualmente, conserva per
dodici mesi anche i dati relativi alle c.d. "sofferenze"), nonché di
quanto previsto in materia di cancellazione dagli elenchi dei protesti
cambiari.
In questa prospettiva va segnalata la necessità che i dati relativi
agli eventuali inadempimenti sanati senza perdite, debiti residui o
pendenze, siano cancellati dalle "centrali rischi" private, entro un
anno dalla data della loro regolarizzazione, se avvenuta nel corso del
finanziamento, o comunque dalla data di estinzione, anche anticipata,
del rapporto (avvenuta comunque senza perdite, debiti residui o pendenze).
In applicazione del principio di proporzionalità rispetto alle finalità
della raccolta e dell’ulteriore trattamento di informazioni di carattere
c.d. negativo, e in relazione alle conseguenze pregiudizievoli per gli
interessati, va segnalata la necessità di ridurre in ogni caso i tempi
di conservazione di dati relativi ad inadempimenti o "sofferenze" ancora
pendenti, oppure a debiti solo parzialmente estinti. A tale proposito
si ritiene congrua la loro conservazione per la durata del rapporto
di finanziamento e comunque non oltre un triennio a decorrere dalla
data in cui è risultato necessario il loro ultimo aggiornamento in "centrale
rischi".
Ciò tenendo conto delle precipue finalità delle "centrali rischi" private,
rispetto al più ridotto termine stabilito dalla Banca d’Italia per la
conservazione dei dati relativi alle c.d. "sofferenze" (dodici mesi:
v. cap. I, sez. 2, par. 8, Circolare n. 139 dell’11 febbraio 1991) e,
comunque, in misura inferiore rispetto al termine di cinque anni previsto,
dalle normative in materia di protesti cambiari, per dati relativi a
fattispecie destinate a svolgere un ruolo più rilevante nei rapporti
commerciali (articolo 3-bis, d.l. 18 settembre 1995, n. 381, convertito
con modificazioni dall’articolo 1, comma 1, l. 15 novembre 1995, n.
480 e articolo 11, d.m. 9 agosto 2000, n. 316).
Ulteriori valutazioni in materia potranno essere svolte in sede di redazione
del codice di deontologia o di buona condotta previsti in materia dall’articolo
20, comma 2, lett. e), d. lg. n. 467/2001.
8. ACCESSO, RETTIFICA E CANCELLAZIONE DEI DATI
Per quanto riguarda le modalità di raccolta e registrazione dei dati
nei sistemi informativi, occorre segnalare infine alle società che gestiscono
le "centrali rischi" private e a quelle che vi accedono la necessità
di un’attenta verifica dei criteri utilizzati e dei controlli volti
ad assicurare l’esattezza e l’aggiornamento delle informazioni. Ciò
in ragione della circostanza che le "centrali rischi" sono gestite da
autonomi titolari del trattamento tenuti all’osservanza dei principi
in materia di protezione dei dati personali, a prescindere dall’inerzia
o dal ritardo delle banche e delle società finanziarie nell’aggiornare
i dati o nel compiere le verifiche chieste dagli interessati.
è necessario garantire un maggior rispetto dei diritti degli interessati
anche riguardo alla tempestività ed alla completezza dei riscontri forniti
alle richieste presentate ai sensi dell’articolo 13 della legge n. 675.
Alcuni comportamenti "scorretti" espongono peraltro sia le "centrali
rischi", sia le banche e società finanziarie a responsabilità civile
derivante dalla violazione dell’articolo 9 della legge, anche sul piano
dei danni non patrimoniali (articolo 29, ultimo comma, legge citata),
nonché al rischio di incorrere nel pagamento delle spese dei successivi
procedimenti di ricorso al Garante.
Anche sotto questo profilo, appare condivisibile la prassi seguita da
alcuni operatori di sospendere la visualizzazione dei dati per il periodo
necessario a porre in essere le necessarie verifiche con l’istituto
segnalante per fornire compiuto riscontro alle richieste avanzate dall’interessato
ai sensi del citato articolo 13.
In particolare va segnalata agli operatori la necessità di fornire riscontro
alle richieste degli interessati per quanto riguarda i dati espressi
anche in forma di punteggi sul grado di affidabilità o solvibilità degli
interessati, ottenuti mediante elaborazioni automatiche ed analisi statistiche
(ad esempio, mediante l’utilizzo di programmi informatici di credit
scoring, i quali comportano peraltro l’applicazione di metodi di valutazione
del rischio più invasivi basati su dati relativi al complessivo profilo
del richiedente, alla richiesta presentata e ai pregressi comportamenti
in ambito finanziario).
Su tali particolari trattamenti, l’Autorità si riserva di svolgere una
successiva verifica, così come per le richieste di integrazione dei
dati volte a far precisare che il debito consegue ad un grave inadempimento
di una controparte (ad esempio legato ai difetti del bene acquistato).
Fermo restando il pieno rispetto da parte degli operatori dei richiamati
principi in tema di esattezza, aggiornamento e completezza dei dati
personali, taluni profili derivanti dall’intreccio delle informazioni
relative a richieste o a rapporti di finanziamento con dati di altro
tipo (estratti, in particolare, da registri delle conservatorie immobiliari,
registri delle imprese o dei protesti, elenchi telefonici) saranno oggetto
di valutazione più specifica nei lavori relativi ai codici deontologici
previsti dal d.lg. n. 467/2001 (v., in particolare, il relativo articolo
20, comma 2, lettere e) ed f)).
PER QUESTI MOTIVI, IL GARANTE:a) segnala ai sensi dell’articolo 31,
comma 1, lett. c), della legge n. 675/1996, ai soggetti che gestiscono
sistemi informativi di rilevazione dei rischi creditizi e alle società,
banche o istituti finanziari che aderiscono ai relativi circuiti, di
cui all’elenco in atti, la necessità di conformare il trattamento dei
dati personali svolto in tali ambiti ai principi della legge n. 675/1996
nei termini indicati in motivazione, fornendo entro il 15 dicembre 2002
all’Ufficio del Garante dettagliate notizie circa le prime misure adottate
nelle more del previsto codice di deontologia e di buona condotta;b)
dispone che copia del presente provvedimento sia trasmessa per conoscenza
agli organismi pubblici e privati interessati in ambito bancario e finanziario.