Lei ha diritto di essere informato in maniera trasparente su come vengono trattati i Suoi dati personali: desideriamo illustrare in particolare come utilizziamo le informazioni personali che ci vengono fornite quali gestori di un Sistema di Informazioni Creditizie (“SIC”). La invitiamo a leggere le informazioni che seguono ed a contattarci per qualsiasi dubbio o chiarimento.
Al fine di agevolare la comprensione, ai termini utilizzati si applicano le definizioni elencate nel Regolamento (UE) 2016/679 (GDPR) e nel Codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti, approvato dal Garante della protezione dei dati personali con provvedimento del 12 settembre 2019 (d’ora in poi Codice di condotta SIC o Codice).
1- Chi siamo?
Experian Italia S.p.A. è una società del gruppo Experian, che opera in Italia e gestisce, come titolare del trattamento, un SIC in cui sono contenute informazioni creditizie sia di tipo positivo, sia di tipo negativo. Per maggiori informazioni sul gruppo Experian, può consultare il sito www.experianplc.com.
2- Per quali finalità trattiamo i dati personali?
Trattiamo i dati personali per le finalità richieste od espressamente consentite dalla normativa vigente ed, in particolare, per finalità correlate alla valutazione, all’assunzione o alla gestione di un rischio di credito, alla valutazione dell’affidabilità e della puntualità nei pagamenti dell’interessato. Rientrano in tali finalità la prevenzione del rischio di frodi e del furto di identità.
In tale ambito, il trattamento è effettuato per finalità volte a (i) verificare e consentire ai nostri clienti di verificare l’identità degli interessati e la correttezza dei dati da essi forniti e prevenire artifizi e raggiri ovvero possibili frodi (ad es., il furto d’identità); (ii) effettuare analisi del merito creditizio e valutare l’affidabilità e la puntualità nei pagamenti dell’interessato, per assumere e/o gestire un rischio di credito e/o di mancato pagamento; (iii) contenere eccessivi indebitamenti o sovraesposizioni degli interessati, anche in corso di rapporto attraverso opportune attività di monitoraggio, favorendo l’inclusione finanziaria e l’accessibilità dei servizi; (iii) elaborare i dati, ove possibile in forma aggregata, anonima o pseudonima, per soddisfare esigenze 1) statistiche (ad esempio per creare modelli e variabili per valutazioni sul merito creditizio e/o sul rischio correlato alla concessione di finanziamenti e pagamenti dilazionati o differiti di servizi o prodotti), 2) normative/regolamentari o 3) di sviluppo di prodotti o servizi dei partecipanti; (iv) consentire ai nostri clienti di verificare, anche comparativamente, la predittività delle informazioni contenute nel SIC, (v) garantire l’efficacia e l’efficienza delle banche dati e la qualità dei dati, ad esempio verificando la congruità dei dati che vengono comunicati al SIC dai partecipanti, attraverso controlli di carattere formale e logico e di analisi dei sistemi e prodotti per supportare lo sviluppo ed il test di nuovi servizi, prodotti e tecnologie.
3- Con quali modalità trattiamo i dati personali?
Il trattamento è effettuato con modalità di organizzazione, raffronto ed elaborazione necessarie per il perseguimento delle finalità sopra indicate, attraverso strumenti informatici, telematici e manuali, ed anche mediante l'uso di sistemi automatizzati di c.d. scoring, in particolare di credit scoring.
I dati, su richiesta del cliente, sono trattati anche mediante l'impiego di particolari tecniche e sistemi automatizzati basati sull'applicazione di metodi e modelli statistici che ponderano diversi fattori (numero e caratteristiche dei rapporti in essere, andamento e storia dei pagamenti dei rapporti in essere o estinti, eventuale presenza e caratteristiche di o nuove richieste di credito o di pagamento dilazionato di beni o servizi) ed i cui risultati sono espressi in forma sintetica tramite indicatori o punteggi diretti a fornire una rappresentazione, in termini predittivi o probabilistici, del profilo di rischio, affidabilità o puntualità nei pagamenti dell'interessato (c.d. credit scoring). I nostri clienti (direttamente o tramite propri responsabili del trattamento) possono elaborare i dati e tali indicatori numerici ad essi forniti con dati e punteggi ottenuti da fonti diverse (ad es. fonti pubbliche, o dati provenienti da altre fonti) per creare propri indicatori numerici.
4- Quali dati personali trattiamo?
Nell'ambito del SIC, nei limiti stabiliti dalle disposizioni vigenti, trattiamo i dati identificativi degli interessati ed i dati, anche di tipo contabile, relativi alle richieste od ai rapporti contrattuali con i nostri clienti.
Inoltre, secondo quanto previsto nel citato Codice di condotta, trattiamo i dati provenienti dalle c.d. fonti pubbliche e/o di eventuali altre fonti e partecipiamo al sistema pubblico di prevenzione, sul piano amministrativo, delle frodi nel settore del credito al consumo, con specifico riferimento al furto di identità, istituito presso il Ministero dell’Economia e delle Finanze.
In particolare, i dati trattati nell’ambito del SIC appartengono alle seguenti categorie di dati:
In banche dati separate dal SIC, per le medesime finalità sopra indicate ed anche mediante l'uso di sistemi automatizzati (scoring), trattiamo dati provenienti dalle c.d. fonti pubbliche relativi ad aspetti patrimoniali, economici, finanziari, creditizi, industriali e produttivi dell’interessato (quali, in particolare, dati relativi ad eventi pregiudizievoli di Tribunale e Conservatoria, dati ipocatastali, dati telefonici, procedure concorsuali e protesti) o comunque forniamo servizi per accedere ai dati provenienti da tali fonti. Raccogliamo tali dati direttamente od in via mediata da fornitori privati sulla base di appositi accordi con questi ultimi e, comunque, nel rispetto delle forme e dei limiti stabiliti dalle disposizioni normative che disciplinano la conoscibilità, utilizzabilità e pubblicità degli atti e dei dati in essi contenuti.
Ai sensi del Decreto Legislativo n. 141/2010 e del Decreto del Ministero dell’Economia e delle Finanze n. 95/2014 e successive modifiche ed integrazioni, in quanto gestore del SIC, partecipiamo come aderente indiretto al Sistema pubblico di prevenzione, sul piano amministrativo, delle frodi nel settore del credito al consumo, con specifico riferimento al furto di identità (“Scipafi”) istituito presso il Ministero dell’Economia e delle Finanze e, per offrire agli aderenti diretti i relativi servizi riguardanti il riscontro dell’autenticità dei dati oggetto di verifica presso tale Sistema e, per la parte di nostra competenza, operiamo il trattamento di dati personali che appartengono alle seguenti categorie: dati identificativi ed anagrafici contenuti in documenti di identità e di riconoscimento, comunque denominati o equipollenti, ancorché smarriti o rubati, partite IVA, codici fiscali, dati contenuti nelle tessere sanitarie, nei documenti che attestano il reddito, nonché nelle posizioni contributive previdenziali ed assistenziali, e gli altri dati che nel tempo sono messi a disposizione dal Sistema.Nel caso di eventuale utilizzo di ulteriori fonti di informazione, queste saranno soggette ai medesimi principi e disposizioni della normativa privacy e del Codice di condotta, oltre che ad eventuali normative specificamente applicabili.
5- A chi comunichiamo i dati personali?
Comunichiamo i dati alle seguenti categorie di soggetti:
Ai sensi della normativa vigente, possono avere accesso ai SIC:
I destinatari dei dati di ritorno dal sistema Scipafi sono gli aderenti diretti a tale sistema.
I dati possono venire altresì a conoscenza del nostro personale espressamente autorizzato al trattamento medesimo ed appartenente a servizi ed uffici centrali nonché a strutture che svolgono compiti tecnici e di supporto e di controllo aziendale quali, ad esempio, il Servizio Tutela Consumatori, i Dipartimenti Legale e Compliance ed il Dipartimento di Information Technology.
6- Su quali basi giuridiche si fonda la liceità del nostro trattamento?
Nell’ambito del SIC, il trattamento dei dati personali è necessario per il perseguimento di legittimi interessi dei partecipanti per le finalità sopra menzionate.
Analogamente, per il trattamento di dati provenienti dalle c.d. fonti pubbliche ed il trattamento che effettuiamo quali aderenti indiretti del sistema Scipafi, non è richiesto il consenso.
Ai sensi del citato Codice di condotta, Il trattamento dei dati personali da parte del gestore e dei partecipanti al SIC risulta lecito ai sensi dell’art. 6 comma 1 lett. f) del Regolamento in quanto è necessario per il perseguimento di legittimi interessi dei partecipanti all’utilizzo del SIC per le finalità su indicate. Pertanto, non è necessario acquisire il consenso dell’interessato. Costituiscono legittimi interessi: la corretta misurazione del merito e del rischio creditizio, la corretta valutazione dell’affidabilità e della puntualità dei pagamenti dell’interessato, la prevenzione del rischio di frode, ivi inclusa la prevenzione del rischio del furto di identità.
Anche per il trattamento dei citati dati provenienti dalle c.d. fonti pubbliche non è richiesto il consenso dell’interessato in quanto ciò è necessario per il perseguimento degli interessi legittimi dei SIC e dei nostri clienti per le predette finalità volte alla tutela del credito ed alla corretta valutazione del merito creditizio, dell’affidabilità e della situazione finanziaria dei richiedenti credito od il pagamento dilazionato o differito di servizi o prodotti o per contenere eccessivi indebitamenti degli interessati e sovraesposizioni rispetto ai redditi dei debitori, nonché per prevenire artifizi e raggiri, al fine di accrescere la stabilità dei relativi sistemi e mercati di riferimento, nonché lo sviluppo delle attività produttive attraverso il sostegno della domanda di beni o servizi ed in quanto, tra l’altro, i dati sono estratti da dette fonti, ovvero da pubblici registri, elenchi, atti o documenti conoscibili e pubblicamente accessibili da chiunque.
La base giuridica del trattamento che effettuiamo ai sensi del Decreto Legislativo n. 141/2010 ed il Decreto del Ministero dell’Economia e delle Finanze n. 95/2014 e successive modifiche ed integrazioni, come aderente indiretto al sistema Scipafi è costituita dal perseguimento dell’interesse legittimo da parte nostra e degli aderenti diretti a tale sistema, rispettivamente, di offrire e ricevere i relativi servizi riguardanti il riscontro dell’autenticità dei dati oggetto di verifica presso il sistema medesimo per finalità inerenti alla prevenzione del furto di identità nei settori del credito al consumo, dei pagamenti dilazionati o differiti, dei servizi di comunicazione elettronica ed interattivi, nel settore della telefonia ed assicurativo e negli ulteriori settori inclusi in ragione dell’evoluzione normativa e applicativa.
7- Dove conserviamo e dove inviamo nel mondo i dati personali?
Il server principale in cui sono conservati i dati personali è ubicato nel Regno Unito. Gli stessi dati, per le indicate finalità, possono essere oggetto di operazioni di trattamento da parte di società del gruppo Experian e di altri soggetti che si trovano o utilizzano data center all’interno dello Spazio Economico Europeo e/o in paesi non facenti parte dello Spazio Economico Europeo. In ogni caso, Experian assicura l’adozione di garanzie adeguate o opportune ai fini del rispetto della normativa in materia di protezione dei dati personali e del mantenimento degli standard europei di protezione dei dati personali.
Di conseguenza, disponiamo di protezioni tecniche, organizzative e contrattuali per mantenere le informazioni al sicuro e garantire in ogni caso gli standard europei di protezione dei dati. In particolare, a livello contrattuale, il trattamento ed il trasferimento di dati personali al di fuori dello Spazio Economico Europeo in paesi privi di una decisione di adeguatezza da parte della Commissione Europea sono basati sulle clausole standard di protezione dei dati adottate dalla Commissione Europea e/o sulle norme vincolanti d’impresa e/o sulla selezione di soggetti aderenti a programmi internazionali per la libera circolazione dei dati personali. L’interessato può contattarci per avere ogni dettaglio al riguardo.
8- Per quanto tempo conserviamo i dati personali?
I criteri ed i termini utilizzati per la conservazione nel SIC delle informazioni creditizie sono quelli stabiliti dal Codice SIC.
I criteri utilizzati per la conservazione dei dati provenienti dalle c.d. fonti pubbliche sono quelli previsti dal Codice di condotta per il trattamento dei dati personali in materia di informazioni commerciali (Provvedimento n. 181 del Garante per la protezione dei dati personali del 29 aprile 2021).
Si riportano qui di seguito i tempi di conservazione stabiliti dal Codice di condotta per la conservazione nel SIC delle informazioni creditizie:
archivio delle richieste |
Fino a 6 mesi, qualora l'istruttoria lo richieda, o 90 giorni in caso di rifiuto della richiesta o rinuncia della stessa |
morosità di due rate o di due mesi, poi sanate |
12 mesi dalla regolarizzazione, se nel corso del medesimo intervallo di tempo, non siano registrati dati relativi ad ulteriori ritardi o inadempimenti* |
morosità superiori a due rate o due mesi, poi sanati, anche a seguito di transazione |
24 mesi dalla regolarizzazione, se nel corso del medesimo intervallo di tempo non siano registrati dati relativi ad ulteriori ritardi o inadempimenti* |
eventi negativi (morosità, gravi inadempimenti, sofferenze) non sanati |
36 mesi dalla data di scadenza contrattuale del rapporto o dalla data in cui è risultato necessario l'ultimo aggiornamento (in caso di successivi accordi o altri eventi rilevanti in relazione al rimborso). Il termine massimo di conservazione dei dati relativi a inadempimenti non successivamente regolarizzati - fermo restando il termine «normale» di riferimento di trentasei mesi dalla scadenza contrattuale o dalla cessazione del rapporto di cui al Codice di condotta, non può comunque mai superare i cinque anni dalla data di scadenza del rapporto, quale risulta dal contratto (Provvedimento del Garante del 6.10.2017 – Delibera n. 438)* |
rapporti che si sono svolti positivamente (senza ritardi o altri eventi negativi) |
60 mesidalla data di cessazione del rapporto, o dalla scadenza contrattuale del rapporto ovvero dal primo aggiornamento effettuato nel mese successivo a tali date. Le informazioni di tipo positivo possono essere conservate ulteriormente in presenza di altri rapporti con eventi negativi non regolarizzati.* |
*In caso di primo ritardo nei pagamenti si applicano le previsioni dell’allegato 2, par. 7 del Codice di condotta (c.d. franchigia).
Prima dell’eliminazione dei dati dal SIC secondo i tempi di conservazione sopra indicati, i dati possono essere trasposti su altro supporto, ai fini della limitata conservazione per il tempo necessario e del loro utilizzo, in relazione ad esigenze di rispetto di un obbligo di legge, di difesa di un proprio diritto in sede giudiziaria, amministrativa, arbitrale o di conciliazione (inclusa la fase propedeutica). Detti dati potranno essere trasferiti su altro supporto, non direttamente accedibile dai partecipanti e, unitamente a dati resi temporaneamente accessibili a tutti i partecipanti, previa adozione dalle opportune misure e tecniche per garantirne la gestione in sicurezza (ad es. attraverso adeguate tecniche di cripting o pseudonimizzazione), potranno essere utilizzati per la verifica, anche comparativa, della predittività delle informazioni contenute nel SIC, per lo sviluppo e la verifica dei modelli statistici e degli score, e, ove possibile, per elaborazioni in forma aggregata, anonima o pseudonima, atte a soddisfare esigenze statistiche, normative/regolamentari o di sviluppo di prodotti o servizi dei partecipanti. In ogni caso tali dati non potranno essere conservati per un periodo superiore a 10 anni dalla scadenza dei tempi di conservazione dei dati nel SIC. Tale base di dati potrà essere utilizzata inoltre per fornire dati e informazioni ad autorità di vigilanza per proprie finalità istituzionali.Per quanto riguarda i dati che provengono dalle c.d. fonti pubbliche, tali dati (eccezion fatta per le informazioni relative a fallimenti o procedure concorsuali e quelle relative ad atti pregiudizievoli ed ipocatastali) possono essere conservati per il periodo di tempo in cui rimangono conoscibili e/o pubblicati nelle fonti pubbliche da cui provengono, in conformità a quanto previsto dalle rispettive normative di riferimento. Fatti salvi i termini più restrittivi previsti da specifiche norme di legge:
· le informazioni relative a fallimenti o procedure concorsuali possono essere conservate per un periodo di tempo non superiore a 10 anni dalla data di apertura della procedura del fallimento; decorso tale periodo, le predette informazioni possono essere ulteriormente conservate, solo quando risultino presenti altre informazioni relative ad un successivo fallimento o risulti avviata una nuova procedura fallimentare o concorsuale riferita al soggetto censito o ad altro soggetto connesso, nel qual caso, il trattamento può protrarsi per un periodo massimo di 10 anni dalle loro rispettive aperture, mentre
· le informazioni relative ad atti pregiudizievoli ed ipocatastali (ipoteche e pignoramenti) possono essere conservate per un periodo di tempo non superiore a 10 anni dalla data della loro trascrizione o iscrizione, salva l'eventuale loro cancellazione prima di tale termine, nel qual caso viene conservata per un periodo di 2 anni l'annotazione dell'avvenuta cancellazione.
Non è prevista alcuna conservazione dei dati delle richieste di verifica e dei dati di riscontro dal sistema Scipafi, salvo che per esigenze amministrative di gestione del rapporto con gli aderenti diretti o di difesa di un proprio diritto in sede giudiziaria.
9- Da dove provengono i dati personali che trattiamo?
I dati che registriamo nel SIC ci vengono comunicati dai relativi partecipanti e vengono dagli stessi aggiornati periodicamente con cadenza mensile.
I dati tratti dalle c.d. fonti pubbliche, in particolare, provengono da pubblici registri, elenchi, atti o documenti conoscibili da chiunque o pubblicamente accessibili da chiunque tenuti, ad esempio, dalle Camere di Commercio o presso l’Agenzia delle Entrate, quali il registro dei protesti, il registro delle imprese, gli elenchi c.d. categorici e telefonici ed i dati relativi ad eventi pregiudizievoli di Tribunale e Conservatoria.
Nel caso di eventuale utilizzo di ulteriori fonti di dati in combinazione con i dati presenti nel SIC, varranno i principi e disposizioni della normativa vigente e, in quanto compatibili, i principi del Codice di condotta.
10- Prendiamo decisioni o effettuiamo una profilazione?
Noi non diciamo ai nostri clienti se gli stessi dovrebbero concedere all’interessato il finanziamento o il pagamento dilazionato o differito di un prodotto o servizio richiesto da quest’ultimo, in quanto ciò resta nella loro discrezione. Forniamo ai nostri clienti solamente informazioni per supportare i clienti stessi nell’assumere le loro decisioni. Ciascuno dei nostri clienti assume in totale autonomia tale decisione sulla base delle diverse informazioni raccolte nel corso dell'istruttoria e delle proprie politiche e criteri.
In particolare, le informazioni e gli strumenti forniti ai nostri clienti per analizzare e prevedere determinati aspetti personali di una persona fisica (riguardanti ad esempio la situazione economica e l’affidabilità) possono costituire uno strumento da loro utilizzato nei propri processi decisionali unitamente con i criteri dagli stessi determinati per prendere le proprie decisioni. I dati, le conoscenze, i processi e le pratiche di ciascuno dei nostri clienti generalmente svolgono un ruolo significativo nelle loro decisioni. Sulla base delle medesime informazioni, clienti diversi possono assumere decisioni diverse, in quanto ciascuno di essi può attribuire un'importanza diversa ad alcuni fattori rispetto ad altri. Per questo, l’interessato può, ad esempio, nell’ambito di una richiesta di credito o di servizio, ricevere un "sì" da un partecipante o accedente al SIC ed un "no" da un altro.
Anche per quanto riguarda gli indicatori numerici ed i punteggi di c.d. score forniti ai nostri clienti, ognuno di essi adotta propri criteri per calcolare gli stessi, anche se solitamente vengono presi a tal fine in considerazione i seguenti fattori: numero e caratteristiche dei rapporti in essere; andamento e storia dei pagamenti dei rapporti in essere o estinti; eventuale presenza e caratteristiche di nuove richieste; storia dei rapporti estinti; esistenza o meno di dati pregiudizievoli da Conservatoria o Tribunale, protesti o procedure concorsuali; tempo in cui l’interessato ha vissuto allo stesso indirizzo.
11- Quali diritti può esercitare l’interessato riguardo al trattamento dei dati personali?
L'interessato, contattandoci, può accedere in ogni momento ai dati che lo riguardano, conoscere l’elenco aggiornato dei responsabili del trattamento e può esercitare i diritti di cui all’art. 9 del del Codice di condotta e agli artt. da 16 a 21 del Regolamento UE 679/2016 (diritto di rettifica, di aggiornamento, di cancellazione, di opposizione o di limitazione del trattamento).
Il Servizio Consumatori di Experian è incaricato di gestire le relative istanze degli interessati. Al fine di agevolare l'esercizio di tali diritti è disponibile l'area dedicata del sito internet di Experian www.experian.it/consumatori
L’interessato ha altresì diritto di proporre reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it), o all’Organismo di Monitoraggio del Codice di condotta SIC (www.odmsic.it).
12- Come può contattarci?
Indichiamo qui di seguito i nostri dati di contatto:
Experian Italia S.p.A.
Piazza dell’Indipendenza 11/b - 00185 Roma
Sito web: www.experian.it (Area Consumatori)
Servizio Consumatori: telefono +39 06 45486499 fax +39 06 45486488 pec consumatori.experian@legalmail.it
Email del responsabile della protezione dei dati: dpoItaly@experian.com
La presente informativa è aggiornata alla data del 8 gennaio 2024 e potrà, ove necessario, essere successivamente aggiornata.