Informazioni sul trattamento dei dati personali

In tale ambito, il trattamento è effettuato per finalità volte a (i) verificare e consentire ai nostri clienti di verificare l’identità degli interessati e la correttezza dei dati da essi forniti e prevenire artifizi e raggiri ovvero possibili frodi (ad es., il furto d’identità); (ii) effettuare analisi del merito creditizio e valutare l’affidabilità e la puntualità nei pagamenti dell’interessato, per assumere e/o gestire un rischio di credito e/o di mancato pagamento; (iii) contenere eccessivi indebitamenti o sovraesposizioni degli interessati, anche in corso di rapporto attraverso opportune attività di monitoraggio, favorendo l’inclusione finanziaria e l’accessibilità dei servizi; (iii) elaborare i dati, ove possibile in forma aggregata, anonima o pseudonima, per soddisfare esigenze 1) statistiche (ad esempio per creare modelli e variabili per valutazioni sul merito creditizio e/o sul rischio correlato alla concessione di finanziamenti e pagamenti dilazionati o differiti di servizi o prodotti), 2) normative/regolamentari o 3) di sviluppo di prodotti o servizi dei partecipanti; (iv) consentire ai nostri clienti di verificare, anche comparativamente, la predittività delle informazioni contenute nel SIC, (v) garantire l’efficacia e l’efficienza delle banche dati e la qualità dei dati, ad esempio verificando la congruità dei dati che vengono comunicati al SIC dai partecipanti, attraverso controlli di carattere formale e logico  e di analisi dei sistemi e prodotti per supportare lo sviluppo ed il test di nuovi servizi, prodotti e tecnologie.

I  dati, su richiesta del cliente, sono trattati anche mediante l'impiego di particolari tecniche e sistemi automatizzati basati sull'applicazione di metodi e modelli statistici che ponderano diversi fattori (numero e caratteristiche dei rapporti in essere, andamento e storia dei pagamenti dei rapporti in essere o estinti, eventuale presenza e caratteristiche di o nuove richieste di credito o di pagamento dilazionato di beni o servizi) ed i cui risultati sono espressi in forma sintetica tramite indicatori o punteggi diretti a fornire una rappresentazione, in termini predittivi o probabilistici, del profilo di rischio, affidabilità o puntualità nei pagamenti dell'interessato (c.d. credit scoring). I nostri clienti (direttamente o tramite propri responsabili del trattamento) possono elaborare i dati e tali indicatori numerici ad essi forniti con dati e punteggi ottenuti da fonti diverse (ad es. fonti pubbliche, o dati provenienti da altre fonti) per creare propri indicatori numerici.

In particolare, i dati trattati nell’ambito del SIC appartengono alle seguenti categorie di dati:

• dati anagrafici (quali ad es. nome e cognome, data e luogo di nascita, codice fiscale e/o partita Iva, residenza/domicilio, sesso, stato civile), nucleo familiare, dati di contatto, documenti di identità, tessera sanitaria, Iban;
• dati sociodemografici, dati relativi alla occupazione/professione, al reddito;
• dati relativi alla richiesta/rapporto, descrittivi, in particolare, della tipologia di contratto, dell'importo, delle modalità di rimborso/pagamento e dello stato della richiesta o dell'esecuzione del contratto;
• dati di tipo contabile, relativi ai pagamenti, al loro andamento periodico, all'esposizione debitoria anche residua e alla sintesi dello stato contabile del rapporto;
• dati relativi ad attività di recupero o contenziose, alla cessione del credito o a eccezionali vicende che incidono sulla situazione soggettiva o patrimoniale dell’interessato, quali, ad esempio informazioni fornite dai partecipanti circa l’incaglio nei pagamenti, il passaggio a perdita, sofferenza.

In banche dati separate dal SIC, per le medesime finalità sopra indicate ed anche mediante l'uso di sistemi automatizzati (scoring), trattiamo dati provenienti dalle c.d. fonti pubbliche relativi ad aspetti patrimoniali, economici, finanziari, creditizi, industriali e produttivi dell’interessato (quali, in particolare, dati relativi ad eventi pregiudizievoli di Tribunale e Conservatoria, dati ipocatastali, dati telefonici, procedure concorsuali e protesti) o comunque forniamo servizi per accedere ai dati provenienti da tali fonti. Raccogliamo tali dati direttamente od in via mediata da fornitori privati sulla base di appositi accordi con questi ultimi e, comunque, nel rispetto delle forme e dei limiti stabiliti dalle disposizioni normative che disciplinano la conoscibilità, utilizzabilità e pubblicità degli atti e dei dati in essi contenuti.

Ai sensi del Decreto Legislativo n. 141/2010 e del Decreto del Ministero dell’Economia e delle Finanze n. 95/2014 e successive modifiche ed integrazioni, in quanto gestore del SIC, partecipiamo come aderente indiretto al Sistema pubblico di prevenzione, sul piano amministrativo, delle frodi nel settore del credito al consumo, con specifico riferimento al furto di identità (“Scipafi”) istituito presso il Ministero dell’Economia e delle Finanze e, per offrire agli aderenti diretti i relativi servizi riguardanti il riscontro dell’autenticità dei dati oggetto di verifica presso tale Sistema e, per la parte di nostra competenza, operiamo il trattamento di dati personali che appartengono alle seguenti categorie: dati identificativi ed anagrafici contenuti in documenti di identità e di riconoscimento, comunque denominati o equipollenti, ancorché smarriti o rubati, partite IVA, codici fiscali, dati contenuti nelle tessere sanitarie, nei documenti che attestano il reddito, nonché nelle posizioni contributive previdenziali ed assistenziali, e gli altri dati che nel tempo sono messi a disposizione dal Sistema.Nel caso di eventuale utilizzo di ulteriori fonti di informazione, queste saranno soggette ai medesimi principi e disposizioni della normativa privacy e del Codice di condotta, oltre che ad eventuali normative specificamente applicabili. 

Ai sensi della normativa vigente, possono avere accesso ai SIC:

• i c.d. partecipanti al SIC:
• le banche, comprese quelle comunitarie e quelle extracomunitarie, le società finanziarie e tutti gli intermediari finanziari la cui attività è regolamentata nell’ambito del decreto legislativo 1° settembre 1993, n. 385;
• i soggetti autorizzati a svolgere in Italia l’attività di factoring (legge 21 febbraio 1991, n. 52 e successive modifiche), soggetti appartenenti a gruppi bancari o finanziari;
• gli istituti di pagamento;
• i soggetti privati che, nell’esercizio di attività commerciale o professionale, concedono una dilazione del pagamento del corrispettivo per la fornitura di beni o servizi, ovvero svolgono l’attività di leasing anche operativo, o l’attività di noleggio a lungo termine, nonché l’attività di gestione di piattaforme digitali per prestiti tra privati;
• le imprese di assicurazione, ai sensi del D. Lgs 209/2005;
• i fornitori di servizi di comunicazione elettronica ai sensi dell’art. 1, comma 1, lettera gg), del codice di cui al D. Lgs 259/2003;
• i soggetti di cui all'articolo 29 del decreto legislativo 7 marzo 2005, n. 82;
• i fornitori di servizi interattivi associati o di servizi di accesso condizionato ai sensi dell'articolo 2, comma 1, lettera q), del D. Lgs 177/2005;
• i soggetti autorizzati alla vendita a clienti finali di energia elettrica e gas naturale, ai sensi della normativa vigente.

I destinatari dei dati di ritorno dal sistema Scipafi sono gli aderenti diretti a tale sistema.

I dati possono venire altresì a conoscenza del nostro personale espressamente autorizzato al trattamento medesimo ed appartenente a servizi ed uffici centrali nonché a strutture che svolgono compiti tecnici e di supporto e di controllo aziendale quali, ad esempio, il Servizio Tutela Consumatori, i Dipartimenti Legale e Compliance ed il Dipartimento di Information Technology.

Ai sensi del citato Codice di condotta, Il trattamento dei dati personali da parte del gestore e dei partecipanti al SIC risulta lecito ai sensi dell’art. 6 comma 1 lett. f) del Regolamento in quanto è necessario per il perseguimento di legittimi interessi dei partecipanti all’utilizzo del SIC per le finalità su indicate. Pertanto, non è necessario acquisire il consenso dell’interessato. Costituiscono legittimi interessi: la corretta misurazione del merito e del rischio creditizio, la corretta valutazione dell’affidabilità e della puntualità dei pagamenti dell’interessato, la prevenzione del rischio di frode, ivi inclusa la prevenzione del rischio del furto di identità.

Anche per il trattamento dei citati dati provenienti dalle c.d. fonti pubbliche non è richiesto il consenso dell’interessato in quanto ciò è necessario per il perseguimento degli interessi legittimi dei SIC e dei nostri clienti per le predette finalità volte alla tutela del credito ed alla corretta valutazione del merito creditizio, dell’affidabilità e della situazione finanziaria dei richiedenti credito od il pagamento dilazionato o differito di servizi o prodotti o per contenere eccessivi indebitamenti degli interessati e sovraesposizioni rispetto ai redditi dei debitori, nonché per prevenire artifizi e raggiri, al fine di accrescere la stabilità dei relativi sistemi e mercati di riferimento, nonché lo sviluppo delle attività produttive attraverso il sostegno della domanda di beni o servizi ed in quanto, tra l’altro, i dati sono estratti da dette fonti, ovvero da pubblici registri, elenchi, atti o documenti conoscibili e pubblicamente accessibili da chiunque.

La base giuridica del trattamento che effettuiamo ai sensi del Decreto Legislativo n. 141/2010 ed il Decreto del Ministero dell’Economia e delle Finanze n. 95/2014 e successive modifiche ed integrazioni, come aderente indiretto al sistema Scipafi è costituita dal perseguimento dell’interesse legittimo da parte nostra e degli aderenti diretti a tale sistema, rispettivamente, di offrire e ricevere i relativi servizi riguardanti il riscontro dell’autenticità dei dati oggetto di verifica presso il sistema medesimo per finalità inerenti alla prevenzione del furto di identità nei settori del credito al consumo, dei pagamenti dilazionati o differiti, dei servizi di comunicazione elettronica ed interattivi, nel settore della telefonia ed assicurativo e negli ulteriori settori inclusi in ragione dell’evoluzione normativa e applicativa.

Di conseguenza, disponiamo di protezioni tecniche, organizzative e contrattuali per mantenere le informazioni al sicuro e garantire in ogni caso gli standard europei di protezione dei dati. In particolare, a livello contrattuale, il trattamento ed il trasferimento di dati personali al di fuori dello Spazio Economico Europeo in paesi privi di una decisione di adeguatezza da parte della Commissione Europea sono basati sulle clausole standard di protezione dei dati adottate dalla Commissione Europea e/o sulle norme vincolanti d’impresa e/o sulla selezione di soggetti aderenti a programmi internazionali per la libera circolazione dei dati personali. L’interessato può contattarci per richiederne una copia di tali garanzie o conoscere il luogo dove sono state rese disponibili.

Si riportano qui di seguito i tempi di conservazione  stabiliti dal Codice di condotta per la conservazione nel SIC delle informazioni creditizie:

archivio delle richieste	Fino a 6 mesi, qualora l'istruttoria lo richieda, o 90 giorni in caso di rifiuto della richiesta o rinuncia della stessa
morosità di due rate o di due mesi, poi sanate	12 mesi dalla regolarizzazione, se nel corso del medesimo intervallo di tempo, non siano registrati dati relativi ad ulteriori ritardi o inadempimenti*
morosità superiori a due rate o due mesi, poi sanati, anche a seguito di transazione	24 mesi dalla regolarizzazione, se nel corso del medesimo intervallo di tempo non siano registrati dati relativi ad ulteriori ritardi o inadempimenti*
eventi negativi (morosità, gravi inadempimenti, sofferenze) non sanati	36 mesi dalla data di scadenza contrattuale del rapporto o dalla data in cui è risultato necessario l'ultimo aggiornamento (in caso di successivi accordi o altri eventi rilevanti in relazione al rimborso). Il termine massimo di conservazione dei dati relativi  a inadempimenti non successivamente regolarizzati - fermo  restando  il termine «normale» di riferimento di  trentasei  mesi  dalla  scadenza contrattuale o dalla cessazione del rapporto di cui al Codice di condotta, non può  comunque  mai  superare  i cinque anni dalla data di scadenza del  rapporto, quale risulta dal contratto  (Provvedimento del Garante del 6.10.2017 – Delibera n. 438)*
rapporti che si sono svolti positivamente (senza ritardi o altri eventi negativi)	60 mesidalla data di cessazione del rapporto, o  dalla scadenza contrattuale del rapporto ovvero dal primo aggiornamento effettuato nel mese successivo a tali date. Le informazioni di tipo positivo possono essere conservate ulteriormente in presenza di altri rapporti con eventi negativi non regolarizzati.*

*In caso di primo ritardo nei pagamenti si applicano le previsioni dell’allegato 2, par. 7 del Codice di condotta (c.d. franchigia).

Prima dell’eliminazione dei dati dal SIC secondo i tempi di conservazione sopra indicati, i dati possono essere trasposti su altro supporto, ai fini della limitata conservazione per il tempo necessario e del loro utilizzo, in relazione ad esigenze di rispetto di un obbligo di legge, di difesa di un proprio diritto in sede giudiziaria, amministrativa, arbitrale o di conciliazione (inclusa la fase propedeutica). Detti dati potranno essere trasferiti su altro supporto, non direttamente accedibile dai partecipanti e, unitamente a dati resi temporaneamente accessibili a tutti i partecipanti, previa adozione dalle opportune misure e tecniche per garantirne la gestione in sicurezza (ad es. attraverso adeguate tecniche di cripting o pseudonimizzazione), potranno essere utilizzati per la verifica, anche comparativa, della predittività delle informazioni contenute nel SIC, per lo sviluppo e la verifica dei modelli statistici e degli score, e, ove possibile, per elaborazioni in forma aggregata, anonima o pseudonima, atte a soddisfare esigenze statistiche, normative/regolamentari o di sviluppo di prodotti o servizi dei partecipanti. In ogni caso tali dati non potranno essere conservati per un periodo superiore a 10 anni dalla scadenza dei tempi di conservazione dei dati nel SIC. Tale base di dati potrà essere utilizzata inoltre per fornire dati e informazioni ad autorità di vigilanza per proprie finalità istituzionali.Per quanto riguarda i dati che provengono dalle c.d. fonti pubbliche, tali dati (eccezion fatta per le informazioni relative a fallimenti o procedure concorsuali e quelle relative ad atti pregiudizievoli ed ipocatastali) possono essere conservati per il periodo di tempo in cui rimangono conoscibili e/o pubblicati nelle fonti pubbliche da cui provengono, in conformità a quanto previsto dalle rispettive normative di riferimento. Fatti salvi i termini più restrittivi previsti da specifiche norme di legge:

·         le informazioni relative a fallimenti o procedure concorsuali possono essere conservate per un periodo di tempo non superiore a 10 anni dalla data di apertura della procedura del fallimento; decorso tale periodo, le predette informazioni possono essere ulteriormente conservate, solo quando risultino presenti altre informazioni relative ad un successivo fallimento o risulti avviata una nuova procedura fallimentare o concorsuale riferita al soggetto censito o ad altro soggetto connesso, nel qual caso, il trattamento può protrarsi per un periodo massimo di 10 anni dalle loro rispettive aperture, mentre

·         le informazioni relative ad atti pregiudizievoli ed ipocatastali (ipoteche e pignoramenti) possono essere conservate per un periodo di tempo non superiore a 10 anni dalla data della loro trascrizione o iscrizione, salva l'eventuale loro cancellazione prima di tale termine, nel qual caso viene conservata per un periodo di 2 anni l'annotazione dell'avvenuta cancellazione.

Non è prevista alcuna conservazione dei dati delle richieste di verifica e dei dati di riscontro dal sistema Scipafi, salvo che per esigenze amministrative di gestione del rapporto con gli aderenti diretti o di difesa di un proprio diritto in sede giudiziaria.

In particolare, le informazioni e gli strumenti forniti ai nostri clienti per analizzare e prevedere determinati aspetti personali di una persona fisica (riguardanti ad esempio la situazione economica e l’affidabilità) possono costituire uno strumento da loro utilizzato nei propri processi decisionali unitamente con i criteri dagli stessi determinati per prendere le proprie decisioni. I dati, le conoscenze, i processi e le pratiche di ciascuno dei nostri clienti generalmente svolgono un ruolo significativo nelle loro decisioni. Sulla base delle medesime informazioni, clienti diversi possono assumere decisioni diverse, in quanto ciascuno di essi può attribuire un'importanza diversa ad alcuni fattori rispetto ad altri. Per questo, l’interessato può, ad esempio, nell’ambito di una richiesta di credito o di servizio, ricevere un "sì" da un partecipante o accedente al SIC ed un "no" da un altro.

Anche per quanto riguarda gli indicatori numerici ed i punteggi di c.d. score forniti ai nostri clienti, ognuno di essi adotta propri criteri per calcolare gli stessi, anche se solitamente vengono presi a tal fine in considerazione i seguenti fattori: numero e caratteristiche dei rapporti in essere; andamento e storia dei pagamenti dei rapporti in essere o estinti; eventuale presenza e caratteristiche di nuove richieste; storia dei rapporti estinti; esistenza o meno di dati pregiudizievoli da Conservatoria o Tribunale, protesti o procedure concorsuali; tempo in cui l’interessato ha vissuto allo stesso indirizzo.