Dopo il preliminare parere favorevole emesso a luglio, il Garante per la protezione dei dati personali ha definitivamente approvato il “Codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti” che sostituisce il previgente “Codice di deontologia e di buona condotta per i sistemi informativi”.
Il provvedimento n. 163 del 12 settembre 2019 ha infatti aggiornato e reso al passo con i tempi la normativa privacy in un settore che ha subito enormi sviluppi e ampliamenti applicativi dalla prima regolamentazione ad oggi.
In particolare, l’aggiornamento è stato necessario per l’avanzamento della digital economy e per l’avvio dei servizi Fintech. Le nuove regole, infatti, oltre a normare i tradizionali settori del credito al consumo, mutui, leasing e noleggio a lungo termine, varranno anche per il prestito tra privati erogato tramite piattaforme tecnologiche Fintech (ad es. peer to peer lending).
I dati degli interessati raccolti nel SIC saranno trattati dai soggetti aderenti in forza della base giuridica del legittimo interesse. Verranno comunque rispettati tutti i diritti garantiti dal GDPR all’interessato e lo stesso dovrà essere informato, in caso di diniego all’accesso al credito, sulla logica di funzionamento dell’algoritmo posto alla base del suo scoring negativo. Previo accordo con gli interessati, sarà inoltre possibile inviare, tramite SMS o altri sistemi che garantiscano la tracciabilità della consegna, “preavvisi di segnalazione” che annunceranno l’iscrizione di un record negativo all’interno del sistema.
Novità sono state previste anche nella conservazione dei dati degli interessati. A tutela del credito e per rispondere alle richieste degli organismi di vigilanza, i dati storici positivi dei soggetti analizzati potranno essere conservati per 60 mesi.
Infine, oltre a prevedere misure di sicurezza maggiori a garanzia dei dati e per evitare l’accesso illecito ai SIC, è stato stabilito che gli algoritmi posti alla base del processo di valutazione automatica del cliente potranno essere “allenati” solo con dati pseudonimizzati, ossia non più immediatamente riferibili a un soggetto specifico.
A sovraintendere sul corretto funzionamento del sistema e sui reclami degli interessati, è stato istituito un nuovo Organismo di Monitoraggio che, rispetto al precedente, è strutturato in modo tale da garantire ai suoi membri maggiore indipendenza e autonomia rispetto alle società aderenti o gestori dei SIC.
È da ultimo utile ricordare che, ai sensi dell’art. 40 del del GDPR, il nuovo Codice diventerà pienamente efficace solo una volta completata la fase di accreditamento dell’organismo di monitoraggio davanti l’European Data Protection Board (EDPB), ossia il Comitato che riunisce le Autorità di protezione dati dell’Unione europea. Tuttavia, come già anticipato nel parere preliminare, gli aderenti al nuovo Codice si sono impegnati a rispettarlo fin da ora.