LE NOVITÀ DEL CODICE DI CONDOTTA PER I SISTEMI GESTITI DA PRIVATI IN TEMA DI CREDITI AL CONSUMO
Antonio Ciccia Messina
Basta un messaggio istantaneo per avvisare che si sta per essere segnalati per non avere pagato le rate di finanziamento per l’acquisto di un bene di consumo. E sui cattivi pagatori scatta l’oblio al massimo dopo 5 anni dalla scadenza del contratto. Mentre ogni due anni bisogna fare il tagliando agli algoritmi usati per dare un voto ai debitori.
La trasparenza e correttezza dei sistemi di scoring, il periodo massimo di conservazione delle informazioni sui pagamenti e le modalità di preavviso delle segnalazioni negative sono alcuni dei profili trattati dal “codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti”, giunto alla conclusione del suo iter, dopo la definitiva approvazione del Garante della privacy, avvenuta con provvedimento n. 324 del 6 ottobre 2022.
Il codice di condotta in questione, previsto dalla normativa italiana di armonizzazione al regolamento Ue sulla privacy n. 2016/679 (Gdpr) sostituisce la precedente versione ed è operativo dal 5 novembre 2022 (dopo la pubblicazione sulla Gazzetta Ufficiale n. 258 del 4 novembre 2022).
Il codice si occupa dei cosiddetti Sic (sistemi di informazione creditizia) e cioè dei data base, gestiti da privati (sono gli eredi delle centrali rischi private), in cui sono registrate informazioni su chi chiede un prestito per ragioni personali o per comprare un bene di consumo o simili.
Il codice in commento, aperto alla adesione degli operatori, interessa qualsiasi richiesta o rapporto riguardanti la concessione, nell’esercizio di un’attività commerciale o professionale, di un credito, di una dilazione di pagamento, di un pagamento differito, di un finanziamento o di un’altra analoga facilitazione finanziaria. Rientrano anche le operazioni di noleggio a lungo termine, di leasing operativo, di cessione di crediti e di dilazioni di pagamento e di prestito tra privati gestito attraverso piattaforme digitali (peer to peer lending).
L’operazione è quella comune del finanziamento del credito al consumo, che innesca la necessità di verifica della affidabilità dell’acquirente del bene o del servizio.
Questa verifica si fa consultando centrali di raccolta di informazioni sulle richieste di finanziamento e sull’esito di quelle accolte, così da evitare insoluti di cattivi pagatori per banche, finanziarie, ma anche assicurazioni e operatori commerciali.
Si tratta di un sistema che raccoglie quantità enormi di informazioni e le elabora. E l’elaborazione può essere molto delicata, perché si esprime molto spesso con espressioni sintetiche risultato di procedure automatizzate di calcolo. Tutte queste attività con le informazioni comportano inevitabilmente problemi di privacy e, quindi, di correttezza in tutte le fasi delle operazioni, al fine di evitare danni alle persone (pregiudizi economici e reputazionali per effetto di trattamenti illeciti e non trasparenti o per effetto di attacchi informatici capaci di sottrarre dati da usare per furti di identità e simili).
Per assicurare la tutela delle persone il Gdpr ha previsto uno strumento di autoregolamentazione (discendente di analogo già previgente in Italia), con il quale gli operatori aderenti si obbligano a standard elevati di trasparenza, correttezza e sicurezza.
Tra questi aspetti spiccano quelli relativi a momenti cruciali della segnalazione ai Sic.
Quando deve partire una segnalazione negativa (rate non pagate) si deve dare un preavviso al debitore, così da avvisarlo ed evitare segnalazioni indebite (omonimie, regolarizzazioni sopravvenute) e, comunque, perché ne tenga conto per successive evenienze.
Qui il codice di condotta inserisce una serie di possibilità per evitare agli operatori di fare i salti mortali quando il debitore ce la mette tutta a rendersi irreperibile bloccando, di fatto, l’inserimento a sistema della notizia. Tra queste, oltre ad altre forme, nel codice di condotta, spiccano le strade del caricamento della notizia sul sito internet dell’operatore con contestuale sms di avviso ed anche il messaggio istantaneo con la spunta del ricevimento. Giocare a nascondino non è più così facile e non è più così agevole la speculazione di chi vuol chiedere danni perché è stato segnalato senza preavviso.
Il codice di condotta presenta, poi, lo scadenziario delle segnalazioni con la fissazione del termine oltre il quale una notizia non deve più apparire a sistema.
In particolare, per le segnalazioni negative il periodo invalicabile è il quinto anno successivo alla scadenza del rapporto. Questo termine può essere superato solo per le notizie favorevoli (contratto chiuso con il saldo del dovuto) se servono a compensare altre informazioni su ritardi e inadempimenti.
Quanto a temi più generali, va sottolineato il fatto che il codice in esame ribadisce che i dati sono trattati senza consenso. Il codice ricorda infatti che non ci vuole il consenso, avendo gli operatori un legittimo a trattare i dati per la corretta misurazione del merito e del rischio creditizio, la corretta valutazione dell’affidabilità e della puntualità dei pagamenti dell’interessato, la prevenzione del rischio di frode, inclusa la prevenzione del rischio del furto di identità. Tra l’altro queste affermazioni sono utilizzabili in via generale da qualunque impresa anche in contesti diversi.
Un secondo profilo riguarda i paletti posti all’uso di algoritmi, calcoli statistici e simili per schedare i debitori. Per queste ipotesi il codice pretende un tagliando biennale: i modelli o i fattori di analisi statistica, gli algoritmi di calcolo degli esiti, indicatori o punteggi devono essere verificati e aggiornati periodicamente con cadenza almeno biennale.
Da ricordare, infine, che l’inosservanza del codice di condotta, su cui vigilerà oltre il Garante un apposito Organismo di monitoraggio, espone gli operatori a una valutazione di aggravata responsabilità in caso di contestazioni di violazioni degli adempimenti di privacy.
Fonte:
