INFORMATIVA (ex art. 14 del Regolamento UE 2016/679 – GDPR)
CRIF S.p.A., con sede in Bologna, via della Beverara n. 21, gestisce, in qualità di Titolare del trattamento, un sistema di informazioni creditizie (di seguito “SIC EURISC”) di tipo positivo e negativo in cui sono raccolte informazioni che attengono a richieste/rapporti riguardanti la concessione, nell’esercizio di un’attività commerciale o professionale, di un credito, di una dilazione di pagamento, di un pagamento differito, di un finanziamento o di altra facilitazione finanziaria, a prescindere dalla sussistenza di inadempimenti registrati nel sistema al momento del loro verificarsi. Il trattamento dei dati personali censiti nel SIC EURISC è disciplinato dalla normativa di cui al Regolamento UE 2016/2016 (“GDPR”), dal D.lgs. 196/2003 –Codice Privacy – così come modificato dal D.Lgs. 101/2018 recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del GDPR, dal Codice di Condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti, approvato, con modificazioni, dal Garante per la protezione dei dati personali con Provvedimento n. 163 del 12 settembre 2019 (“Codice di Condotta”), dal d. l. n. 138/2011, convertito con legge n. 148/2011, del d. lgs. n. 141/2010 nonché da ogni altra normativa applicabile.
Il trattamento dei dati personali effettuato nell’ambito del SIC EURISC riguarda i dati relativi a:
a) interessati che chiedono di instaurare o è parte di un rapporto o che, a seguito di operazioni di cessione di crediti o dilazioni di pagamento possono diventare parte di un rapporto col medesimo partecipante e soggetti coobbligati, anche in solido;
b) interessati che agiscono nell’ambito della loro attività imprenditoriale o professionale che chiedono di instaurare o sono parte o che, a seguito di operazioni di cessione di crediti, possono divenire parte di un rapporto con il medesimo partecipante e soggetti coobbligati, anche in solido;
c) interessati che rivestono la qualifica di esponente aziendale o partecipante al capitale di una società e/o ente, che è parte di una richiesta/rapporto;
d) soggetti aventi un collegamento di tipo giuridico o economico con quelli di cui alla lettera b) che precede, sempre che i dati personali cui il partecipante/accedente intende accedere, risultino necessari per il perseguimento delle finalità di cui al Codice di Condotta (costoro non subiranno alcuna modificazione in virtù delle vicende relative al soggetto a cui è riferito in via principale il rapporto) (tutti, congiuntamente, i “Dati”).
In forza di un contratto o di un accordo con CRIF S.p.A., le banche (comunitarie ed extracomunitarie), società finanziarie, intermediari finanziari che svolgono attività regolamentata dal Testo Unico Bancario, soggetti autorizzati che svolgono attività di factoring, soggetti appartenenti a gruppi bancari e finanziari, altri soggetti privati che, nell’esercizio di attività commerciale o professionale, concedono dilazioni di pagamento ovvero svolgono attività di leasing (anche operativo) o attività di noleggio a lungo termine, nonché attività di gestione del di piattaforme digitali per prestiti tra privati (di seguito “Partecipanti”) contribuiscono, su base mensile e in maniera sistematica, tali Dati.
In particolare, le categorie di Dati trattati all’interno del SIC EURISC aggiornati periodicamente con informazioni acquisite nel corso del rapporto, sono:
a) dati identificativi, anagrafici e sociodemografici (quali, ad esempio: codice fiscale, partita Iva, dati di contatto, documenti di identità, tessera sanitaria, codice Iban, dati relativi alla occupazione/professione, al reddito, al sesso, all’età, alla residenza/domicilio, allo stato civile, al nucleo familiare);
b) dati relativi alla richiesta/rapporto, descrittivi, in particolare, della tipologia di contratto (es. prestito personale, mutuo ipotecario, carte rateali e a saldo, affidamento revolving, etc.), dell'importo dovuto, delle modalità di pagamento e dello stato della richiesta o dell'esecuzione del contratto (es. finanziamento rinunciato dall’interessato, rifiutato dall’ente, finanziamento accordato, finanziamento estinto, etc.);
c) dati di tipo contabile, relativi, in particolare, agli utilizzi o ai pagamenti, al loro andamento periodico, all'esposizione debitoria anche residua e alla sintesi dello stato contabile del rapporto (es. importo e numero delle rate dei finanziamenti rateali; importo addebitato e/o utilizzato sulla carta di credito; eventuale informazione sullo stato del finanziamento fornita dall’ente partecipante indicativa di un comportamento più o meno rischioso da parte dell’interessato – ad esempio: incaglio nei pagamenti, passaggio a sofferenza, passaggio a perdita, cessione a società di recupero crediti, comportamento fraudolento sulla carta di credito da parte dell’interessato, blocco della carta di credito per morosità da parte dell’interessato, contestazione da parte dell’interessato dell’addebito effettuato dall’ente partecipante sulla carta di credito, etc.);
d) dati relativi al contenzioso e ad attività di recupero del credito, alla cessione del credito o a eccezionali vicende che incidono sulla situazione soggettiva o patrimoniale degli interessati.
Ai sensi del Codice di Condotta, tali Dati, possono essere consultati, per le finalità nel medesimo stabilite e nel seguito riportate, anche ulteriori soggetti quali, attualmente, in forza dell’articolo 6-bis, del decreto-legge 13 agosto 2011, n. 138 convertito con la legge 14 settembre 2011, n. 148 e del vigente articolo 30-ter del decreto legislativo 13 agosto 2010, n.141 (come successivamente modificato)i fornitori di servizi di comunicazione elettronica e i fornitori di servizi interattivi associati o di servizi di accesso condizionato (tra cui, quindi, le società telefoniche), le imprese di assicurazione, i soggetti autorizzati a svolgere le attività di vendita a clienti finali di energia elettrica e di gas naturale ai sensi della normativa (cosiddetti “Accedenti”).
Il trattamento dei Dati contenuti nel SIC EURISC è effettuato esclusivamente per finalità connesse alla valutazione, all’assunzione o alla gestione di un rischio di credito, alla valutazione dell’affidabilità e della puntualità nei pagamenti dell’interessato. Rientrano in tali finalità la prevenzione del rischio di frodi e del furto di identità. I Dati sono trattati con modalità di organizzazione, raffronto ed elaborazione necessarie per il perseguimento delle finalità sopra descritte. Tali elaborazioni sono realizzate utilizzando strumenti informatici, telematici, e manuali che garantiscono la sicurezza e riservatezza delle informazioni creditizie trattate. I Dati contenuti nel SIC EURISC sono trattati anche mediante trattamenti o processi decisionali automatizzati di credit scoring che utilizzano diverse tipologie di fattori (a titolo esemplificativo e non esaustivo: numero e caratteristiche dei rapporti di credito in essere, andamento e storia dei pagamenti dei rapporti in essere o estinti, eventuale presenza e caratteristiche delle nuove richieste di credito, storia dei rapporti di credito estinti, etc.) che consentono di ottenere, attraverso l’applicazione di metodi e modelli statistici, risultati espressi in forma di giudizi sintetici, indicatori numerici o punteggi, diretti a fornire una rappresentazione in termini predittivi o probabilistici, del profilo di rischio, affidabilità o puntualità nei pagamenti dell’interessato.
Si precisa che rispetto a tali trattamenti e sistemi di credit scoring Crif S.p.A. non adotta alcuna decisione in grado di incidere su diritti e libertà degli interessati limitandosi a supportare i Partecipanti ed Accedenti, fornendo agli stessi le informazioni tratte dal SIC EURISC ed i suddetti giudizi sintetici. Le valutazioni di cui alle predette finalità sono effettuate esclusivamente dai Partecipanti/Accedenti che possono essere in possesso di altre informazioni aggiuntive e che decidono sulla base di proprie scelte di gestione del credito fondate su criteri e logiche di mercato insindacabili da parte di CRIF. I Dati sono comunicati ai Partecipanti e agli Accedenti al SIC EURISC mediante consultazione della relativa banca dati. I Dati in questione possono essere conosciuti anche dai dipendenti e collaboratori di CRIF S.p.A. specificatamente autorizzati a trattarli per il perseguimento delle finalità sopraindicate.
Il trattamento dei Dati da parte del Titolare del Trattamento, dei Partecipanti e degli Accedenti, secondo i termini e le condizioni stabilite nel Codice di Condotta risulta lecito ai sensi dell’art. 6 comma 1 lett. f) del Regolamento in quanto è necessario per il perseguimento di legittimi interessi dei partecipanti all’utilizzo del SIC per le finalità di cui al Codice di Condotta. Pertanto, non è necessario acquisire il consenso dell’interessato. Costituiscono legittimi interessi: la corretta misurazione del merito e del rischio creditizio, la corretta valutazione dell’affidabilità e della puntualità dei pagamenti dell’interessato, la prevenzione del rischio di frode, ivi inclusa la prevenzione del rischio del furto di identità.
I Dati censiti nel SIC EURISC sono conservati per il tempo indicato nel seguente schema riassuntivo:
|
|
Dati personali riferiti a richieste, comunicati da partecipati |
Per il tempo necessario all'istruttoria, comunque non oltre 180 giorni dalla data di presentazione delle richieste |
Dati personali relativi alla richiesta cui l'interessato ha rinunciato o che non è stata accolta |
non oltre 90 giorni. dalla data del loro aggiornamento (mensile) con l'esito della richiesta |
Le informazioni di tipo negativo relative a ritardi nei pagamenti successivamente regolarizzati |
12 mesi dalla data di registrazione dei dati relativi alla regolarizzazione dei ritardi non superiori a due rate o mesi; |
24 mesi dalla data di regolarizzazione di ritardi superiori a due rate o mesi. Decorsi i termini, i dati vengono cancellati salvo che nel mentre non siano registrati dati relativi ad ulteriori ritardi o inadempimenti |
|
Dati relativi alla regolarizzazione di inadempimenti avvenuta dopo la cessione del credito ad un soggetto che non partecipa al sistema |
senza ritardo, purché il partecipante ne abbia avuto conoscenza |
Le informazioni creditizie di tipo negativo relative ad inadempimenti non successivamente regolarizzati |
non oltre 36 mesi dalla data di scadenza contrattuale dalla data in cui è stato necessario aggiornare il dato, comunque massimo fino a 60 mesi dalla data di scadenza del rapporto, in caso di altre vicende rilevanti in relazione al pagamento |
Le informazioni creditizie di tipo positivo relative ad un rapporto che si è esaurito con estinzione di ogni obbligazione pecuniaria |
non oltre 60 mesi dalla data di cessazione del rapporto o di scadenza del contratto oppure dal primo aggiornamento effettuato nel mese successivo a tali date. conservazione ulteriore nel sistema se in quest'ultimo risultino presenti, in relazione ad altri rapporti di credito riferiti al medesimo interessato, informazioni creditizie di tipo negativo concernenti ritardi od inadempimenti non regolarizzati |
I dati relativi al primo ritardo sono utilizzati e resi accessibili agli altri partecipanti |
decorsi 60 giorni.: a) dall'aggiornamento mensile; b) in caso di mancato pagamento di almeno due rate mensili consecutive; c) quando il ritardo si riferisce ad una delle ultime due scadenze di pagamento. I dati sono resi accessibili dopo l'aggiornamento mensile relativo alla seconda rata consecutivamente non pagata. |
Prima dell’eliminazione dei Dati dal SIC secondo i tempi di conservazione indicati, CRIF può trasporre i Dati su altro supporto, ai fini della limitata conservazione per il tempo necessario e del loro utilizzo, in relazione ad esigenze di rispetto di un obbligo di legge, di difesa di un proprio diritto in sede giudiziaria, amministrativa, arbitrale o di conciliazione (inclusa la fase propedeutica). Tale supporto non è direttamente accedibile dai partecipanti. Tale base di Dati potrà essere utilizzata per la verifica, anche comparativa, della predittività delle informazioni contenute nel SIC, per lo sviluppo e la verifica dei modelli di cui all’articolo 10 lett. c) del Codice di condotta e per elaborazioni in forma aggregata, anonima o pseudonima, atte a soddisfare esigenze statistiche, normative/regolamentari o di sviluppo di prodotti o servizi dei partecipanti. In ogni caso tali Dati non potranno essere conservati per un periodo superiore a 10 anni dalla scadenza dei tempi di conservazione dei Dati di cui alla precedente tabella. Tale base di Dati potrà essere utilizzata inoltre per fornire dati e informazioni ad autorità di vigilanza per proprie finalità istituzionali.
CRIF S.p.A. aderisce ad un circuito internazionale di sistemi di informazioni creditizie operanti in vari paesi europei ed extra-europei e, pertanto, i Dati trattati potranno essere comunicati (sussistendo tutti i presupposti di legge) ad altre società, anche estere, che operano – nel rispetto della legislazione del loro paese – come autonomi gestori dei suddetti sistemi di informazioni creditizie e quindi perseguono le medesime finalità di trattamento del sistema gestito da CRIF S.p.A. Questi accordi (denominati cross border data exchange) sono anche funzionali a facilitare l’accesso ai finanziatori di altri Stati membri al sistema di informazioni creditizie EURISC in ottemperanza alle disposizioni dell’articolo 125 del Testo Unico Bancario – nonché, reciprocamente, a facilitare ai finanziatori italiani l’accesso a banche dati analoghe presenti in altri Stati membri. Elenco dei sistemi esteri convenzionati:
Ragione sociale |
Sito Internet |
Schufa Holding AG (Germania) |
https://www.schufa.de |
BKR – Bureau Krediet Registratie (Olanda) |
https://www.bkr.nl |
KSV1870 (Austria) |
https://www.ksv.at |
Crif A.G. (Svizzera) |
https://www.crif.ch |
Si specifica che vi è la possibilità che i Dati siano trasferiti in un Paese al di fuori dello Spazio Economico Europeo. Tuttavia, tale trasferimento avverrà sempre nel rispetto delle condizioni di cui al GDPR. In particolare, il predetto trasferimento potrà essere posto in essere, senza specifiche autorizzazioni, se il paese terzo di destinazione dei Dati rientri tra quelli che secondo la Commissione Europea garantiscono un livello di protezione adeguato. In mancanza della predetta decisione di adeguatezza adottata dalla Commissione Europea, tale trasferimento verso paesi terzi, potrà essere effettuato adottando le garanzie adeguate di cui all’art. 46 del GDPR. In mancanza di una decisione di adeguatezza o di garanzie adeguate, il trasferimento di Dati verso paesi terzi potrà esser effettuato qualora ricorrano le condizioni e sussistano gli ulteriori presupposti previsti dal GDPR, ivi compresa la possibilità di avvalersi, in specifiche situazioni, delle deroghe disciplinale dall’art. 49 del GDPR.
In relazione ai Dati registrati nel SIC EURISC ed ai presupposti di legittimazione del trattamento degli stessi, gli interessati potranno, ai sensi di quanto previsto dal GDPR, esercitare tutti i diritti agli stessi riconosciuti e previsti dagli articoli da 15 a 22 del GDPR, quale ad esempio quello di ottenere l'accesso ai propri dati personali, chiederne la rettifica, la cancellazione, la limitazione del trattamento o di opporsi al loro trattamento. Non è possibile esercitare il cd. diritto alla portabilità (art. 20 GDPR) dei dati personali in quanto non ne sussistono i presupposti.
L’interessato ha altresì diritto di proporre reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it), o all’Organismo di Monitoraggio del Codice di condotta SIC (www.odmsic.it).
Per l’esercizio dei diritti agli stessi riconosciuti, gli interessati possono rivolgendosi all’ Ufficio Relazioni con il Pubblico, via Zanardi 41, 40131 – Bologna (fax: 051/6458940 – tel: 051/6458900, sito internet: www.consumatori.crif.com).
Inoltre, per qualsiasi ulteriore informazione inerente al trattamento dei dati personali trattati da CRIF S.p.A. gli interessati potranno rivolgersi al Responsabile della protezione dei dati nominato da CRIF S.p.A. ai seguenti recapiti: email: dirprivacy@crif.com; pec: crif@pec.crif.com.
Per la gestione del SIC EURISC, CRIF S.p.A. si avvale di Responsabili del trattamento, appositamente nominati, la cui lista è reperibile presso la sede di CRIF S.p.A.