I SIC tra il “vecchio” codice di deontologia e buona condotta e i “futuri” codici di condotta ex art. 40 GDPR.
Con l’entrata in vigore del D. Lgs. n.101 del 2018 è partito il countdown per la verifica della compatibilità al GDPR, ovvero della riforma, dei 7 codici di deontologia e di buona condotta approvati dal Garante per la protezione dei dati personali.
Fra i 7 codici in questione c’è quello “per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti”, i cosiddetti SIC. Per tale “codice” è fissata al 19 marzo 2019 la deadline entro cui le associazioni di categoria e gli organismi rappresentativi dei soggetti interessati, dovranno sottoporre al Garante proposte conformi al GDPR.
Dopodiché il Garante avrà sei mesi di tempo per convalidarle. Il 2019 sarà dunque un anno chiave: se le scadenze saranno rispettate vedranno la luce i nuovi codici di condotta ex art. 40 GDPR ma se i tempi dovessero slittare o se saltasse una delle tappe del percorso delineato si andrebbe a creare un inevitabile vulnus nel sistema.
Lo scenario economico e legislativo è profondamente mutato rispetto a quando, alla fine degli anni Ottanta, nascevano i SIC. Inizialmente le società di gestione e raccolta delle informazioni creditizie (tra le più rappresentative CRIF, CERVED, CTC) acquisivano dati su piccoli finanziamenti concessi a famiglie e operatori economici. Con l’avvento dell’informatizzazione si è passati dalla gestione di poche migliaia a milioni di operazioni. E non a caso nel 2004 il Garante per la protezione dei dati personali è intervenuto al fine di promuovere l’emanazione del codice deontologico e di buona condotta “per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti” entrato in vigore il primo gennaio 2005.
Fino al 2011 gli unici operatori autorizzati all’accesso e alla contribuzione del database dei SIC erano le banche e le società finanziarie.
All’interno dei SIC sono presenti dati relativi:
- a rapporti di credito,
- all’importo e modalità di rimborso nonché informazioni sullo stato dei pagamenti,
- alle attività di recupero crediti in essere,
- ai contenziosi,
per citarne alcuni.
Sono dunque le banche e le società finanziarie a fornire i dati per l’aggiornamento del database. Il legislatore, con l’art 6-bis del Decreto Legge 13 agosto 2011 n. 138, conv. dalla l. 14 settembre 2011 n. 148, ha in parte “aperto” il sistema, inizialmente concedendo il solo accesso al database, agli operatori di telecomunicazioni e alle assicurazioni. La Legge 4 agosto 2017 n.124 (legge annuale per il mercato e la concorrenza) – che ha aggiornato il decreto 138 – ha poi concesso agli operatori in questione anche la possibilità di contribuire all’aggiornamento del database, previe prescrizioni dell’Autorità Garante per la protezione dei dati personali. Prescrizioni però ad oggi non ancora emanate.
Il mutato scenario pone dunque problematiche nuove, anzitutto in ordine ai soggetti rappresentativi che dovranno formulare la proposta al Garante dei codici da applicare ai SIC: se in passato gli organismi rappresentativi erano banche e società finanziarie oggi l’orizzonte si estende a operatori di Tlc e assicurazioni.
In forza delle nuove norme di legge, è verosimile che alla stesura dei nuovi codici di condotta ex art. 40 GDPR possano partecipare soggetti portatori di interessi non propriamente simili e dunque più arduo potrebbe risultare il compito del Garante in ordine al contemperamento dei vari interessi e l’eventuale avallo delle proposte formulate.
La quantità di soggetti in campo amplia la quantità ma soprattutto la tipologia di dati contenuti nei SIC, non più relativi esclusivamente a finanziamenti e mutui ma anche a pagamenti (o mancati pagamenti) di polizze assicurative e bollette telefoniche. C’è correlazione oggettiva fra questi dati? Tra il mancato rimborso di una rata di un mutuo e quello di una bolletta telefonica? E c’è correlazione fra i titolari di conto corrente e di un’utenza telefonica e di un’assicurazione?
È innegabile che la commistione di tipologie di dati differenti possa risultare utile al fine di contenere il più possibile il rischio di insolvenze da parte di soggetti con uno storico negativo pur proveniente da fattispecie differenti, altra utilità potrebbe essere quella di aumentare la platea di soggetti cui indirizzare eventuali servizi. È possibile che una banca possa avere un interesse ad offrire un “microcredito” ad un soggetto che ancorché non censito nel circuito bancario risulti un buon pagatore nei servizi di telefonia o viceversa.
Tuttavia la commistione di dati potrebbe portare ad una diminuzione della “qualità” del dato stesso rendendo “spurie” determinate posizioni con l’effetto di aumentare rischi ovvero di diminuire la platea di possibili “clienti”.