Premessa
L’Autorità Garante per la protezione dei dati personali nel 2019 ha approvato il Codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti, ai sensi dell’art. 20 del d.lgs. 10 agosto 2018, n. 101, con le indicazioni contenute nel relativo provvedimento n. 163 del 12 settembre 2019; di seguito indicato anche come “Codice di condotta”.
L’articolo 15 del citato Codice di condotta disciplina le “Verifiche sul rispetto del Codice di condotta ed organismo di monitoraggio”, stabilendo che: “Fatti salvi i compiti e i poteri del Garante di cui agli articoli da 56 a 58 del Regolamento, il rispetto del presente Codice di condotta per quanto attiene esclusivamente alle operazioni di trattamento di dati personali poste in essere dai gestori aderenti al presente Codice di condotta è garantito da un apposito organismo di monitoraggio (di seguito “OdM”) costituito e accreditato ai sensi dell’articolo 41 del Regolamento, la cui composizione e il cui funzionamento sono disciplinati nell’Allegato 4 al presente Codice di condotta.”
L’Allegato 4 del sopra menzionato Codice di condotta, al comma 5, prevede che “L’OdM sarà altresì chiamato a gestire i reclami eventualmente insorti esclusivamente tra gestori ed interessati, relativamente a violazioni del presente Codice di condotta. Fatto salvo il diritto dell’interessato alla presentazione di un reclamo al Garante e/o all’avvio di procedure giudiziali di tutela dei propri diritti ai sensi degli artt. 77 e 79 del Regolamento, ogni interessato che ritenga che i propri diritti e le proprie libertà siano stati lesi da uno o più trattamenti svolti da un gestore aderente al presente Codice di condotta, potrà proporre reclamo all’OdM inviando apposita segnalazione scritta che dovrà contenere una breve descrizione dei fatti e del pregiudizio lamentato. Il reclamo riguardante l’esercizio dei diritti potrà essere proposto all’OdM esclusivamente dopo aver infruttuosamente esercitato, nei confronti del Gestore, i diritti di cui all’art.9 e trascorsi i termini in esso previsti.”
I commi 6 e 7 dell’Allegato 4 stabiliscono i tempi, le modalità e la tipologia dei provvedimenti che l’OdM potrà adottare all’esito della procedura di reclamo.
La presente Policy fa riferimento oltre che sul Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (di seguito “Regolamento”); sul d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito il “Codice”) come novellato dal d.lgs 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679”; sul Codice di Condotta; sul Regolamento interno, e, inter alia, sulle fonti indicate nel Provvedimento del Garante per la protezione dei dati personali del 12 settembre 2019 relativo al Codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti.
- Finalità e struttura della Policy
Le premesse fanno parte integrante e sostanziale della presente Policy.
La presente Policy (di seguito, la ‘Policy’) stabilisce le regole e le procedure applicabili alla gestione, da parte dell’Organismo di Monitoraggio (di seguito, l’‘OdM’ o l’‘Organismo’) costituito, ai sensi dell’articolo 41 del Regolamento (UE) 2016/679 (di seguito, il ‘RGPD’ o il ‘Regolamento’), al fine di garantire il rispetto del “Codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti” adottato dall’Autorità Garante per la protezione dei dati personali con deliberazione del 12 settembre 2019 (di seguito, il ‘Codice di Condotta’), dei reclami presentati da parte degli interessati ai sensi dell’Art. 15 e dall’Allegato 4 del Codice di Condotta.
L’Organismo di Monitoraggio, al fine di dare attuazione e garantire il rispetto di quanto previsto dal Codice di Condotta e dal Regolamento interno sul funzionamento dell’OdM, ha ritenuto opportuno redigere il presente documento al fine di:
- definire la procedura da seguire per la gestione dei reclami presentati ai sensi del Codice di Condotta;
- identificare puntualmente le diverse fasi del procedimento e, per ciascuna di esse, le specifiche attività da espletarsi;
- dotarsi di uno strumento operativo in grado di favorire la corretta e costante attuazione di quanto previsto dal Codice di Condotta e dal Regolamento interno.
La funzione di monitoraggio e controllo attribuita all’OdM include anche il compito di gestire i reclami eventualmente insorti esclusivamente tra Gestori Aderenti ed interessati, relativamente a violazioni del Codice di condotta.
Viene fatto salvo il diritto di presentare reclamo al Garante o ricorso all’autorità giudiziaria ai sensi degli Articoli 77 e 79 del Regolamento e degli Articoli 140-bis e ss. del D.lgs. 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali.
Tale attività deve essere espletata dall’OdM nel rispetto dei principi fondamentali, quali la pienezza del contraddittorio, l’indipendenza e l’imparzialità.
La presente Policy si propone di descrivere i principi e le regole che governano ogni fase del procedimento relativo alla gestione, da parte dell’OdM, dei reclami insorti tra i Gestori Aderenti, gli interessati così come ogni organizzazione o associazione rappresentativa o comunque attiva nel settore della protezione dei dati personali.
- Ambito di applicazione della Policy
La Policy si applica al procedimento di gestione degli eventuali reclami insorti tra i Gestori Aderenti, gli interessati così come ogni organizzazione o associazione rappresentativa o comunque attiva nel settore della protezione dei dati personali.
La Policy si applica altresì:
- ai componenti dell’Organismo, attuali e futuri, chiamati alla gestione dei reclami (di seguito, i ‘Componenti’);
- al personale amministrativo eventualmente operante in favore dell’Organismo e presso la sede del medesimo, qualora coinvolto in alcuna delle attività descritte all’interno della presente Policy;
- alle parti coinvolte nel procedimento, vale a dire Gestori Aderenti, gli interessati così come ogni organizzazione o associazione rappresentativa o comunque attiva nel settore della protezione dei dati personali.
- Definizioni
Ai fini della presente Policy si applicano le definizioni previste dall’art. 4 del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (RGPD, di seguito il “Regolamento”); le definizioni previste dall’art. 2 del CODICE DI CONDOTTA PER I SISTEMI INFORMATIVI GESTITI DA SOGGETTI PRIVATI IN TEMA DI CREDITI AL CONSUMO, AFFIDABILITÀ E PUNTUALITÀ NEI PAGAMENTI (di seguito Codice di condotta) e, in particolare, le seguenti definizioni:
Componenti: i tre membri dell’Organismo di Monitoraggio designati secondo le regole dettate dal Codice di Condotta e dal Regolamento interno;
“richiesta/rapporto”: qualsiasi richiesta o rapporto riguardanti la concessione, nell’esercizio di un’attività commerciale o professionale, di un credito, di una dilazione di pagamento, di un pagamento differito, di un finanziamento o di un’altra analoga facilitazione finanziaria; rientrano nell’accezione di facilitazione finanziaria, il noleggio a lungo termine, il leasing operativo, la cessione di crediti e di dilazioni di pagamento e il prestito tra privati gestito attraverso piattaforme digitali (c.d. peer to peer lending) nei limiti stabiliti dal Legislatore, dalla normativa di settore, dalle Autorità di vigilanza e dalla Giurisprudenza;
“regolarizzazione”: l’estinzione delle obbligazioni pecuniarie inadempiute (derivanti sia da un mancato pagamento, sia da un ritardo), senza perdite o residui per il creditore anche a titolo di interessi e spese o comunque a seguito di vicende estintive diverse dall’adempimento, in particolare a seguito di transazioni, o concordati o accordi raggiunti anche in via stragiudiziale o con l’ausilio di organismi di composizione delle crisi;
“Sistema di Informazioni Creditizie” o “SIC”: banca di dati concernenti richieste/rapporti di cui al punto precedente, gestita da una persona giuridica, un ente, un’associazione o un altro organismo in ambito privato;
“gestore”: il soggetto privato, autonomo titolare del trattamento dei dati personali registrati in un SIC, che gestisce tale sistema stabilendone le modalità di funzionamento e di utilizzazione;
“partecipante”: il soggetto privato, che in virtù di contratto o accordo con il gestore partecipa al relativo SIC e può accedere ed utilizzare i dati presenti nel sistema. Il partecipante, autonomo titolare del trattamento dei dati personali raccolti in relazione a richieste/rapporti di cui al punto precedente. Rientrano nella categoria dei partecipanti le banche, comprese quelle comunitarie e quelle extracomunitarie, le società finanziarie e tutti gli intermediari finanziari la cui attività è regolamentata nell’ambito del decreto legislativo 1° settembre 1993, n. 385, i soggetti autorizzati a svolgere in Italia l’attività di factoring (legge 21 febbraio 1991, n. 52 e successive modifiche), soggetti appartenenti a gruppi bancari o finanziari, gli istituti di pagamento, i soggetti privati che, nell’esercizio di attività commerciale o professionale, concedono una dilazione del pagamento del corrispettivo per la fornitura di beni o servizi, ovvero svolgono l’attività di leasing anche operativo, o l’attività di noleggio a lungo termine, nonché l’attività di gestione di piattaforme digitali per prestiti tra privati;
“tempo di conservazione dei dati”: il periodo nel quale i dati personali relativi a richieste/rapporti rimangono registrati in un SIC e sono utilizzabili per le finalità di cui al presente Codice di condotta;
“trattamenti di scoring”: le modalità di organizzazione, aggregazione, raffronto od elaborazione di dati personali relativi a richieste/rapporti di cui alla lettera a), consistenti nell’impiego di trattamenti automatizzati basati sull’applicazione di metodi o modelli matematici e/o statistici per valutare il rischio, e i cui risultati sono espressi in forma di esiti sintetici, indicatori numerici o punteggi, associati all’interessato, diretti a fornire una rappresentazione, in termini predittivi o probabilistici, del suo profilo di rischio;
Garante o Autorità: l’Autorità Garante per la protezione dei dati personali;
Organismo di Monitoraggio: l’organismo accreditato da parte del Garante ai sensi dell’articolo 41 del RGPD e preposto al controllo della conformità alle disposizioni del Codice di Condotta ad esso aderenti;
Soggetto censito o Interessato: il soggetto cui si riferiscono i dati personali censiti nei SIC ai sensi dell’art. 4 del Codice di condotta;
I termini a cui l’articolo 4 del RGPD e/o il Codice di Condotta, ma non la presente Policy, attribuiscono una specifica definizione, devono essere interpretati conformemente a quanto stabilito dal Regolamento e/o dal Codice di Condotta.
- Oggetto del reclamo e condizioni di procedibilità
Ai sensi dell’articolo 15 e dell’Allegato 4 del Codice di Condotta, fra i compiti attribuiti all’Organismo vi è anche quello di gestire i reclami eventualmente insorti tra i Gestori Aderenti, gli interessati così come ogni organizzazione o associazione rappresentativa o comunque attiva nel settore della protezione dei dati personali.
Ne consegue che qualunque reclamo, sia pure presentato da chi sia legittimato a farlo e nel rispetto delle forme e secondo le modalità richieste, che non risponda ai suddetti requisiti oggettivi sarà dichiarato improcedibile dall’Organismo, il quale ne darà comunicazione al reclamante fornendo altresì al medesimo una sintetica descrizione delle ragioni poste a fondamento della decisione assunta.
Il reclamo riguardante l’esercizio dei diritti potrà essere proposto all’OdM esclusivamente dopo aver infruttuosamente esercitato, nei confronti del Gestore, i diritti di cui all’art. 9 del Codice di condotta e trascorsi i termini in esso previsti. I vincoli e le condizioni stabiliti dall’Articolo 9, comma 3, del Codice di Condotta, in riferimento all’esercizio dei diritti per il tramite di terzi delegati, si applicano anche alla proposizione e alla gestione di reclami per conto dell’interessato.
La presentazione di un reclamo al Garante o l’avvio di un procedimento in sede giudiziaria ordinaria o amministrativa precludono l’avvio, o determinano l’improcedibilità, qualsiasi sia lo stato di svolgimento, di una procedura avente il medesimo oggetto o comunque attinente alle medesime questioni dinanzi all’OdM.
E’ fatto salvo il diritto degli interessati di presentare un reclamo al Garante o di fare ricorso all’autorità giudiziaria, ai sensi degli articoli 77 e 79 del RGPD e degli articoli 140-bis e ss. del Codice Privacy.
- Soggetti legittimati a presentare un reclamo
Potrà presentare un reclamo, secondo quanto disposto dall’articolo 15 e dall’Allegato 4 del Codice di Condotta:
- ogni Soggetto censito che ritenga che i propri diritti e le proprie libertà siano stati lesi da uno o più trattamenti posti in essere da un Gestore aderente al Codice di Condotta;
- ogni organismo, organizzazione o associazione rappresentativa o attiva nel settore della protezione dei dati personali (di seguito, congiuntamente, i ‘Legittimati’).
Il reclamo, così come l’eventuale documentazione a corredo del medesimo, dovrà essere presentato, nel caso in cui il reclamante sia una persona fisica, personalmente da quest’ultimo ovvero anche per il tramite di una diversa persona che sia stata da questi espressamente delegata a farlo, mentre nel caso di persone giuridiche, associazioni, enti o altri organismi; il reclamo e la relativa documentazione dovranno essere presentati a firma dal legale rappresentante o da un diverso soggetto munito dei necessari poteri di rappresentanza.
Qualora il reclamante, in sede di presentazione del reclamo, non fornisca una sufficiente prova della propria qualità di Legittimato e, nel caso di delega o rappresentanza, anche del valido conferimento del relativo potere, l’Organismo dichiarerà l’improcedibilità del reclamo, dandone comunicazione al reclamante assieme ad una sintetica descrizione delle ragioni poste a fondamento della decisione assunta. Resta comunque salva la possibilità, da parte dell’OdM, di assegnare al reclamante un termine entro cui fornire dette prove.
- Forma e modalità di presentazione di un reclamo
In ossequio a quanto previsto dall’articolo 15 e dai commi 4, 5, 6 e 7 dell’Allegato 4 al Codice di Condotta e dal Regolamento interno dell’OdM, il reclamo deve essere presentato dai soggetti legittimati inviando all’Organismo una specifica istanza scritta, per via telematica, all’indirizzo di posta elettronica certificata odm-sic@pec.it, ovvero, in formato cartaceo, mediante raccomandata A/R inviata all’attenzione della Segreteria Generale dell’Organismo di Monitoraggio del Codice di Condotta, all’indirizzo Via dei Barbieri, 6 – 00186 Roma, Tel.: +39 06 87750524, Fax : +39 06 92931778, E-mail: info@odmsic.it.
Tale istanza, ai sensi delle norme appena richiamate, deve contenere una breve descrizione dei fatti e del pregiudizio lamentato. In particolare, oltre a tale imprescindibile requisito, ogni ricorso dovrà contenere almeno:
- gli estremi identificativi del reclamante, compresi quelli dell’eventuale soggetto delegato ed agente per suo conto;
- l’indicazione di uno o più recapiti per l’invio di comunicazioni inerenti al procedimento da parte dell’Organismo (posta elettronica, telefax o telefono);
- gli elementi sufficienti a dimostrare la propria qualità di Legittimato;
- l’indicazione circa l’eventuale presentazione di un reclamo al Garante o l’eventuale proposizione di un ricorso all’autorità giudiziaria, ai sensi degli articoli 77 e 79 del RGPD e degli articoli 140-bis e ss. del Codice Privacy, avente il medesimo oggetto o comunque attinente alle medesime questioni oggetto del reclamo;
- gli estremi identificativi del Gestore interessato dal reclamo;
- gli estremi identificativi del Partecipante, ai sensi dell’art.2, co. 2, lett. e) del Codice di condotta, che ha fornito evidenza della richiesta/rapporto o comunque del trattamento di dati personali effettuato nell’ambito dei sistemi di informazioni creditizie;
- l’eventuale documentazione utile ai fini della valutazione del reclamo da parte dell’Organismo;
- la sottoscrizione del reclamante, ovvero di chi agisca per suo conto (in tale ultimo caso il reclamo dovrà essere corredato anche dalla relativa procura): il reclamo (e l’eventuale procura) dovranno essere sottoscritti con firma autenticata, ovvero con firma digitale o autografa (in tale ultimo caso, il reclamo dovrà essere corredato anche dalla copia di un documento di riconoscimento del reclamante in corso di validità).
Laddove manchino uno o più degli elementi sopra elencati ne verrà data comunicazione al reclamante con contestuale assegnazione di un termine entro cui provvedere alla relativa regolarizzazione. Spirato tale termine senza che il reclamante vi abbia provveduto, e verificata da parte dell’Organismo l’impossibilità di procedere anche in assenza delle integrazioni richieste, il ricorso verrà dichiarato improcedibile. Di tale decisione l’OdM darà comunicazione al reclamante con contestuale e sintetica esposizione delle ragioni poste alla base della decisione assunta.
- Coinvolgimento del Gestore e trattazione del reclamo
Ai sensi di quanto previsto dall’articolo 6 dell’Allegato 4 del Codice di Condotta e del Regolamento interno, entro cinque (5) giorni lavorativi dal ricevimento del reclamo, l’Organismo deve darne notizia al Gestore aderente coinvolto, affinché quest’ultimo possa, entro i successivi trenta (30) giorni lavorativi, presentare le proprie memorie e fornire i necessari chiarimenti.
Tale comunicazione avverrà mediante i recapiti messi a disposizione da ciascun Gestore in sede di adesione al Codice di Condotta.
L’OdM garantisce la pienezza del contraddittorio in ogni fase della procedura, qualora gli elementi acquisiti già consentano all’Organismo di definire la controversia, quest’ultimo dovrà adottare la propria decisione entro quarantacinque (45) giorni lavorativi dalla data di deposito delle proprie memorie da parte del Gestore Aderente.
Diversamente, l’OdM potrà richiedere ad una sola o a entrambe le parti ulteriori precisazioni, così come l’acquisizione di documenti o lo svolgimento di audizioni, raccogliendo in ogni caso tutti gli elementi necessari alla definizione del reclamo, che non potrà avvenire oltre novanta (90) giorni lavorativi successivi alla data di presentazione dello stesso da parte dell’interessato, prorogabili di ulteriori sessanta (60) giorni in caso di necessità di verifiche particolarmente impegnative.
In caso di ricorso incompleto o carente, il decorso dei termini suindicati avverrà con riferimento al ricevimento delle integrazioni richieste dall’Organismo (salvo ovviamente il caso in cui l’OdM abbia valutato di poter procedere anche in assenza di regolarizzazione da parte del reclamante). Restano in ogni caso fermi i termini indicati nei successivi paragrafi 10 e 11.
- Esito del procedimento e pubblicazione delle decisioni adottate
Come previsto dall’articolo 7 dell’Allegato 4 del Codice di Condotta e dal Regolamento interno, all’esito della procedura sopra descritta, l’OdM, in conseguenza dei controlli effettuati in esecuzione dei propri poteri, o delle decisioni adottate all’esito della procedura di reclamo di cui al precedente comma, potrà decidere, fornendo adeguata motivazione, di applicare al Gestore Aderente, in dipendenza della gravità e/o del numero delle violazioni eventualmente riscontrate, una o più delle seguenti misure, da applicare secondo un criterio di gradualità:
- un invito al Gestore Aderente a modificare la condotta, in considerazione di una maggiore aderenza alle previsioni del Codice di Condotta;
- un richiamo formale indirizzato esclusivamente al Gestore Aderente;
- in caso di reiterazione della condotta rilevante di cui alle precedenti lettere a) e b), la sospensione temporanea dall’adesione del Gestore Aderente al Codice di condotta;
- in ipotesi di successiva reiterazione della violazione, la revoca dell’adesione del Gestore Aderente al Codice di Condotta.
L’Organismo deve trasmettere all’Interessato o altro soggetto reclamante la decisione assunta, adeguatamente motivata, soprattutto riguardo all’eventuale applicazione delle misure sopra richiamate, entro novanta (90) giorni lavorativi dalla data di presentazione del reclamo. Resta inoltre fermo che l’OdM deve trasmettere al Garante, entro tre (3) giorni dalla loro adozione, le decisioni mediante le quali vengano applicate misure di sospensione temporanea o di revoca dell’adesione del Gestore aderente al Codice di Condotta.
A ciò deve aggiungersi che, in ossequio a quanto disposto dal Codice di Condotta ed al relativo Allegato 4, in aggiunta alle ipotesi di richiamo di cui alla precedente lettera b), le decisioni adottate dall’Organismo all’esito della definizione di procedure di reclamo devono essere pubblicate, anche in forma sintetica, previo oscuramento dei dati personali eventualmente presenti, in apposita sezione del sito web dell’Organismo, raggiungibile all’indirizzo www.odmsic.it, qualora dalle stesse sia derivata l’applicazione nei confronti del Fornitore di misure di sospensione temporanea o di revoca dell’adesione al Codice di Condotta.
Nel caso di pubblicazione di informazioni di sintesi, le stesse devono comprendere almeno i seguenti elementi:
- dati necessari ad identificare le violazioni riscontrate;
- il numero e l’oggetto dei reclami ricevuti;
- la natura delle misure applicate (e riportate sopra);
- l’indicazione del/dei Gestore/i aderente/i destinatari delle medesime.
- Registro dei reclami e resoconto semestrale
L’OdM annota nel registro previsto dalla presente Policy il dettaglio di tutti i reclami ricevuti e le decisioni adottate, anche in riferimento alle misure correttive o sanzionatorie eventualmente applicate. Detto registro, in formato elettronico è custodito presso la sede dell’OdM e dovrà essere costantemente aggiornato e al medesimo potrà accedere in qualsiasi momento il Garante.
Inoltre, ai sensi di quanto previsto dal Codice di Condotta e dall’articolo 8 del relativo Allegato 4, alla scadenza di ciascun semestre, l’OdM deve inviare al Garante un resoconto riassuntivo dei controlli e delle verifiche effettuate, oltre che delle misure eventualmente adottate ai sensi del comma che precede, anche all’esito della definizione di procedure di reclamo.
- Vigenza e modifiche alla presente Policy
La presente Policy è valida e vincolante per tutti i Destinatari.
Una copia di questo documento verrà messa a disposizione di ciascun Destinatario tramite Posta Elettronica Certificata e sarà pubblicata sul sito web dell’Organismo.
La presente Policy potrà essere modificata, integrata o integralmente sostituita in ogni momento, previa approvazione da parte dei membri dell’Organismo, per garantire i necessari adeguamenti a nuove norme di legge e/o a provvedimenti dell’Autorità, oltre che alle migliori best practices di settore.
Tutti i Destinatari sono tenuti a prenderne visione e a tenere in debita considerazione gli aggiornamenti che verranno apportati alla stessa e notificati di volta in volta. Nessun Destinatario potrà giustificare la propria condotta adducendo la mancata conoscenza del presente documento.