Credito al consumo, Garante privacy approva nuovo codice di condotta dei Sic

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI DELIBERA 6 ottobre 2022

Accreditamento dell'organismo di monitoraggio e approvazione del codice di condotta per i sistemi di informazione creditizia in tema di credito al consumo, affidabilita' e puntualita' nei pagamenti. (Provvedimento n. 324). (22A06239)

(GU n.258 del 4-11-2022)

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

Visto il regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (di seguito, «regolamento»);

Visto il decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito il «Codice») come novellato dal decreto legislativo 10 agosto 2018, n. 101 recante «Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679»;

Visto l'art. 40 del regolamento che prevede che le associazioni e gli altri organismi rappresentanti le categorie di titolari o responsabili del trattamento possano elaborare (modificare o prorogare) codici di condotta destinati a contribuire alla corretta applicazione del regolamento in specifici settori di attivita' e in funzione delle particolari esigenze delle micro, piccole e medie imprese, e che tali codici devono essere approvati dall'autorita' di controllo competente;

Visto il considerando 98 del regolamento che prevede che tali codici possono calibrare gli obblighi del titolare e del responsabile del trattamento, tenuto conto dei potenziali rischi del trattamento per i diritti e le liberta' degli interessati;

Viste le «Linee guida 1/2019 sui codici di condotta e sugli organismi di monitoraggio a norma del regolamento (UE) 2016/679» adottate dal Comitato europeo per la protezione di dati (di seguito «Comitato») il 4 giugno 2019, all'esito della consultazione pubblica;

Considerato in particolare che l'adesione ad un codice di condotta puo' essere utilizzata come elemento di responsabilizzazione (c.d. accountability), in quanto consente di dimostrare la conformita' dei trattamenti di dati, posti in essere dai titolari e/o dai responsabili del trattamento che vi aderiscano, ad alcune disposizioni o principi del regolamento, o al regolamento nel suo insieme (cfr. cons. 77 e articoli 24, par. 3, e 28, par. 5, e 32, par. 3 del regolamento);

Rilevato che il Garante incoraggia lo sviluppo di codici di condotta per le micro, piccole e medie imprese al fine di promuovere un'attuazione effettiva del regolamento, aumentare la certezza del diritto per titolari e responsabili del trattamento e rafforzare la fiducia degli interessati in ordine alla correttezza dei trattamenti di dati che li riguardano;

Rilevato, in questo contesto, che l'obbligo di affidare il monitoraggio dei codici di condotta a un Odm accreditato non dovrebbe costituire un ostacolo allo sviluppo di tali strumenti e che, quindi, va riconosciuto un certo margine di flessibilita' ai promotori dei codici di condotta nell'applicazione dei requisiti di accreditamento fissati dal Garante al fine di definire il modello di Odm piu' adeguato a controllarne l'osservanza, fermo restando il rispetto di quanto previsto dal regolamento, dalle Linee guida e dai pertinenti pareri del Comitato;

Considerato che l'art. 41, par. 1, del regolamento prevede che, fatti salvi i compiti e i poteri dell'autorita' di controllo competente, la verifica dell'osservanza delle disposizioni di un codice di condotta, ai sensi dell'art. 40 del regolamento, e' effettuata da un Organismo di monitoraggio (di seguito, «Odm») in possesso dei requisiti fissati dall'art. 41, par. 2 del regolamento e del necessario accreditamento rilasciato a tal fine dalla medesima autorita', con la sola eccezione del trattamento effettuato da autorita' pubbliche e da organismi pubblici per il quale non e' necessaria l'istituzione di un Odm (art. 41, par. 6 del regolamento);

Considerato che il regolamento e le Linee guida del Comitato sopra citate, fissano un quadro organico di riferimento per la definizione dei requisiti che l'Odm deve soddisfare per ottenere l'accreditamento;

Rilevato altresi' che il Garante nella procedura di accreditamento, volta a verificare che l'Odm soddisfi i predetti requisiti, tiene in considerazione le specificita' dei trattamenti di dati personali afferenti al/i settore/i a cui si applica il codice di condotta e, in particolare, la natura e la dimensione del settore, la tipologia e il numero (anche atteso) di soggetti aderenti, la peculiarita' e la complessita' delle operazioni di trattamento oggetto del codice, nonche' i rischi per gli interessati;

Considerato che l'art. 41, par. 3, del regolamento prevede che la predetta autorita' di controllo presenta al Comitato uno schema di requisiti per l'accreditamento dell'Odm, ai sensi del meccanismo di coerenza di cui all'art. 63 del regolamento;

Visto il provvedimento del 10 giugno 2020 n. 98-pubb. nella Gazzetta Ufficiale n. 173 dell'11 luglio 2020 (di seguito, «Provvedimento») con il quale il Garante, ai sensi dell'art. 57, par.1, lettera p), del regolamento, ha approvato i requisiti per l'accreditamento dell'Odm, tenendo conto delle osservazioni rese dal Comitato nel parere adottato il 25 maggio 2020;

Considerato che l'art. 57, par. 1, lettera q) del regolamento prevede, in particolare, che ciascuna autorita' di controllo, sul proprio territorio, effettua l'accreditamento dell'Odm, ai sensi dell'art. 41;

Rilevato che, ai sensi del combinato disposto di cui agli art. 55 del regolamento e art. 2-bis del Codice, il Garante e' l'autorita' di controllo competente a definire e pubblicare i requisiti per l'accreditamento dell'Odm, nonche' ad accreditare lo stesso Odm nell'esercizio del potere conferitole ai sensi dell'art. 57, par. 1, lett.re p) e q), del regolamento;

Rilevato che, ai sensi dell'art. 55 del regolamento, il Garante e' l'autorita' di controllo competente ad approvare i codici di condotta aventi validita' nazionale nell'esercizio del potere conferitole ai sensi dell'art. 57, paragrafo 1, lettera m) del regolamento;

Visto il provvedimento del 12 settembre 2019 n. 163 con il quale il Garante ha approvato il «Codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilita' e puntualita' nei pagamenti» (di seguito, «codice di condotta») presentato da AISREC, CTC e ASSILEA (di seguito, «i proponenti») in qualita' di soggetti maggiormente rappresentativi nel settore, subordinando l'efficacia del codice di condotta all'accreditamento dell'Odm ai sensi dell'art. 41 del regolamento, in attesa della definizione dei requisiti per l'accreditamento ai sensi dell'art. 41, par. 3 del regolamento;

Visto che in data 20 luglio 2022, all'esito di una complessa interlocuzione con gli uffici, i proponenti hanno presentato la richiesta formale di accreditamento dell'Odm allegando la documentazione utile idonea a comprovare il possesso dei requisiti richiesti e hanno contestualmente sottoposto all'approvazione del Garante la versione definitiva del codice di condotta contenente le modifiche e le integrazioni resesi necessarie in ragione dell'accreditamento dell'OdM;

Rilevato che dall'esame della richiesta di accreditamento e della documentazione ad essa allegata, emerge che l'istituendo Odm rispetta i requisiti previsti dall'art. 41, par. 2 del regolamento e dal provvedimento, essendo stato comprovato, in particolare: un adeguato livello di competenza per lo svolgimento dei compiti di verifica sul rispetto del codice di condotta; di poter assolvere alle proprie funzioni con indipendenza e imparzialita'; di aver definito misure idonee a individuare e mitigare il rischio di eventuali conflitti di interesse;

Rilevato, altresi', all'esito dell'esame di questa Autorita', che il codice di condotta presentato dai proponenti nella sua versione definitiva, offre, in misura sufficiente, garanzie adeguate a tutela degli interessati nel settore di riferimento, come previsto dall'art. 40, paragrafo 5, del regolamento;

Ritenuto pertanto, ai sensi dell'art. 57, par.1, lettera q), del regolamento, di accreditare l'Odm preposto dai soggetti proponenti alla verifica del rispetto del codice di condotta per la durata di cinque anni non rinnovabili;

Ritenuto, pertanto, di approvare la versione definitiva del codice di condotta che acquista la piena efficacia dal giorno successivo alla sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana e sara' inserito nei registri di cui all'art. 40, paragrafi 6 e 11 del regolamento;

Vista la documentazione in atti:

Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Pasquale Stanzione;

tutto cio' premesso il Garante:

a) ai sensi dell'art. 57, par. 1, lettera q), del regolamento accredita l'Odm preposto dai proponenti alla verifica del rispetto del codice di condotta per la durata di cinque anni non rinnovabili;

b) ai sensi dell'art. 57, par. 1, lettera m), del regolamento approva il codice di condotta riportato in allegato al presente provvedimento del quale forma parte integrante;

c) invia copia della presente deliberazione all'ufficio pubblicazione leggi e decreti del Ministero della giustizia ai fini della sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.

Il presidente e relatore: Stanzione

Il segretario generale: Mattei

Allegato
CODICE DI CONDOTTA PER I SISTEMI INFORMATIVI GESTITI DA SOGGETTI PRIVATI IN TEMA DI CREDITI AL CONSUMO, AFFIDABILITA' E PUNTUALITA' NEI PAGAMENTI

INDICE

Articolo 1 Ambito di applicazione

Articolo 2 Definizioni

Articolo 3 Finalita' del trattamento

Articolo 4 Requisiti e categorie dei dati

Articolo 5 Modalita' di raccolta e registrazione dei dati

Articolo 6 Base giuridica e Informazione agli interessati

Articolo 7 Tempi di conservazione dei dati

Articolo 8 Utilizzazione dei dati

Articolo 9 Accesso ed esercizio di altri diritti degli interessati

Articolo 10 Trattamenti o processi decisionali automatizzati di scoring

Articolo 11 Trattamento di dati provenienti da fonti pubbliche e/o da altre fonti

Articolo 12 Misure di sicurezza dei dati

Articolo 13 Notifica di una violazione dei dati personali

Articolo 14 Trasferimento di dati personali verso paesi terzi o organizzazioni internazionali

Articolo 15 Verifiche sul rispetto del Codice di condotta ed organismo di monitoraggio

Articolo 16 Modalita' di adesione al Codice di condotta

Articolo 17 Revisione del Codice di condotta

Articolo 18 Disposizioni transitorie e finali

Articolo 19 Entrata in vigore

Allegato 1 - Preavviso di segnalazione

Allegato 2 - Tempi di conservazione

Allegato 3 - Modello di informativa

Allegato 4 - Organismo di monitoraggio


Preambolo

L'Associazione italiana societa' di referenza creditizia (di seguito «AISReC»), in qualita' di associazione rappresentativa dei gestori di sistemi di informazioni creditizia che ne fanno parte, unitamente all'Associazione italiana leasing e al Consorzio per la tutela del credito sottoscrivono il presente codice di condotta con gli allegati da 1 a 4 che ne costituiscono parte integrante, sottoposto all'approvazione del Garante per la protezione dei dati personali (di seguito il «Garante») ai sensi dell'art. 40 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati (Regolamento generale sulla protezione dei dati, di seguito il «regolamento») e nel rispetto della procedura stabilita dall'art. 20 del decreto legislativo n. 101/2018, recante disposizioni di adeguamento del decreto legislativo n. 196/2003, il codice in materia di protezione dei dati personali (di seguito denominato «Codice») alle norme del regolamento, sulla base delle seguenti

Premesse

1. L'art. 40 del regolamento prevede che gli Stati membri, le autorita' di controllo, il comitato e la Commissione incoraggino l'elaborazione di codici di condotta destinati a contribuire alla corretta applicazione del regolamento in funzione delle specificita' dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese. Il considerando n. 98 del regolamento prevede che i codici di condotta possono calibrare gli obblighi dei titolari del trattamento e dei responsabili del trattamento, tenuto conto del potenziale rischio del trattamento per i diritti e le liberta' delle persone fisiche.

2. Con provvedimento del Garante n. 8 del 16 novembre 2004, Gazzetta Ufficiale 23 dicembre 2004, n. 300, come modificato dall'errata corrige pubblicata nella Gazzetta Ufficiale della Repubblica italiana 9 marzo 2005, n. 56 e' stato adottato il codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilita' e puntualita' nei pagamenti (di seguito «Codice deontologico»).

3. L'art. 20 del decreto legislativo n. 101/2018 recante disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento, che ha modificato il decreto legislativo n. 196/2003, prevede che il codice deontologico continui a produrre effetti a condizione che entro il termine definito (dodici mesi dalla entrata in vigore del decreto) venga avviata e portata a termine la procedura tesa ad elaborare un codice di condotta rispondente ai criteri di cui agli articoli 40 e 41 del regolamento e che permetta di trasfondere in nuovo testo, coerente con il quadro regolamentare europeo, i principi delle vigenti norme deontologiche.

4. Con nota del Garante per la protezione dei dati personali dell'11 ottobre 2018 i soggetti che professionalmente gestiscono i sistemi di informazioni creditizie sono stati esortati a predisporre una bozza di Codice di condotta da sottoporre alla approvazione dello stesso Garante per la protezione dei dati personali (entro sei mesi dalla data di entrata in vigore del decreto legislativo n. 101/2018).

5. I partecipanti al SIC sono, in forza del codice deontologico previgente, banche, intermediari finanziari e altri soggetti privati che, nell'esercizio di un'attivita' commerciale o professionale, concedono una dilazione di pagamento del corrispettivo per la fornitura di beni o servizi (art. 1, comma 1, lettera e) del codice deontologico) che operano in un quadro di reciprocita' nello scambio di dati con gli altri partecipanti. Il legislatore e' intervenuto a piu' riprese per consentire l'accesso ai dati presenti nel SIC a ulteriori soggetti quali, attualmente, in forza dell'art. 6-bis, del decreto-legge 13 agosto 2011, n. 138 convertito con la legge 14 settembre 2011, n. 148 e del vigente art. 30-ter del decreto legislativo 13 agosto 2010, n. 141 (come successivamente modificato):

i fornitori di servizi di comunicazione elettronica e i fornitori di servizi interattivi associati o di servizi di accesso condizionato (tra cui, quindi, le societa' telefoniche);

le imprese di assicurazione;

i soggetti autorizzati a svolgere le attivita' di vendita a clienti finali di energia elettrica e di gas naturale ai sensi della normativa vigente.

Per effetto delle predette norme, tali soggetti (cosiddetti accedenti), attualmente hanno facolta' di consultare i dati personali presenti nei SIC, stipulando a tal fine appositi accordi con uno o piu' gestori di Sic.

6. Inoltre, la legge 4 agosto 2017, n. 124, recante Legge annuale per il mercato e la concorrenza, all'art. 1, comma 85, ha stabilito anche che «al fine di promuovere la concorrenza attraverso la riduzione delle asimmetrie informative, anche intersettoriali, all'art. 6-bis del decreto-legge 13 agosto 2011, n. 138, convertito, con modificazioni, dalla legge 14 settembre 2011, n. 148, dopo il comma 1 sono aggiunti i seguenti: «1-bis. L'accesso ai sistemi informativi di cui al comma 1 da parte dei soggetti ivi indicati puo' avvenire anche in un quadro di reciprocita', ma solo nel rispetto delle prescrizioni stabilite dal Garante per la protezione dei dati personali necessarie ad assicurare proporzionalita', correttezza e sicurezza circa il trattamento di dati personali ai sensi del predetto comma 1 e il rispetto dei diritti e delle liberta' fondamentali, nonche' della dignita' dei soggetti cui le 2 informazioni si riferiscono, con particolare riferimento alla riservatezza, all'identita' personale e al diritto alla protezione dei dati personali».

7. Il Garante ha adottato un provvedimento interpretativo di alcune disposizioni del codice deontologico il 26 ottobre 2017 (pubblicato nella Gazzetta Ufficiale della Repubblica italiana n. 279 del 29 novembre 2017).

8. Il trattamento di dati personali, effettuato nell'ambito dei sistemi informativi regolati dal presente codice di condotta deve svolgersi nel rispetto dei principi dettati dalla normativa applicabile, avuto particolare riguardo a quella dettata in materia di protezione dei dati personali.

9. Con il presente codice di condotta, che recepisce quanto indicato nelle premesse 5 e 7 e vuole altresi' mettere le basi per una piena realizzazione di quanto indicato nella premessa 6 al fine di una coerente regolamentazione del settore, sono individuate adeguate garanzie in conformita' con il regolamento al fine di precisarne e facilitarne la sua applicazione.

10. Il presente codice di condotta e' elaborato ai sensi dell'art. 40 del regolamento per garantire, settorialmente, ed in funzione delle specifiche esigenze delle diverse categorie dei partecipanti ai SIC, l'applicazione efficace, coerente ed omogenea del regolamento e, nel contempo, per garantire un corretto bilanciamento di interessi tra i soggetti coinvolti nel trattamento.

11. Le disposizioni del presente codice di condotta si applicano esclusivamente al trattamento di dati personali effettuato nell'ambito dei sistemi di informazioni creditizie e, in particolare, il presente codice di condotta non riguarda sistemi informativi di cui sono titolari soggetti pubblici, quale il servizio di centralizzazione dei rischi gestito dalla Banca d'Italia (articoli 13, 53, comma 1, lettera b), 60, comma 1, 64, 67, comma 1, lettera b), 106 107, 144 e 145 del decreto legislativo 1° settembre 1993, n. 385 - testo unico delle leggi in materia bancaria e creditizia; delibera cicr del 29 marzo 1994; provvedimento Banca d'Italia 10 agosto 1995; circolare Banca d'Italia 11 febbraio 1991, n. 139 e successivi aggiornamenti).

12. Tutti i soggetti che gestiscono sistemi di informazioni creditizie possono aderire al presente codice di condotta, anche attraverso le rispettive associazioni di categoria, seguendo le procedure di seguito stabilite.

Art. 1.
Ambito di applicazione

Il presente codice di condotta e' riferito ad attivita' di trattamento dei dati personali relativi a persone fisiche limitatamente al territorio dello Stato italiano ed e' applicabile unicamente a livello nazionale. Per tale motivo, l'approvazione di cui all'art. 40 del regolamento e' richiesta al Garante in qualita' di Autorita' di controllo competente ai sensi dell'art. 55 del regolamento.


Art. 2.
Definizioni

1. Ai fini del presente codice di condotta, si applicano le definizioni previste dall'art. 4 del regolamento.

2. Ai medesimi fini, si intende per:

a) «richiesta/rapporto»: qualsiasi richiesta o rapporto riguardanti la concessione, nell'esercizio di un'attivita' commerciale o professionale, di un credito, di una dilazione di pagamento, di un pagamento differito, di un finanziamento o di un'altra analoga facilitazione finanziaria; rientrano nell'accezione di facilitazione finanziaria, il noleggio a lungo termine, il leasing operativo, (1) la cessione di crediti e di dilazioni di pagamento e il prestito tra privati gestito attraverso piattaforme digitali (c.d. peer to peer lending) nei limiti stabiliti dal legislatore, dalla normativa di settore, dalle Autorita' di vigilanza e dalla giurisprudenza;

b) «regolarizzazione»: l'estinzione delle obbligazioni pecuniarie inadempiute (derivanti sia da un mancato pagamento, sia da un ritardo), senza perdite o residui per il creditore anche a titolo di interessi e spese o comunque a seguito di vicende estintive diverse dall'adempimento, in particolare a seguito di transazioni, o concordati o accordi raggiunti anche in via stragiudiziale o con l'ausilio di organismi di composizione delle crisi;

c) «sistema di informazioni creditizie» o «SIC»: banca di dati concernenti richieste/rapporti di cui alla lettera a) gestita da una persona giuridica, un ente, un'associazione o un altro organismo in ambito privato. Il SIC puo' contenere, in particolare:

i. informazioni di tipo negativo, che riguardano soltanto rapporti per i quali si sono verificati inadempimenti;

ii. informazioni di tipo positivo e negativo, che attengono a richieste/rapporti a prescindere dalla sussistenza di inadempimenti registrati nel SIC al momento del loro verificarsi;

d) «gestore»: il soggetto privato, autonomo titolare del trattamento dei dati personali registrati in un SIC, che gestisce tale sistema stabilendone le modalita' di funzionamento e di utilizzazione;

e) «partecipante»: il soggetto privato, che in virtu' di contratto o accordo con il gestore partecipa al relativo SIC e puo' accedere ed utilizzare i dati presenti nel sistema. Il partecipante, autonomo titolare del trattamento dei dati personali raccolti in relazione a richieste/rapporti, comunica al gestore i relativi dati personali in modo sistematico, in un quadro di reciprocita' nello scambio di dati con gli altri partecipanti e in base alle categorie di dati ed agli standard individuati nel presente codice di condotta; rientrano nella categoria dei partecipanti le banche, comprese quelle comunitarie e quelle extracomunitarie, le societa' finanziarie e tutti gli intermediari finanziari la cui attivita' e' regolamentata nell'ambito del decreto legislativo 1° settembre 1993, n. 385, i soggetti autorizzati a svolgere in Italia l'attivita' di factoring (legge 21 febbraio 1991, n. 52 e successive modifiche), soggetti appartenenti a gruppi bancari o finanziari, gli istituti di pagamento, i soggetti privati che, nell'esercizio di attivita' commerciale o professionale, concedono una dilazione del pagamento del corrispettivo per la fornitura di beni o servizi, ovvero svolgono l'attivita' di leasing anche operativo, o l'attivita' di noleggio a lungo termine, nonche' l'attivita' di gestione di piattaforme digitali per prestiti tra privati;

f) «tempo di conservazione dei dati»: il periodo nel quale i dati personali relativi a richieste/rapporti rimangono registrati in un SIC e sono utilizzabili per le finalita' di cui al presente codice di condotta;

g) «trattamenti di scoring»: le modalita' di organizzazione, aggregazione, raffronto od elaborazione di dati personali relativi a richieste/rapporti di cui alla lettera a), consistenti nell'impiego di trattamenti automatizzati basati sull'applicazione di metodi o modelli matematici e/o statistici per valutare il rischio, e i cui risultati sono espressi in forma di esiti sintetici, indicatori numerici o punteggi, associati all'interessato, diretti a fornire una rappresentazione, in termini predittivi o probabilistici, del suo profilo di rischio.

__________

(1) L'attivita' di leasing operativo - caratterizzata dall'assenza dell'opzione finale di acquisto - e' consentita sia a societa' commerciali che a soggetti vigilati dalla Banca d'Italia (banche o intermediari finanziari); in quest'ultimo caso si tratta di «attivita' connessa» secondo quanto stabilito dalla Banca d'Italia nelle disposizioni di vigilanza per gli intermediari finanziari (circolare 3 aprile 2015, n. 288, Titolo I, ca. 3, sez. III).

Art. 3.
Finalita' del trattamento

Il trattamento dei dati personali contenuti in un SIC puo' essere effettuato dal gestore e dai partecipanti, ciascuno per le attivita' di propria competenza, coerentemente con quanto disciplinato nel presente codice di condotta, esclusivamente per finalita' connesse alla valutazione, all'assunzione o alla gestione di un rischio di credito, alla valutazione dell'affidabilita' e della puntualita' nei pagamenti dell'interessato. Rientrano in tali finalita' la prevenzione del rischio di frodi e del furto di identita'.

Art. 4.
Requisiti e categorie dei dati

1. Per ogni richiesta/rapporto segnalato ad un SIC possono essere trattate le seguenti categorie di dati personali:

a) dati identificativi, anagrafici e sociodemografici (quali, ad esempio: codice fiscale, partita Iva, dati di contatto, documenti di identita', tessera sanitaria, codice Iban, dati relativi alla occupazione/professione, al reddito, al sesso, all'eta', alla residenza/domicilio, allo stato civile, al nucleo familiare);

b) dati relativi alla richiesta/rapporto, descrittivi, in particolare, della tipologia di contratto, dell'importo dovuto, delle modalita' di pagamento e dello stato della richiesta o dell'esecuzione del contratto;

c) dati di tipo contabile, relativi, in particolare, agli utilizzi o ai pagamenti, al loro andamento periodico, all'esposizione debitoria anche residua e alla sintesi dello stato contabile del rapporto;

d) dati relativi al contenzioso e ad attivita' di recupero del credito, alla cessione del credito o a eccezionali vicende che incidono sulla situazione soggettiva o patrimoniale degli interessati.

2. Nell'ambito di un SIC possono essere registrati i dati personali riferiti all'interessato che chiede di instaurare o che e' parte di un rapporto con un partecipante, o all'interessato:

che e' coobbligato, anche in solido, la cui posizione e' chiaramente distinta da quella del debitore principale, o;

che e' terzo ceduto, in relazione all'ipotesi di cessione di crediti o dilazioni di pagamento o;

che e' un esponente aziendale o un partecipante al capitale della societa' e/o ente, che e' parte di una richiesta/rapporto, o;

che e' comunque legato sul piano economico o giuridico al soggetto che e' parte di una richiesta/rapporto, come specificato nel successivo art. 8, lettera d).

Al fine della prevenzione delle frodi per i contratti di locazione finanziaria, ed altresi' per le altre richieste/rapporti di cui all'art. 2, comma 2, lettera A, possono essere registrati i dati personali del fornitore dei beni che ne formano oggetto.

3. Non possono essere oggetto di trattamento nell'ambito di un SIC categorie particolari di dati personali di cui all'art. 9 del regolamento e i dati personali relativi a condanne penali, ai reati e a connesse misure di sicurezza di cui all'art. 10 del regolamento. Il trattamento concerne dati personali di tipo obiettivo, adeguati, pertinenti e limitati a quanto necessario rispetto alle finalita' per le quali sono trattati, e concerne anche ogni vicenda intervenuta a qualsiasi titolo o causa in relazione ad una richiesta/rapporto, nel rispetto dei tempi di conservazione dei dati stabiliti nel presente Codice di condotta.

4. Le codifiche ed i criteri eventualmente utilizzati per registrare dati personali in un SIC e per facilitarne il trattamento sono diretti esclusivamente a fornire una rappresentazione oggettiva e corretta degli stessi dati, nonche' delle vicende del rapporto segnalato. L'utilizzo di tali codifiche e criteri e' accompagnato da precise indicazioni circa il loro significato, fornite dal gestore, osservate dai partecipanti e rese dagli stessi agevolmente disponibili agli interessati.

5. Nel SIC sono registrati gli estremi identificativi del partecipante che ha comunicato i dati personali relativi alla richiesta/rapporto. Tali estremi sono accessibili al gestore o agli interessati e non anche agli altri partecipanti.

6. Il gestore registra i dati relativi agli accessi al SIC, anche ai fini dei controlli di cui al presente codice di condotta.


Art. 5.
Modalita' di raccolta e registrazione dei dati

1. I partecipanti aderiscono ad un SIC in forza di accordi sulla base del principio di reciprocita' ed all'atto della consultazione hanno accesso al dettaglio completo dei dati relativi a richieste e rapporti, oltre che indicatori di sintesi e scoring.

Salvo quanto previsto dal comma 5, il gestore acquisisce esclusivamente dai partecipanti i dati personali da registrare nel SIC.

2. Il partecipante adotta idonee procedure di verifica per garantire la lecita utilizzabilita' nel sistema, la correttezza, l'aggiornamento e l'esattezza dei dati comunicati al gestore.

3. All'atto del ricevimento dei dati, il gestore verifica la loro congruita' attraverso controlli di carattere formale e logico e, se i dati risultano incompleti od incongrui, li ritrasmette al partecipante che li ha comunicati, ai fini delle necessarie integrazioni e correzioni. All'esito dei controlli e delle eventuali integrazioni e correzioni, i dati sono registrati nel SIC e resi disponibili.

4. Il partecipante verifica con cura i dati da esso trattati e risponde tempestivamente alle richieste di verifica del gestore, anche a seguito dell'esercizio di un diritto da parte dell'interessato.

5. Eventuali operazioni di cancellazione, integrazione o modificazione dei dati registrati in un SIC sono disposte direttamente dal partecipante che li ha comunicati, ove tecnicamente possibile, ovvero dal gestore su richiesta del medesimo partecipante o d'intesa con esso, anche a seguito dell'esercizio di un diritto da parte dell'interessato, oppure in attuazione di un provvedimento dell'autorita' giudiziaria o del Garante.

6. Al verificarsi di ritardi nei pagamenti, il partecipante, anche unitamente all'invio di solleciti o di altre comunicazioni, o eventualmente con le modalita' indicate nel contratto, invia all'interessato un preavviso circa l'imminente registrazione dei dati in uno o piu' SIC. I dati relativi al primo ritardo possono essere resi accessibili ai partecipanti solo decorsi almeno quindici giorni dalla spedizione del preavviso all'interessato. Le modalita', anche digitali e innovative, per garantire la ricezione di detto preavviso sono definite dal partecipante sulla base di quanto previsto dal Garante nel provvedimento del 26 ottobre 2017 e nell'allegato 1 al presente codice di condotta.

7. I dati registrati in un SIC sono aggiornati periodicamente, con cadenza mensile, a cura del partecipante che li ha comunicati.


Art. 6.
Base giuridica e Informazione agli interessati

1. Il trattamento dei dati personali da parte del gestore e dei partecipanti al SIC secondo i termini e le condizioni stabilite nel codice di condotta risulta lecito ai sensi dell'art. 6, comma 1, lettera f) del regolamento in quanto e' necessario per il perseguimento di legittimi interessi dei partecipanti all'utilizzo del SIC per le finalita' di cui al presente codice di condotta. Pertanto, non e' necessario acquisire il consenso dell'interessato.

Costituiscono legittimi interessi: la corretta misurazione del merito e del rischio creditizio, la corretta valutazione dell'affidabilita' e della puntualita' dei pagamenti dell'interessato, la prevenzione del rischio di frode, ivi inclusa la prevenzione del rischio del furto di identita'.

2. Al momento della raccolta dei dati personali relativi a richieste o rapporti, il partecipante informa l'interessato ai sensi degli articoli 13 e 14 del regolamento anche con riguardo al trattamento dei dati personali effettuato nell'ambito di un SIC.

3. Le informazioni di cui al comma 2 recano in modo chiaro e preciso, nell'ambito della descrizione delle finalita' e delle modalita' del trattamento, nonche' degli altri elementi di cui all´art. 13 del regolamento, le seguenti indicazioni:

a) estremi identificativi e dati di contatto dei SIC cui sono comunicati i dati personali o presso il quale tali dati sono consultati e dei rispettivi gestori;

b) categorie di partecipanti;

c) tempi di conservazione dei dati nei SIC, cui sono comunicati;

d) modalita' di organizzazione, raffronto ed elaborazione dei dati, nonche' eventuale uso di trattamenti o processi decisionali automatizzati di scoring;

e) modalita' per l'esercizio da parte degli interessati dei diritti previsti dal regolamento;

f) eventuali trasferimenti di dati personali in paesi non facenti parte dello Spazio economico europeo.

4. L'informativa di cui al comma 2 e' fornita agli interessati secondo il modello allegato al presente codice di condotta nell'allegato 3 e, se inserita in un modulo utilizzato dal partecipante, e' adeguatamente evidenziata e collocata in modo autonomo ed unitario, in parti o riquadri distinti da quelli relativi ad eventuali altre finalita' del trattamento effettuato dal medesimo partecipante.

5. L'informativa dovuta per effetto di eventuali aggiornamenti o modifiche relativi alle indicazioni rese ai sensi del comma 3, anche in caso di cambiamento dei SIC utilizzati dal partecipante e/o della denominazione e della sede del gestore, e' fornita attraverso comunicazioni periodiche, o attraverso uno o piu' siti internet e a richiesta degli interessati.

6. Ad integrazione dell'informativa resa dai partecipanti singolarmente ad ogni interessato, il gestore fornisce un'informativa piu' dettagliata attraverso il proprio sito internet e/o altre eventuali ulteriori modalita' anche digitali.

7. Quando la richiesta di credito o di un servizio o prodotto non e' accolta, il partecipante comunica all'interessato se, per istruire la richiesta, ha consultato dati personali relativi ad informazioni di tipo negativo in uno o piu' SIC, indicandogli gli estremi identificativi del SIC da cui sono state rilevate tali informazioni e del relativo gestore.

8. Il partecipante fornisce all'interessato le altre notizie di cui agli articoli 10, comma 1, lettera d) e 11, comma 1, lettera c) del codice di condotta.

Art. 7.
Tempi di conservazione dei dati

I dati personali riferiti a richieste e/o rapporti, comunicati dai partecipanti, possono essere conservati in un SIC per il tempo previsto e con le modalita' indicate nell'allegato 2 al presente Codice di condotta.

Art. 8.
Utilizzazione dei dati

1. Il partecipante puo' accedere al SIC rispetto a dati per i quali sussiste un suo legittimo interesse, riguardanti esclusivamente:

a) interessati che chiedono di instaurare o sono parte o che, a seguito di operazioni di cessione di crediti o dilazioni di pagamento, possono divenire parte di un rapporto con il medesimo partecipante e soggetti coobbligati, anche in solido;

b) interessati che agiscono nell'ambito della loro attivita' imprenditoriale o professionale che chiedono di instaurare o sono parte o che, a seguito di operazioni di cessione di crediti, possono divenire parte di un rapporto con il medesimo partecipante e soggetti coobbligati, anche in solido;

c) interessati che rivestono la qualifica di esponente aziendale o partecipante al capitale di una societa' e/o ente, che e' parte di una richiesta/rapporto;

d) soggetti aventi un collegamento di tipo giuridico o economico con quelli di cui alla lettera b), sempre che i dati personali cui il partecipante intende accedere risultino necessari per il perseguimento delle finalita' di cui al presente codice di condotta relativamente ai soggetti di cui alla stessa lettera b). In tali casi la posizione del soggetto collegato all'interno del SIC non subisce comunque alcuna modificazione in virtu' delle vicende relative al soggetto a cui e' riferito in via principale il rapporto.

2. Il partecipante puo' accedere al SIC anche mediante consultazione di copia della relativa banca dati.

3. Il SIC e' accessibile solo da un numero limitato, rispetto all´intera organizzazione del titolare del trattamento e/o dei suoi responsabili del trattamento, di persone autorizzate per iscritto al trattamento sotto l'autorita' diretta del titolare o del responsabile ed istruite in tal senso, con esclusivo riferimento ai dati strettamente necessari, pertinenti e non eccedenti in rapporto alle finalita' indicate nell´art. 3, in relazione alle specifiche esigenze derivanti dal perseguimento delle medesime finalita', concretamente verificabili sulla base degli elementi in possesso dei partecipanti medesimi, nonche' per assolvere ad obblighi di legge e per garantire la corretta manutenzione dei sistemi e la qualita' dei dati.

4. I partecipanti accedono al SIC attraverso le modalita' e gli strumenti anche digitali individuati dal gestore, nel rispetto della normativa sulla protezione dei dati personali. I dati personali relativi a richieste/rapporti registrati in un SIC sono di norma consultabili con modalita' di accesso graduale e selettivo, attraverso uno o piu' livelli di consultazione di informazioni sintetiche o riepilogative dei dati riferiti all'interessato, prima della loro visione in dettaglio e con riferimento anche ad eventuali dati riferiti a soggetti coobbligati o collegati ai sensi del comma 1. Sono, in ogni caso, precluse, anche tecnicamente, modalita' di accesso che permettano interrogazioni di massa o acquisizioni di elenchi di dati personali concernenti richieste/rapporti relativi a soggetti diversi da quelli che hanno chiesto di instaurare o che sono o che, a seguito di operazioni di cessione di crediti o di dilazioni di pagamenti, possono divenire parte di un rapporto di credito.

5. L'accesso ad un SIC e' consentito anche agli organi giudiziari e di polizia giudiziaria per ragioni di giustizia, oppure da parte di altre istituzioni, autorita', amministrazioni o enti pubblici nei soli casi previsti da leggi, regolamenti o normative comunitarie e con l'osservanza delle norme che regolano la materia.

Art. 9.
Accesso ed esercizio di altri diritti degli interessati

1. In relazione ai dati personali registrati in un SIC, gli interessati possono esercitare i propri diritti secondo le modalita', i termini e le condizioni stabiliti dal regolamento, sia presso i partecipanti che li hanno comunicati sia presso il gestore, ad eccezione, riguardo a quest'ultimo, del diritto di cui all'art. 20 del regolamento, non sussistendone i presupposti. Tali soggetti titolari del trattamento garantiscono, anche attraverso idonee misure organizzative e tecniche, un riscontro senza ingiustificato ritardo e, comunque, al piu' tardi entro un mese dal ricevimento della richiesta stessa. Tale termine puo' essere prorogato di due mesi, se necessario, tenuto conto della complessita' e del numero delle richieste. Il partecipante o il gestore presso cui sia stato esercitato dall'interessato uno dei diritti allo stesso riconosciuti, informa quest'ultimo di tale proroga e dei motivi del ritardo, entro un mese dal ricevimento della richiesta.

2. Nella richiesta con la quale esercita i propri diritti, l'interessato indica i propri dati identificativi (ad esempio il codice fiscale e/o la partita Iva), anche al fine di agevolare la ricerca dei dati che lo riguardano nel SIC.

3. Il terzo al quale l´interessato conferisce, per iscritto, delega o procura per l´esercizio dei propri diritti, non deve avere alcun interesse, sia diretto che indiretto, riguardo alla conoscenza dei dati dell'interessato e puo' trattare i dati personali acquisiti presso un SIC esclusivamente nei limiti della delega stessa ed in ogni caso solamente per la finalita' di tutela dei diritti dell'interessato e nel rispetto dei diritti fondamentali dell'interessato, con esclusione di ogni altro scopo perseguito dal terzo medesimo o da soggetti ad esso collegati. Nell'esercizio dei diritti dell'interessato, il terzo delegato dichiara per iscritto l'assenza di un suo interesse diretto o indiretto ed il partecipante o il gestore prima di rispondere possono verificarlo attraverso richieste di chiarimenti o altro, potendo, in mancanza, rifiutare la richiesta, contestualmente informandone il Garante. In caso di richieste massive e/o ripetitive provenienti da uno o piu' soggetti delegati dell'interessato, il gestore e il partecipante hanno comunque sempre la facolta' di rispondere direttamente a quest'ultimo.

4. Il partecipante, al quale e' rivolta una richiesta con cui e' esercitato taluno dei diritti di cui all'art. 12 del regolamento relativamente alle informazioni creditizie registrate in un SIC, fornisce direttamente riscontro nei termini previsti dall´art. 12 del regolamento e dispone le eventuali modifiche ai dati ai sensi del presente codice di condotta. Se la richiesta e' rivolta al gestore, quest'ultimo provvede anch'esso direttamente nei medesimi termini, consultando ove necessario il partecipante e fatta salva l'applicazione del successivo comma 6.

5. Qualora sia necessario svolgere ulteriori o particolari verifiche con il partecipante, il gestore informa l'interessato di tale circostanza entro il termine di un mese, prorogabile di due mesi ai sensi del precedente comma 1 del presente art. 9. Durante il periodo necessario ad effettuare le ulteriori verifiche con il partecipante, il gestore:

nell'arco del primo mese, mantiene nel SIC l'indicazione relativa allo svolgimento delle verifiche, tramite specifica codifica o apposito messaggio da apporre in corrispondenza dei dati oggetto delle richieste dell'interessato;

successivamente ne limita il trattamento sospendendo la visualizzazione nel SIC dei dati oggetto delle verifiche.

6. In caso di richieste di cui al comma 4 riguardanti effettive contestazioni relative ad inadempimenti del venditore/fornitore dei beni o servizi oggetto del contratto sottostante al rapporto, il gestore annota senza ritardo nel SIC, su richiesta dell'interessato, del partecipante o informando quest'ultimo, la notizia relativa all'esistenza di tali contestazioni, tramite l'inserimento di una specifica codifica da apporre in corrispondenza dei dati relativi al rapporto.

Art. 10.
Trattamenti o processi decisionali automatizzati di scoring

1. Nei casi in cui i dati personali contenuti in un SIC siano trattati anche mediante trattamenti o processi decisionali automatizzati di scoring, il gestore ed i partecipanti, fermo restando che i gestori non adottano ai sensi del regolamento alcuna decisione che puo' incidere su diritti e liberta' degli interessati, assicurano il rispetto dei seguenti principi:

a) tali trattamenti possono essere effettuati solo per l'istruttoria di una richiesta o per la gestione dei rapporti instaurati;

b) i dati relativi a esiti, indicatori o punteggi associati ad un interessato sono elaborati e comunicati dal gestore al solo partecipante che ha ricevuto la richiesta dall'interessato o che ha precedentemente comunicato dati riguardanti il relativo rapporto;

c) i modelli o i fattori di analisi statistica, nonche' gli algoritmi di calcolo degli esiti, indicatori o punteggi sono verificati periodicamente con cadenza almeno biennale ed aggiornati in funzione delle risultanze di tali verifiche;

d) quando la richiesta non e' accolta, l'interessato puo' richiedere al partecipante se, per istruire la richiesta, ha consultato dati relativi a esiti, indicatori o punteggi di tipo negativo ottenuti mediante trattamenti o processi decisionali automatizzati di scoring e di fornirgli tali dati, nonche' una spiegazione delle logiche di funzionamento dei sistemi utilizzati e delle principali tipologie di fattori tenuti in considerazione nell'elaborazione.

Art. 11.
Trattamento di dati provenienti da fonti pubbliche e/o da altre fonti

1. Nei casi in cui il gestore di un SIC, direttamente o per il tramite di societa' controllate o collegate, effettua in ogni forma il trattamento di dati provenienti da fonti pubbliche e/o da altre fonti o comunque fornisce ai partecipanti servizi per accedere a tali dati, fermi restando i limiti e le modalita' che le leggi stabiliscono per la loro conoscibilita' e pubblicita', il gestore ed i partecipanti assicurano il rispetto dei seguenti principi:

a) i dati provenienti da fonti pubbliche e/o da altre fonti, se registrati, devono figurare in banche di dati personali separate dal SIC;

b) nel caso di accesso del partecipante sia a dati personali contenuti in un SIC sia a dati personali contenuti in una delle banche dati di cui alla lettera a), anche nell'eventualita' che gli stessi siano associati tra di essi, il gestore adotta le adeguate misure tecniche ed organizzative al fine di assicurare la separazione e la distinguibilita' dei dati provenienti dal SIC rispetto a quelli provenienti dalle banche dati di cui alla lettera a), anche attraverso l´inserimento di idonee indicazioni, eliminando ogni possibilita' di equivoco circa la diversa natura ed origine dei dati oggetto dell´accesso;

c) quando la richiesta non e' accolta, l'interessato puo' richiedere al partecipante se, per istruire la richiesta di credito, ha consultato anche dati personali di tipo negativo nelle banche di dati di cui alla lettera a) ed ottenere dettagli circa la fonte da cui provengono i dati medesimi e gli estremi identificativi del gestore del SIC che ha fornito tali informazioni.

Art. 12.
Misure di sicurezza dei dati

1. I dati personali oggetto di trattamento nell'ambito di un SIC hanno carattere riservato e non possono essere divulgati a terzi, al di fuori dei casi previsti dal regolamento e dal presente codice di condotta.

2. Le persone fisiche che, in funzione dell'organizzazione del gestore o dei partecipanti operano sotto l'autorita' di detti titolari del trattamento o dei loro responsabili del trattamento ed hanno accesso al SIC, possono trattare i dati personali solo se istruiti in tal senso dal titolare del trattamento mantengono il segreto sui dati personali acquisiti e rispondono della violazione degli obblighi di riservatezza derivanti da un´utilizzazione dei dati o una divulgazione a terzi per finalita' diverse o incompatibili con le finalita' di cui al presente codice o comunque non consentite.

3. Il gestore ed i partecipanti adottano e sono tenuti a far assumere dai propri eventuali responsabili del trattamento l'impegno ad adottare misure tecniche ed organizzative idonee per garantire un livello di sicurezza adeguato al rischio fin dalla fase della progettazione e per impostazione predefinita. Tali misure comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacita' di assicurare su base permanente la riservatezza, l'integrita', la disponibilita' e la resilienza dei sistemi e dei servizi di trattamento; c) la capacita' di ripristinare tempestivamente la disponibilita' e l'accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

4. Il gestore adotta ed e' tenuto a far assumere dai propri eventuali responsabili del trattamento l'impegno ad adottare adeguate misure di sicurezza al fine di garantire il regolare funzionamento del SIC e il controllo degli accessi. Questi ultimi sono registrati e memorizzati nel sistema informativo del gestore medesimo o di ogni partecipante presso cui risieda copia della stessa banca dati.

5. In relazione al rispetto degli obblighi di sicurezza, riservatezza e segretezza di cui al presente articolo, il gestore ed i partecipanti impartiscono specifiche istruzioni al personale impiegato e vigilano sulla loro puntuale osservanza, anche attraverso verifiche da parte di idonei organismi di controllo.

Art. 13.
Notifica di una violazione dei dati personali

1. Ai sensi e nei limiti dell'art. 33 del regolamento, in caso di violazione di dati personali contenuti nei SIC il gestore comunica la violazione medesima all'autorita' di controllo compente e si impegna ad informare i partecipanti senza ingiustificato ritardo e, comunque, entro i termini fissati dal regolamento, unitamente alla descrizione dettagliata della violazione ed informazioni circa la natura della violazione, il numero approssimativo di interessati in questione nonche' le categorie di dati personali trattati, il numero approssimativo di registrazioni di dati personali in questione, il nome e i dati di contatto del responsabile della protezione dei dati, le probabili conseguenze della violazione e le misure adottate o da adottare per porre rimedio alla violazione, mitigare l'impatto sugli interessati e prevenire il ripetersi della violazione. I contenuti della notifica sono quelli indicati nel paragrafo 3 dell'art. 33 del regolamento.

2. Quando la violazione dei dati personali e' suscettibile di presentare un rischio elevato per i diritti e le liberta' delle persone fisiche cui i dati personali contenuti nei SIC si riferiscono, il partecipante e/o il gestore sono tenuti, in base agli elementi di cui sono rispettivamente venuti a conoscenza, a comunicare la violazione all'interessato. Fermo restando quanto stabilito nel paragrafo 3 dell'art. 34 del regolamento, in particolare nel caso che detta comunicazione, nei confronti del singolo interessato, richieda sforzi sproporzionati, il partecipante e/o il gestore procedono ad una comunicazione pubblica, o ad una analoga misura, tramite la quale gli interessati sono informati con analoga efficacia.

Art. 14.
Trasferimento di dati personali verso paesi terzi o organizzazioni internazionali

I dati personali oggetto di trattamento ai sensi del presente codice di condotta possono essere trasferiti verso partecipanti, gestori e/o, comunque, altri destinatari, titolari o responsabili del trattamento, ubicati in paesi non appartenenti allo Spazio economico europeo, nel rispetto delle condizioni di cui al Capo V del regolamento.

Art. 15.
Verifiche sul rispetto del Codice di condotta ed organismo di monitoraggio

Fatti salvi i compiti e i poteri del Garante di cui agli articoli da 56 a 58 del regolamento, il rispetto del presente codice di condotta per quanto attiene esclusivamente alle operazioni di trattamento di dati personali poste in essere dai gestori aderenti al presente codice di condotta e' garantito da un apposito organismo di monitoraggio (di seguito «OdM» o «Organismo») costituito e accreditato ai sensi dell'art. 41 del regolamento, la cui composizione e il cui funzionamento sono disciplinati nell'allegato 4 al presente codice di condotta.

Art. 16.
Modalita' di adesione al Codice di condotta

1. Tutti i gestori di sistemi di informazioni creditizie che non hanno ancora sottoscritto il presente codice di condotta possono aderirvi in qualsiasi momento inviando formale richiesta all'OdM, corredata da una visura camerale aggiornata e dall'ultimo bilancio approvato. L'OdM verifica l'assenza di circostanze ostative all'adesione del gestore richiedente.

2. Entro trenta giorni dall'inoltro della richiesta di adesione, l'OdM, accertato il possesso da parte del richiedente dei necessari requisiti, sentiti i gestori gia' aderenti, procede a comunicare la nuova adesione al Garante, affinche' l'autorita' possa aggiornare il registro di cui all'art. 40, paragrafo 6, del regolamento.

3. L'eventuale mancata accettazione della domanda di adesione al codice di condotta regolarmente presentata da parte di un gestore dovra' essere brevemente motivata da parte dell'OdM, fermo restando che tale diniego non preclude il successivo rinnovo della domanda di adesione. In quest'ultimo caso, tuttavia, il gestore richiedente dovra' allegare alla nuova istanza una breve nota che illustri le misure adottate per superare le ragioni che avevano condotto al precedente diniego.

Art. 17.
Riesame del Codice di condotta

1. Sul presupposto di quanto evidenziato nelle premesse 5 e 6, i gestori che sottoscrivono il presente codice di condotta proporranno al Garante un nuovo progetto entro un termine massimo di ventiquattro mesi dall'entrata in vigore del presente codice di condotta, nell'ottica di una coerente regolamentazione del settore, anche attraverso la riduzione delle asimmetrie informative.

2. Fermo quanto sopra, i gestori che sottoscrivono il presente codice di condotta possono promuovere il riesame e l'eventuale modifica dello stesso, anche alla luce di novita' normative, delle prassi applicative del regolamento, del progresso tecnologico o dell'esperienza acquisita nella sua applicazione.

Art. 18.
Disposizioni finali

1. In funzione di quanto indicato alla premessa 6, ai soggetti ivi richiamati si applicano le disposizioni del presente Codice di condotta tra le quali, in particolare, sebbene non siano ivi espressamente citati, quelle contenute nell'art. 3, nell'art. 4 comma 5, nell'art. 5 commi 6 e 8, nell'art. 6, nell'art. 8 commi 1, 3 e 4, nell'art. 9 commi 1 e 3, negli articoli 10, 11, 12, 13, 14 e 18.

2. Il presente codice di condotta viene approvato con le modifiche e le integrazioni rese necessarie dal completamento della procedura di accreditamento da parte del Garante ai sensi dell'art. 40 del regolamento, alla cui definizione era subordinata l'efficacia del codice di condotta approvato il 12 settembre 2019.

Art. 19.
Entrata in vigore

Il presente codice di condotta, inserito nei registri di cui all'art. 40, paragrafi 6 e 11, del regolamento, e' pubblicato nella Gazzetta ufficiale della Repubblica italiana ed acquista efficacia il giorno successivo a quello della pubblicazione.



Allegato 1 - Preavviso di segnalazione



Fermi restando gli strumenti gia' individuati con il provvedimento del garante del 26 ottobre 2017 (ad esempio la posta elettronica certificata (PEC) con evidenza della consegna del relativo messaggio di invio ad altro indirizzo PEC o posta elettronica semplice), si considera altresi' idoneo a garantire l'adempimento dell'obbligo di preavviso di segnalazione del primo ritardo di cui al presente Codice di condotta l'invio tramite vettore con servizio di tracciatura e certificazione dell'avvenuta consegna. Il documento contenente il preavviso di segnalazione viene inviato tramite un servizio di postalizzazione che preveda la tracciatura della spedizione con certificazione dell'avvenuta consegna al destinatario tramite un servizio di localizzazione satellitare GPS nonche' la lettura del codice a barre univoco assegnato ad ogni lettera, con evidenza fornita dallo spedizioniere dell'avvenuta consegna comprensiva degli elementi del recapito effettuato.

Inoltre il preavviso, se inviato con una delle modalita' di seguito indicate, previamente concordate con l'interessato, si presume conosciuto da parte del destinatario, salvo che questi non provi di essere stato, senza sua colpa, nell'impossibilita' di avere notizia della comunicazione:

a) messa a disposizione in un'area riservata ad accesso esclusivo del cliente. Il documento contenente il preavviso e' messo a disposizione in un'area riservata alla quale il cliente abbia effettivo accesso (qualora, ad esempio, il cliente abbia gia' effettuato almeno un accesso in tale area), nell'ambito del sito web del partecipante (home banking o analogo servizio), accompagnata da un messaggio sms, istantaneo o da una email che allerti il cliente circa la presenza in tale area riservata di una comunicazione importante a lui destinata;

b) comunicazione telefonica con registrazione della chiamata. Il preavviso di segnalazione viene comunicato tramite contatto telefonico registrato (al numero fornito dal cliente) previa e documentata verifica dell'identita' del soggetto rispondente;

c) in considerazione dell'estrema diffusione di modalita' di contatto e comunicazione digitali e innovative, fruibili anche tramite device, il preavviso di segnalazione puo' essere validamente inviato utilizzando forme di messaggistica istantanea che consentano di tracciare anche l'avvenuta consegna del preavviso.



Allegato 2 - Tempi di conservazione



1. I dati personali riferiti a richieste, comunicati dai partecipanti, possono essere conservati in un SIC per il tempo necessario alla relativa istruttoria e comunque non oltre centottanta giorni dalla data di presentazione delle richieste medesime. Se la richiesta di credito non e' accolta o e' oggetto di rinuncia il partecipante ne da' notizia al gestore con l'aggiornamento mensile di cui al Codice di condotta. In tal caso, i dati personali relativi alla richiesta cui l'interessato ha rinunciato o che non e' stata accolta possono essere conservati nel sistema non oltre novanta giorni dalla data del loro aggiornamento con l'esito della richiesta.

2. Le informazioni creditizie di tipo negativo relative a ritardi nei pagamenti, successivamente regolarizzati, possono essere conservate in un SIC fino a:

a) dodici mesi dalla data di registrazione dei dati relativi alla regolarizzazione di ritardi non superiori a due rate o mesi;

b) ventiquattro mesi dalla data di registrazione dei dati relativi alla regolarizzazione di ritardi superiori a due rate o mesi.

3. Decorsi i periodi di cui al comma 2, i dati sono eliminati dal SIC se nel corso dei medesimi intervalli di tempo non sono registrati dati relativi ad ulteriori ritardi o inadempimenti.

4. Il partecipante ed il gestore aggiornano senza ritardo i dati relativi alla regolarizzazione di inadempimenti di cui abbiano conoscenza, avvenuta dopo la cessione del credito da parte del partecipante ad un soggetto che non partecipa al sistema, anche a seguito di richiesta dell'interessato munita di dichiarazione del soggetto cessionario del credito o di altra idonea documentazione.

5. Le informazioni creditizie di tipo negativo relative a inadempimenti non successivamente regolarizzati possono essere conservate nel SIC non oltre trentasei mesi dalla data di scadenza contrattuale del rapporto oppure, in caso di altre vicende rilevanti in relazione al pagamento, dalla data in cui e' risultato necessario il loro ultimo aggiornamento, e comunque, anche in quest'ultimo caso, al massimo fino a sessanta mesi dalla data di scadenza del rapporto, quale risulta dal contratto.

6. Le informazioni creditizie di tipo positivo relative ad un rapporto che si e' esaurito con estinzione di ogni obbligazione pecuniaria, possono essere conservate nel sistema non oltre sessanta mesi dalla data di cessazione del rapporto o di scadenza del relativo contratto, ovvero dal primo aggiornamento effettuato nel mese successivo a tali date. Tenendo conto del requisito della completezza dei dati in rapporto alle finalita' perseguite, le predette informazioni di tipo positivo possono essere conservate ulteriormente nel sistema qualora in quest'ultimo risultino presenti, in relazione ad altri rapporti di credito riferiti al medesimo interessato, informazioni creditizie di tipo negativo concernenti ritardi od inadempimenti non regolarizzati.

7. I dati relativi al primo ritardo nei pagamenti in un rapporto sono utilizzati e resi accessibili agli altri partecipanti nel rispetto dei seguenti termini:

a) nei SIC di tipo negativo, dopo almeno centoventi giorni dalla data di scadenza del pagamento o in caso di mancato pagamento di almeno quattro rate mensili non regolarizzate;

b) nei SIC di tipo positivo e negativo, decorsi sessanta giorni dall'aggiornamento mensile, oppure in caso di mancato pagamento di almeno due rate mensili consecutive, oppure quando il ritardo si riferisce ad una delle due ultime scadenze di pagamento. Nel secondo caso i dati sono resi accessibili dopo l'aggiornamento mensile relativo alla seconda rata consecutivamente non pagata.

8. Prima dell'eliminazione dei dati dal SIC secondo i tempi di conservazione indicati nel presente allegato, il gestore puo' trasporre i dati su altro supporto, ai fini della limitata conservazione per il tempo necessario e del loro utilizzo, in relazione ad esigenze di rispetto di un obbligo di legge, di difesa di un proprio diritto in sede giudiziaria, amministrativa, arbitrale o di conciliazione (inclusa la fase propedeutica). Il gestore, prima della eliminazione, potra' altresi' trasporre i dati su altro supporto, non direttamente accedibile dai partecipanti. Tale base di dati, unitamente a dati resi temporaneamente accessibili a tutti i partecipanti, ed assistita dalle opportune misure e tecniche per garantirne la gestione in sicurezza (ad es. attraverso opportune tecniche di cripting o pseudonimizzazione), potra' essere utilizzata per la verifica, anche comparativa, della predittivita' delle informazioni contenute nel SIC, per lo sviluppo e la verifica dei modelli di cui all'art. 10, lettera c) del presente codice di condotta e per elaborazioni in forma aggregata, anonima o pseudonima, atte a soddisfare esigenze statistiche, normative/regolamentari o di sviluppo di prodotti o servizi dei partecipanti. I gestori ed i partecipanti assicurano che il trasferimento delle anzidette informazioni dal gestore al partecipante abbia luogo in sicurezza e nel rispetto delle finalita' su indicate. In ogni caso tali dati non potranno essere conservati per un periodo superiore a dieci anni dalla scadenza dei tempi di conservazione dei dati nel SIC. Tale base di dati potra' essere utilizzata inoltre per fornire dati e informazioni ad autorita' di vigilanza, e a Banca d'Italia in particolare, per proprie finalita' istituzionali.

9. Le disposizioni del presente allegato non riguardano la conservazione ad uso interno, da parte del partecipante, della documentazione contrattuale o contabile contenente i dati personali relativi alla richiesta/rapporto.



Allegato 3 - Modello di informativa



Informativa

per tutti gli operatori di SIC - Sistema di informazioni creditizie

Come utilizziamo i suoi dati

La presente informativa di cui agli articoli 13 e 14 del regolamento UE 679/2016 e' resa anche per conto dei sistemi di informazioni creditizie.

Gentile Cliente,

... in qualita' di titolare del trattamento, la informiamo che per dare seguito alla sua richiesta, utilizziamo alcuni dati che la riguardano. Si tratta di informazioni che lei stesso ci fornisce o che otteniamo consultando alcune banche dati.

Tali banche dati (Sistema di informazioni creditizie o SIC) contenenti informazioni circa gli interessati sono consultate per valutare, assumere o gestire un rischio di credito, per valutare l'affidabilita' e la puntualita' nei pagamenti dell'interessato e sono gestite da privati e partecipate da soggetti privati appartenenti alle categorie che trovera' nelle informative fornite dai gestori dei SIC.

Queste informazioni saranno conservate presso di noi; alcune delle informazioni che lei stesso ci fornisce, assieme alle informazioni originate dal suo comportamento nei pagamenti riguardo al rapporto che si andra' ad instaurare potranno essere comunicate periodicamente ai SIC. (2)

Cio' significa che i soggetti appartenenti alle categorie sopra menzionate, a cui lei chiedera' l'instaurazione di un rapporto potranno sapere se lei ha presentato a noi una richiesta e se paga regolarmente.

Il trattamento e la comunicazione dei suoi dati e' un requisito necessario per la conclusione del contratto. Senza questi dati potremmo non essere in condizione di dar seguito alla sua richiesta.

La conservazione di queste informazioni da parte delle banche dati viene effettuato sulla base del legittimo interesse del titolare del trattamento a consultare i SIC.

Trattamento effettuato dalla nostra societa'

I suoi dati non verranno da noi trasferiti ad un paese terzo extra UE o a un'organizzazione internazionale. [ovvero: I suoi dati verranno da noi trasferiti a ... (indicare, in tal caso, attraverso quali strumenti; in particolare, indicare l'esistenza o meno di una decisione di adeguatezza della Commissione UE e, nel caso in cui si faccia riferimento alle adeguate garanzie di cui agli articoli 46 e seguenti del regolamento, i mezzi per ottenere copia di tali garanzie o il luogo dove sono state rese disponibili)].

Secondo i termini, le modalita' e nei limiti di applicabilita' stabiliti dalla normativa vigente, Lei ha diritto di conoscere i suoi dati e di esercitare i diversi diritti relativi al loro utilizzo (rettifica, aggiornamento, cancellazione, limitazione del trattamento, opposizione ecc.).

Lei potra' proporre reclamo all'Autorita' garante per la protezione dei dati personali (www.garanteprivacy.it), nonche' ricorrere agli altri mezzi di tutela previsti dalla normativa applicabile.

Conserviamo i suoi dati presso la nostra societa' per il tempo necessario per gestire il suo rapporto contrattuale e per adempiere ad obblighi di legge (ad esempio per quanto previsto dall'art. 2220 del codice civile in materia di conservazione delle scritture contabili).

Per ogni richiesta riguardante i suoi dati, utilizzi nel suo interesse il fac-simile presente sul sito ... inoltrandolo alla nostra societa':



+------------------+------------------------------------------------+ |Partecipante ... |Recapiti utili (indirizzo, telefono e-mail) | +------------------+------------------------------------------------+

e/o alle societa' sotto indicate, cui comunicheremo i suoi dati:

...

I suoi dati potranno/non potranno essere utilizzati nel processo decisionale automatizzato di una richiesta nel caso in cui tale decisione sia necessaria per la conclusione o l'esecuzione del suo contratto con noi ... (inserire dettagli sulla logica utilizzata, l'importanza e le conseguenze di tale trattamento per l'interessato).

Le comunichiamo inoltre che per ogni occorrenza puo' essere contattato il nostro responsabile della protezione dei dati al seguente recapito: e-mail ... e/o pec ...

Trattamento effettuato dal gestore dei SIC

Al fine di meglio valutare il rischio di credito, nonche' l'affidabilita' e puntualita' nei pagamenti, comunichiamo alcuni dati (dati anagrafici, anche della persona eventualmente coobbligata, tipologia del contratto, importo del credito, modalita' di rimborso) ai sistemi di Sistema di informazioni creditizie, i quali sono regolati dal relativo Codice di condotta (...) e che rivestono la qualifica di autonomo titolare del trattamento.

I dati sono resi accessibili anche ai diversi soggetti privati appartenenti alle categorie che trovera' nelle informative fornite dai gestori dei SIC, disponibili attraverso i canali di seguito elencati.

I dati che la riguardano sono aggiornati periodicamente con informazioni acquisite nel corso del rapporto (andamento dei pagamenti, esposizione debitoria residuale, stato del rapporto).

Nell'ambito dei SIC, i suoi dati saranno trattati secondo modalita' di organizzazione, raffronto ed elaborazione strettamente indispensabili per perseguire le finalita' sopra descritte, e in particolare saranno ...

I suoi dati sono/non sono oggetto di particolari elaborazioni statistiche al fine di attribuirle un giudizio sintetico o un punteggio sul suo grado di affidabilita' e solvibilita' (cd. credit scoring), tenendo conto delle seguenti principali tipologie di fattori: ...

Alcune informazioni aggiuntive possono esserle fornite in caso di mancato accoglimento di una sua richiesta.

I SIC cui noi aderiamo sono gestiti da:

1. estremi identificativi: ... (denominazione)

Dati di contatto: ...

Tipo di sistema: positivo e negativo

Tempi di conservazione dei dati: tali tempi sono indicati nella tabella sotto riportata

Uso di sistemi automatizzati di credit scoring: si'

Esistenza di un processo decisionale automatizzato: no

2. Estremi identificativi: ... (denominazione)

Dati di contatto: ...

Tipo di sistema: positivo e negativo

Tempi di conservazione dei dati: tali tempi sono indicati nella tabella sotto riportata

Uso di sistemi automatizzati di credit scoring: si'

Esistenza di un processo decisionale automatizzato: no

3. Estremi identificativi: ... (denominazione)

Dati di contatto: ...

Tipo di sistema: positivo e negativo

Tempi di conservazione dei dati: tali tempi sono indicati nella tabella sotto riportata

Uso di sistemi automatizzati di credit scoring: si'

Esistenza di un processo decisionale automatizzato: no

Lei ha diritto di accedere in ogni momento ai dati che la riguardano. Si rivolga alla nostra societa' (indicare l'unita' o persona responsabile per il riscontro alle istanze di cui agli articoli da 15 a 22 del regolamento n. 679/2016), oppure ai gestori dei SIC, ai recapiti sopra indicati.

Allo stesso modo puo' richiedere la correzione, l'aggiornamento o l'integrazione dei dati inesatti o incompleti, ovvero la cancellazione o il blocco per quelli trattati in violazione di legge, o ancora opporsi al loro utilizzo per motivi legittimi da evidenziare nella richiesta (articoli da 15 a 22 del regolamento UE escluso art. 20).

Tempi di conservazione dei dati nei SIC:

[tabella]

__________

(2) Tali dati, nei limiti delle prescrizioni del garante, appartengono alle seguenti categorie: a) dati identificativi, anagrafici e sociodemografici: codice fiscale, partita Iva, dati di contatto, documenti di identita', tessera sanitaria, codice iban, dati relativi all'occupazione/professione, al reddito, al sesso, all'eta', alla residenza/domicilio, allo stato civile, al nucleo familiare); b) dati relativi alla richiesta/rapporto, descrittivi, in particolare, della tipologia di contratto, dell'importo, delle modalita' di rimborso/pagamento e dello stato della richiesta o dell'esecuzione del contratto; c) dati di tipo contabile, relativi ai pagamenti, al loro andamento periodico, all'esposizione debitoria anche residua e alla sintesi dello stato contabile del rapporto; d) dati relativi ad attivita' di recupero o contenziose, alla cessione del credito o a eccezionali vicende che incidono sulla situazione soggettiva o patrimoniale di imprese, persone giuridiche o altri enti.



Allegato 4 - Organismo di monitoraggio



1. L'OdM sara' esterno e composto da tre componenti, uno dei quali designato dal CNCU (Consiglio nazionale consumatori e utenti); un altro, al quale spettera' la carica di vicepresidente dell'organismo, designato all'unanimita' dai gestori aderenti al presente Codice di condotta («gestori aderenti»); il terzo nominato in accordo tra questi ultimi e CNCU (nel complesso i «soggetti elettori») all'unanimita', il quale ricoprira' il ruolo di presidente dell'organismo. L'incarico, non rinnovabile, avra' durata quinquennale. Con adeguato anticipo e comunque non oltre tre mesi rispetto alla scadenza del mandato dell'OdM, i gestori aderenti provvederanno a richiedere al garante l'accreditamento dell'organismo nella nuova composizione. L'OdM, ai fini di un efficiente svolgimento dei propri compiti, potra' delegare a terzi fornitori di servizi lo svolgimento di parte delle proprie attivita', ad esclusione di quelle che presuppongono o determinano l'esercizio di poteri decisionali.

2. Ciascuno dei componenti dell'OdM deve garantire e mantenere per l'intera durata dell'incarico i seguenti requisiti:

a. Onorabilita'

Non potranno essere nominati coloro che:

si trovino in una delle condizioni di ineleggibilita' o decadenza previste dall'art. 2382 del codice civile;

siano stati radiati da albi professionali per motivi disciplinari;

abbiano riportato condanna, anche se con pena condizionalmente sospesa, salvi gli effetti della riabilitazione, per uno dei delitti previsti dal regio decreto 16 marzo 1942, n. 267 (legge fallimentare) e successive modifiche o integrazioni, o per uno dei delitti previsti dal titolo XI del libro V del codice civile, o per un delitto non colposo, per un tempo non inferiore ad un anno; per un delitto contro la pubblica amministrazione, contro la fede pubblica, contro il patrimonio, contro l'economia pubblica;

abbiano riportato una condanna, anche non definitiva, per uno dei reati previsti dal decreto legislativo n. 231/2001 e successive modificazioni ed integrazioni;

fermo quanto sopra disposto e salvi gli effetti della riabilitazione, siano stati sottoposti a misure di prevenzione disposte dall'autorita' giudiziaria, ovvero siano stati condannati con sentenza irrevocabile per un qualsiasi reato.

b. Autonomia e indipendenza

Al fine di garantire la piena autonomia dei componenti dell'OdM, evitando qualsiasi forma di interferenza, condizionamento o conflitto di interessi, e' previsto che sia l'organismo nel proprio complesso che i singoli componenti dello stesso, non debbano subire alcuna ingerenza nell'esercizio delle proprie attivita' da parte dei gestori aderenti. Ciascun componente dell'organismo deve rispondere a requisiti di indipendenza rispetto sia ai gestori aderenti che alle associazioni rappresentanti degli interessati, ivi ovviamente incluso il CNCU. Nello svolgimento delle proprie funzioni di controllo, inoltre, l'OdM non sara' soggetto ad alcun potere gerarchico e/o disciplinare da parte dei gestori aderenti e adottera' le proprie decisioni senza che alcuno di essi possa sindacarle.

c. Professionalita' ed esperienza

Ciascun componente deve possedere un adeguato livello di competenza per il corretto ed efficiente svolgimento dei propri compiti di controllo in relazione al Codice di condotta, garantendo un'approfondita conoscenza ed esperienza in materia di protezione dei dati personali, con particolare riferimento al settore dei SIC, oltre che nello svolgimento di compiti di vigilanza e controllo.

3. Le attivita' dell'OdM, debitamente rendicontate, saranno finanziate, secondo criteri di economicita' ed efficienza, da parte di ciascuno dei gestori aderenti, secondo quote determinate dall'organismo stesso secondo procedure di finanziamento che non ne pregiudichino in alcun modo l'indipendenza.

4. Ai fini del controllo del rispetto del presente Codice di condotta da parte di tutti i gestori aderenti, l'OdM potra' in ogni momento svolgere - anche delegandole a soggetti terzi nei limiti sopra indicati - tutte le verifiche ritenute opportune, ivi incluse ispezioni, sia in remoto che presso la sede dei gestori aderenti, tenuti a prestare la massima collaborazione ai fini del proficuo svolgimento di tali attivita'.

5. L'OdM sara' altresi' chiamato a gestire i reclami eventualmente insorti esclusivamente tra gestori aderenti ed interessati, relativamente a violazioni del presente Codice di condotta. Fatto salvo il diritto di presentare reclamo al garante o ricorso all'autorita' giudiziaria ai sensi degli articoli 77 e 79 del regolamento e degli articoli 140-bis e seguenti del decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali, ogni interessato i cui dati personali siano stati trattati da un gestore aderente, cosi' come ogni organizzazione o associazione rappresentativa o comunque attiva nel settore della protezione dei dati personali, puo' proporre reclamo all'OdM relativamente a violazioni del Codice di condotta inviando apposita istanza scritta contenente una breve descrizione dei fatti e del pregiudizio lamentato. Il reclamo riguardante l'esercizio dei diritti potra' essere proposto all'OdM esclusivamente dopo aver infruttuosamente esercitato, nei confronti del gestore, i diritti di cui all'art. 9 del Codice di condotta e trascorsi i termini in esso previsti. I vincoli e le condizioni stabiliti dall'art. 9, comma 3, del Codice di condotta, in riferimento all'esercizio dei diritti per il tramite di terzi delegati, si applicano anche alla proposizione e alla gestione di reclami per conto dell'interessato.

La presentazione di un reclamo al Garante o l'avvio di un procedimento in sede giudiziaria ordinaria o amministrativa precludono l'avvio, o determinano l'improcedibilita', qualsiasi sia lo stato di svolgimento, di una procedura avente il medesimo oggetto o comunque attinente alle medesime questioni dinanzi all'OdM.

6. Entro cinque giorni lavorativi dal ricevimento del reclamo da parte dell'interessato, l'OdM dovra' darne notizia al gestore aderente coinvolto, affinche' quest'ultimo possa, entro i successivi trenta giorni lavorativi, presentare le proprie memorie e fornire i necessari chiarimenti. Garantendo la pienezza del contraddittorio in ogni fase della procedura, qualora gli elementi acquisiti gia' consentano all'organismo di definire la controversia, quest'ultimo dovra' adottare la propria decisione entro quarantacinque giorni lavorativi dalla data di deposito delle proprie memorie da parte del gestore aderente. Diversamente, l'OdM potra' richiedere ad una sola o a entrambe le parti ulteriori precisazioni, cosi' come l'acquisizione di documenti o lo svolgimento di audizioni, raccogliendo in ogni caso tutti gli elementi necessari alla definizione del reclamo, che non potra' avvenire oltre novanta giorni lavorativi successivi alla data di presentazione dello stesso da parte dell'interessato, prorogabili di ulteriori sessanta giorni in caso di necessita' di verifiche particolarmente impegnative.

7. In conseguenza dei controlli effettuati in esecuzione dei propri poteri, o delle decisioni adottate all'esito della procedura di reclamo di cui al precedente comma, l'OdM potra' decidere, fornendo adeguata motivazione, di applicare al gestore aderente, in dipendenza della gravita' e/o del numero delle violazioni eventualmente riscontrate, una o piu' delle seguenti misure, da applicare secondo un criterio di gradualita':

a. un invito al gestore aderente a modificare la condotta, in considerazione di una maggiore aderenza alle previsioni del Codice di condotta;

b. un richiamo formale indirizzato esclusivamente al gestore aderente;

c. in caso di reiterazione della condotta rilevante di cui alle precedenti lettere a) e b), la sospensione temporanea dall'adesione del gestore aderente al Codice di condotta;

d. in ipotesi di successiva reiterazione della violazione, la revoca dell'adesione del gestore aderente al Codice di condotta.

8. Alla scadenza di ciascun semestre, l'OdM deve inviare al garante un resoconto riassuntivo dei controlli e delle verifiche effettuate, oltre che delle misure eventualmente adottate ai sensi del comma che precede, anche all'esito della definizione di procedure di reclamo.