Per una completa valutazione di tutti i rischi assunti nei confronti della clientela il sistema creditizio e finanziario ha manifestato l'esigenza di conoscere anche le informazioni relative agli affidamenti di importo inferiore alla soglia di rilevazione della centrale dei rischi. Di conseguenza, l'ABI ha esaminato l'ipotesi di realizzare un sistema di rilevazione dei suddetti affidamenti e, con delibera del comitato esecutivo del 17 febbraio 1999, ha individuato il possibile gestore di tale archivio nella Societa' interbancaria per l'automazione S.p.a. S.I.A., sulla base della considerazione che tale societa' e' l'unico ente di emanazione del mondo creditizio e finanziario gia' in possesso di una serie di requisiti idonei ad assicurare l'efficiente e sicuro svolgimento del servizio di rilevazione. Il C.I.C.R., considerato che la realizzazione di un censimento accentrato dei rischi di minore importo assume rilievo come strumento idoneo a contribuire alla corretta valutazione del merito creditizio da parte dei singoli intermediari (1), con delibera del 3 maggio 1999 (pubblicata in Gazzetta Ufficiale 8 luglio 1999, n. 158), ha condiviso l'opportunita' di rimetterne la gestione in via autonoma al soggetto privato individuato dall'ABI. Ha quindi stabilito a carico degli intermediari (2) l'obbligo di comunicare al sistema centralizzato di rilevazione gestito dalla S.I.A. i dati relativi alle esposizioni creditizie di importo inferiore al limite minimo di censimento previsto per la Centrale dei rischi della Banca d'Italia e superiore al limite massimo stabilito per le operazioni di credito al consumo, con esclusione dei crediti classificati a sofferenza. (1) Il servizio di centrale dei rischi affidato alla Banca d'Italia si propone non solo l'obiettivo di contribuire alla corretta valutazione del merito creditizio da parte degli intermediari, ma altresi' di tutelare - dati anche gli ammontari dei crediti censiti - la stabilita' del sistema creditizio e finanziario nel suo complesso. (2) Sono tenuti alla segnalazione le banche iscritte all'albo di cui all'art. 13, le societa' finanziarie di cui all'art. 65, comma 1, lettere a) e b) e gli intermediari finanziari iscritti nell'elenco speciale di cui all'art. 107 del testo unico delle leggi in materia bancaria e creditizia che partecipano alla centrale dei rischi della Banca d'Italia. La delibera ha delineato i principi riguardanti modalita' e procedure per le segnalazioni, cui il gestore deve attenersi nello svolgimento del servizio. Essa ha inoltre stabilito che la rilevazione in parola sia effettuata dalla S.I.A. sulla base di una convenzione con gli intermediari partecipanti, il cui testo deve prevedere il rispetto delle istruzioni attuative emanate dalla Banca d'Italia e delle seguenti condizioni: a) le tariffe applicate dal gestore per il servizio reso devono essere determinate avendo riguardo principalmente al recupero dei costi del servizio stesso; b) tutti i dati personali rilevati dal gestore devono essere trattati, anche dagli intermediari partecipanti, esclusivamente per finalita' di rilevazione del rischio creditizio. Alla Banca d'Italia e' affidato il compito di emanare le istruzioni di carattere generale necessarie per l'attuazione della delibera del C.I.C.R. e di verificarne il rispetto. In relazione a quanto precede, sentito il Garante per la protezione dei dati personali per gli aspetti relativi al trattamento di tali dati, secondo quanto previsto dalla ripetuta delibera C.I.C.R., si provvede a emanare le seguenti istruzioni. 1. Aspetti procedurali. La delibera del C.I.C.R. prevede che la rilevazione delle posizioni di rischio e la loro comunicazione agli intermediari devono essere effettuate secondo procedure conformi a quelle previste per la centrale dei rischi della Banca d'Italia. A tal proposito, anche al fine di consentire un risparmio dei costi per gli intermediari, le informazioni oggetto della rilevazione e' opportuno che siano classificate sulla base di un modello di rappresentazione avente struttura analoga a quello adottato dalla Centrale dei rischi (cfr. Istruzioni per gli intermediari partecipanti); e' comunque consentita l'adozione di un modello di rappresentazione meno articolato. La rilevazione delle posizioni di rischio andra' effettuata con cadenza mensile. Ciascun intermediario partecipante ricevera' dal gestore del sistema centralizzato un flusso di ritorno contenente la posizione riepilogativa dei rischi complessivamente censiti al nome di ciascun affidato segnalato dall'intermediario stesso. Ogni intermediario partecipante ha inoltre la facolta' di richiedere al sistema informazioni sulla posizione globale di rischio censita a nome di soggetti che presentino richieste di affidamento e non siano gia' stati segnalati dall'intermediario stesso. La disponibilita' di informazioni tempestive e corrette costituisce un requisito indispensabile per il conseguimento delle finalita' perseguite con la rilevazione. Ne consegue che devono essere adottate procedure organizzative e informatiche idonee a garantire il buon funzionamento del servizio e che gli intermediari sono tenuti ad effettuare le segnalazioni in modo corretto e puntuale. In caso di errore nella segnalazione dei dati gli intermediari devono inviare tempestivamente le relative rettifiche, che devono essere portate a conoscenza di tutti gli altri intermediari che segnalano gli affidati interessati dalle rettifiche e di quelli che hanno avuto accesso ai dati errati. Inoltre gli intermediari sono tenuti a verificarecon attenzione i dati in proprio possesso e a rispondere con la massima tempestivita' alle richieste di verifica delle segnalazioni ricevute dal gestore. Le informazioni anagrafiche e quelle relative alle posizioni di rischio sono conservate presso la S.I.A. rispettivamente per un periodo di dieci anni e di dodici mesi. 2. Misure di sicurezza e riservatezza delle informazioni. I dati personali oggetto della rilevazione effettuata dalla S.I.A. hanno carattere riservato: l'obbligo di riservatezza va osservato nei confronti di qualsiasi persona estranea ai sistema di rilevazione. Le informazioni trattate dalla S.I.A. non possono in alcun caso essere utilizzate, neppure attraverso la creazione di archivi presso gli intermediari, per finalita' diverse da quella di rilevazione del rischio creditizio, come previsto nella citata delibera del C.I.C.R. Al fine di garantire l'ordinato e sicuro svolgimento del servizio, la S.I.A. e gli intermediari devono adottare le misure tecniche e organizzative idonee ad assicurare la protezione delle informazioni. I sistemi informativi adottati devono essere caratterizzati da un adeguato livello di sicurezza; in particolare dovranno essere adottati presidi di tipo fisico e/o di tipo logico conformi a quelli previsti dal decreto del Presidente della Repubblica 28 luglio 1999, n. 318, e, specificamente, dagli articoli 4, 5 e 6 di tale decreto. La S.I.A. stabilisce le misure organizzative atte ad assicurare la separatezza del trattamento dei dati in oggetto rispetto alle altre attivita' svolte e ad evitare l'accesso a soggetti non autorizzati. In ogni caso il gestore e gli intermediari devono assicurare il pieno rispetto delle disposizioni in materia di tutela dei dati personali di cui alla legge 31 dicembre 1996, n. 675, e successivi provvedimenti, avendo cura, fra l'altro, di delimitare il numero delle persone fisiche aventi accesso ai dati, da designare per iscritto quali incaricati dei trattamenti effettuati. Gli intermediari devono provvedere alle notificazioni necessarie ai sensi dell'art. 7 della legge n. 675 per gli archivi da essi costituiti al fine di agevolare la consultazione del sistema di rilevazione. 3. Diritto di accesso dei diretti interessati. L'acquisizione del consenso dei diretti interessati non e' necessaria ai fini del trattamento delle informazioni censite nell'ambito del sistema di rilevazione gestito dalla S.I.A. Gli intermediari devono, peraltro, fornire adeguata informativa ai propri clienti in ordine alla comunicazione alla S.I.A. e al successivo trattamento dei dati di rischio ad essi relativi, indicando il carattere obbligatorio e le finalita' di tale comunicazione. I soggetti segnalati hanno, ai sensi dell'art. 13 della legge 31 dicembre 1996, n. 675, il diritto di conoscere i dati censiti a loro nome negli archivi del sistema centralizzato di rilevazione. Essi, pertanto, possono rivolgersi agli intermediari partecipanti per conoscere i dati contenuti nel flusso di ritorno ricevuto dalla S.I.A. e a quest'ultima per conoscere il dettaglio delle segnalazioni di rischio prodotte dai singoli intermediari. La S.I.A. e gli intermediari partecipanti devono predisporre misure organizzative idonee a soddisfare le istanze di accesso dei diretti interessati. 4. Disposizioni finali. Ai fini della definizione del contenuto della convenzione prevista dalla delibera del C.I.C.R. (punto 5) e, successivamente, della verifica della funzionalita' del servizio, gli intermediari partecipanti possono costituire un organismo rappresentativo, che preveda la partecipazione anche delle associazioni di categoria. Gli intermediari partecipanti, eventualmente tramite il cennato organismo, sono tenuti a segnalare alla Banca d'Italia le eventuali disfunzioni del sistema. La Banca d'Italia, nell'ambito degli accertamenti ispettivi di vigilanza, verifica il rispetto delle presenti disposizioni. Qualunque infrazione delle stesse disposizioni, ivi comprese le irregolarita' riscontrate nelle segnalazioni e il mancato o il ritardato invio delle stesse, e' passibile delle sanzioni amministrative di cui all'art. 144 del testo unico. La Banca d'Italia, nell'ambito dell'analisi sull'esposizione ai rischi dei singoli intermediari, puo' richiedere a questi ultimi informazioni sulla posizione di rischio dei principali affidati che tengano conto anche dei dati trasmessi alla S.I.A. La Banca d'Italia puo', inoltre, chiedere elaborazioni statistiche anonime desunte dai dati trattati dalla S.I.A., utili per la propria attivita' istituzionale. |