Informativa BDCR

Informativa
sul trattamento dei dati personali
nella Banca Dati Centrale Rischi (BDCR) Assilea

Premesse

La presente Informativa è resa dall’Associazione Italiana Leasing – Assilea ai sensi degli artt. 13 e 14 del “Regolamento generale sulla protezione dei dati” (Regolamento UE 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, c.d. GDPR) e dell’art. 6, comma 6, del “Codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di credito al consumo, affidabilità e puntualità nei pagamenti” (Provvedimento del Garante Privacy n. 163 del 12 settembre 2019, c.d. Codice di condotta per i SIC), a integrazione dell’Informativa già ricevuta ai sensi degli artt. 13 e 14 del GDPR in sede di richiesta o di stipula di un contratto di locazione finanziaria (leasing finanziario) o locazione operativa (leasing operativo) con un intermediario finanziario o una banca associati, ovvero in sede di stipula di un contratto di fornitura collegato con un contratto di leasing finanziario o di leasing operativo, nonché in sede di richiesta/rapporto di cui alla lettera a), comma 2, art. 2 del Codice SIC, ossia “qualsiasi richiesta o rapporto riguardanti la concessione, nell'esercizio di un'attività commerciale o professionale, di un credito, di una dilazione di pagamento, di un pagamento differito, di un finanziamento o di un’altra analoga facilitazione finanziaria; rientrano nell’accezione di facilitazione finanziaria il noleggio a lungo termine, il leasing operativo, la cessione di crediti e di dilazioni di pagamento”.

a) Titolare del trattamento e Gestore della BDCR
Associazione Italiana Leasing – Assilea, con sede legale in Via d’Azeglio n. 33, 00184, Roma (tel. 069970361; fax 0699703688; e-mail info@assilea.it; sito internet www.assilea.it).

b) Responsabile del trattamento
Assilea Servizi S.u.r.l., con sede legale in Via d’Azeglio n. 33, 00184, Roma (tel. 069970361; fax 0699703688; e-mail bdcr@assileaservizi.it; sito internet www.assilea.it) è il responsabile del trattamento per:
- la gestione tecnico/applicativa della BDCR;
- la gestione operativa e commerciale delle società associate, dei partecipanti e degli accedenti alla BDCR;
- la gestione dei rapporti con la clientela censita in banca dati, compresa la gestione delle istanze degli interessati per l’esercizio dei loro diritti di cui alla lettera p) della presente Informativa.
IN.TE.S.A. S.p.A., con sede legale in Strada Pianezza n. 289, 10151, Torino, è il responsabile del trattamento per:
- aggiornamento mensile della BDCR con i dati inviati dai partecipanti;
- la gestione del sito web per l’accesso ai dati da parte dei partecipanti e degli accedenti alla BDCR;
- la gestione dei certificati digitali di sicurezza;
- la gestione dello sviluppo e controllo del software;
- la gestione delle procedure di recovery/restart del sistema.

c) Responsabile della Protezione dei Dati (RPD/DPO)
Moti-f S.r.l., con sede legale in Via di Tor Pagnotta n. 94/96, 00143, Roma (e-mail DPO.Assilea@pec.moti-f.it).

d) Fonte da cui hanno origine i dati – Modalità di raccolta
I dati personali oggetto di trattamento nella BDCR sono raccolti dalle società che vi partecipano direttamente presso la rispettiva clientela, in sede di “richiesta/rapporto”, ovvero presso i fornitori in sede di acquisto dei beni.

e) Finalità del trattamento
Il Sistema di Informazioni Creditizie (SIC) – Banca Dati Centrale Rischi (BDCR) è diretto a porre a disposizione dei partecipanti uno strumento informativo in grado di accrescere la loro capacità di valutazione e di controllo del rischio di credito della clientela e del rischio di frodi dei fornitori.
Pertanto, il trattamento dei dati personali contenuti nella BDCR è effettuato coerentemente con quanto disciplinato nel Codice di condotta, esclusivamente per finalità connesse alla valutazione, all’assunzione o alla gestione di un rischio di credito, alla valutazione dell’affidabilità e della puntualità nei pagamenti dell’interessato.
Rientrano in tali finalità la prevenzione del rischio di frodi e del furto di identità.

f) Base giuridica del trattamento
La base giuridica del trattamento effettuato in BDCR è il legittimo interesse del gestore e dei partecipanti al perseguimento delle finalità di cui alla lettera e).

g) Conferimento dei dati e conseguenze di un eventuale rifiuto
Il conferimento dei dati per la loro registrazione in BDCR non è obbligatorio, ma necessario per il perseguimento delle finalità indicate alla lettera e). Per questo motivo, il rifiuto dell’interessato al conferimento dei propri dati personali potrebbe essere causa di impedimento all'instaurarsi del rapporto o alla stipula del contratto di fornitura collegato con il contratto di leasing.

h) Categorie di destinatari dei dati personali (partecipanti e accedenti)
I dati registrati nella BDCR possono essere utilizzati per le finalità di cui alla lettera e) dagli intermediari finanziari e dalle banche associati ad Assilea ovvero dai partecipanti titolari di una richiesta/rapporto come indicati in premessa, i quali partecipano alla BDCR in base al principio di reciprocità (c.d. “partecipanti”), comunicando i dati della propria clientela, anche solo potenziale, e i dati dei propri fornitori, nonché dai c.d. “accedenti”, ossia:
- i fornitori di servizi di comunicazione elettronica e i fornitori di servizi interattivi associati o di servizi di accesso condizionato (tra cui, quindi, le società telefoniche);
- le imprese di assicurazione;
- i soggetti autorizzati a svolgere le attività di vendita a clienti finali di energia elettrica e di gas naturale ai sensi della normativa vigente.

i) Categorie di soggetti interessati
I dati personali presenti in BDCR riguardano:
1. l’interessato che chiede di instaurare un rapporto o che è parte di un rapporto;
2. l’interessato coobbligato, anche in solido, la cui posizione è chiaramente distinta da quella del debitore principale;
3. l’interessato ceduto, in relazione all’ipotesi di cessione di crediti o dilazioni di pagamento;
4. l’interessato esponente aziendale o partecipante al capitale di una società e/o ente che è parte di una richiesta o di un rapporto;
5. l’interessato comunque legato sul piano economico o giuridico al soggetto che è parte di una richiesta o di un rapporto;
6. l’interessato fornitore del bene o dei beni oggetto di leasing.

l) Modalità del trattamento. Esistenza di un processo automatizzato, compresa la profilazione, e relativi criteri
Il trattamento dei dati personali nella BDCR avviene mediante l'utilizzo di strumenti informatici, con logiche strettamente correlate alle finalità indicate nella lettera e). Per ciascun soggetto censito vengono esposti: il numero di rapporti in corso, l'importo complessivo della esposizione verso il settore della locazione finanziaria, il tipo di bene finanziato, gli eventuali insoluti/morosità, la eventuale risoluzione dei contratti per inadempienza (contenzioso) o per contestazioni o sinistri sul bene, nonché l'assoggettamento a procedure concorsuali. Tali dati vengono aggiornati mensilmente.
Indicatori di sintesi:
Il sistema di indicatori di sintesi della BDCR è un servizio autonomo. Il sistema è costituito da indicatori statistici calcolati sulla base di algoritmi che, qualora ne esistano i presupposti, attribuiscono un punteggio di rischiosità ai soggetti censiti nella BDCR, incluso il fornitore. Gli algoritmi sono sviluppati con complesse analisi statistiche tendenti a evidenziare sottoinsiemi di similitudine correlati al rischio di credito e/o di frode.

m) Categorie di dati personali (dati censiti)
Per ciascun soggetto censito, i partecipanti comunicano mensilmente alla BDCR i seguenti dati:
- dati identificativi, anagrafici e sociodemografici: codice fiscale, partita IVA, nome e cognome, indirizzo di residenza o di domicilio o sede, numero di telefono, codice di avviamento bancario riferito alla provincia in indirizzo, numero di iscrizione alla C.C.I.A.A., settore di attività economica, ATECO, indicatore di censimento o meno del soggetto nella Centrale Rischi della Banca d’Italia;
- dati informativi: importo degli insoluti del cliente censito composto dalla sommatoria degli importi segnalati a livello contratto più l’eventuale importo di insoluto non legato a contratti, fatte salve le eventuali franchigie o soglie di volta in volta previste, azioni giudiziarie in corso, presentazione di istanza di fallimento/liquidazione giudiziale, assoggettamento a procedure concorsuali, sovraindebitamento; - dati contrattuali: per ciascun contratto si indica: la data di stipula, la data di messa in decorrenza, la data di scadenza del contratto, il tipo di bene, il costo di acquisto del bene, l’importo versato alla stipula, l’importo dei canoni periodici futuri suddivisi per semestre per i primi due anni, l’importo annuale dal terzo al quinto anno, l’importo complessivo residuo a partire dalla sesta annualità, il credito implicito, l’eventuale insoluto riferito a canoni e/o oneri, inoltre si indica (solo per il leasing finanziario) la data e l’importo dell’opzione finale di acquisto;
- contratti stipulati non in decorrenza: sono i contratti regolarmente sottoscritti ma non ancora entrati in decorrenza o in esazione;
- contratti in esazione o in decorrenza: sono i contratti per i quali è in atto la maturazione dei canoni periodici. Fra questi contratti possono essercene alcuni che, pur presentando inadempimenti del cliente anche non regolarizzati, non sono considerati “in contenzioso” da parte del partecipante segnalante;
- contratti in contenzioso: sono contratti già in esazione che presentano una situazione di inadempienza tale che il partecipante non prevede più una maturazione futura di canoni. In questo caso, fino a quando esisterà una posizione contabile creditoria nei confronti del soggetto censito, attivamente gestita dal partecipante, verranno segnalati i “dati contrattuali” nonché la data in cui il contratto è stato posto dal partecipante in contenzioso, il debito residuo rilevato alla predetta data, inteso come valore attuale dei canoni a scadere e dell’importo dell’opzione finale di acquisto e l’eventuale insoluto riferito a canoni e/o oneri;
- contratti con sinistri o furti: sono contratti già in esazione per i quali, a causa del sinistro o furto denunciato, il partecipante non prevede più una maturazione futura dei canoni. In questo caso, i dati verranno segnalati secondo le modalità e i termini di cui al precedente alinea;
- contratti scaduti e non riscattati: sono i contratti estratti automaticamente dall’applicazione dai contratti segnalati in decorrenza attraverso il confronto della “data ultima decorrenza” con la “data di riferimento della BDCR”;
- contratti estinti: sono i contratti integralmente decorsi; possono essere comunicati dalle partecipanti o estratti automaticamente dal sistema (per differenza) confrontando, per ogni singolo partecipante, il mese precedente con il mese di riferimento di creazione della BDCR; il controllo per l'identificazione di "contratto estinto" è effettuato sul campo “Identificativo Locazione” in uso presso i singoli partecipanti.
I dati relativi al primo ritardo nei pagamenti vengono comunicati dai partecipanti nel rispetto della franchigia e delle modalità di comunicazione previste dal Codice di condotta citato in premessa.

n) Periodi di conservazione dei dati

Richieste di finanziamento comunicate dai partecipanti*180 giorni dalla presentazione delle richieste medesime, qualora l’istruttoria lo richieda, o 90 giorni dalla notizia alla BDCR di aggiornamento con l’esito di rifiuto della richiesta o di rinuncia della stessa
Ritardi di pagamento non superiori a due rate o due mesi poi regolarizzati*12 mesi dalla data di registrazione dei dati relativi alla regolarizzazione, sempre che in tale intervallo di tempo non siano registrati dati di ulteriori ritardi o inadempimenti
Ritardi di pagamento superiori a due canoni o due mesi poi regolarizzati*24 mesi dalla data di registrazione dei dati relativi alla regolarizzazione, sempre che in tale intervallo di tempo non siano registrati dati di ulteriori ritardi o inadempimenti
Dati negativi (ossia morosità, gravi inadempimenti, sofferenze, contestazioni sul bene) non successivamente regolarizzati36 mesi dalla data di scadenza contrattuale del rapporto oppure, in caso di altre vicende rilevanti in relazione al pagamento, dalla data in cui è risultato necessario il loro ultimo aggiornamento, e comunque, anche in quest’ultimo caso, al massimo fino a 60 mesi dalla data di scadenza del rapporto, quale risulta dal contratto.
Dati positivi di rapporti esauriti con estinzione di ogni obbligazione pecuniaria60 mesi dalla data di cessazione del rapporto o di scadenza del relativo contratto, ovvero dal primo aggiornamento effettuato nel mese successivo a tali date. I dati relativi a rapporti svoltisi positivamente possono essere conservati ulteriormente qualora siano presenti altri rapporti, riferiti al medesimo interessato, con dati negativi non regolarizzati.
*Non si applicano ai fornitori di beni


o) Trasferimento dei dati fuori dall’Unione europea
I dati personali registrati in BDCR non sono trasferiti all’estero. Assilea, in qualità di titolare del trattamento dei dati personali registrati in BDCR, non trasferisce i medesimi dati all’estero.

p) Diritti dell'interessato
Ciascun interessato può esercitare i propri diritti secondo le modalità, i termini e le condizioni di cui al Regolamento UE 2016/679 (c.d. GDPR).
In particolare, l’interessato ha diritto di ottenere da Assilea, attraverso il responsabile del trattamento Assilea Servizi S.u.r.l., alla quale dovranno essere inoltrate le istanze di esercizio dei diritti sulla base di quanto previsto alla successiva lettera q), la quale provvederà a comunicare per iscritto la conferma dell’esistenza o meno nella BDCR di dati che lo riguardano.
L’interessato ha diritto di conoscere:
- la propria posizione globale censita in BDCR al momento della richiesta e la sua origine;
- la logica, le finalità e la base giuridica del trattamento;
- i destinatari e le categorie di destinatari cui i dati sono stati o saranno resi accessibili;
- il periodo di conservazione dei suoi dati personali;
- l’esistenza dei suoi altri diritti, come previsti e disciplinati dal GDPR, compreso il suo diritto di proporre reclamo al Garante Privacy;
- l’esistenza di un processo decisionale automatizzato, compresa la profilazione, e la logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato stesso.
L’interessato può opporsi, in tutto o in parte, al trattamento dei propri dati personali solo per motivi legittimi e sempre che questi motivi legittimi non siano in contrasto con il prevalente diritto dei partecipanti a continuare a trattare il dato per il contenimento del rischio di credito della propria clientela, anche potenziale, e dei propri fornitori.
L’interessato ha diritto di ottenere inoltre:
- la rettifica dei dati personali inesatti che lo riguardano e l'integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa;
- la limitazione del trattamento, quando ricorre una delle seguenti ipotesi:
a) l'interessato contesta l'esattezza dei dati personali, per il periodo necessario al titolare del trattamento per verificare l'esattezza di tali dati personali;
b) il trattamento è illecito e l'interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l'utilizzo;
c) benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all'interessato per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria;
d) l'interessato si è opposto al trattamento, in attesa della verifica in merito all'eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell'interessato.
- la cancellazione dei dati personali che lo riguardano, in presenza di uno dei seguenti motivi:
a) i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
b) l'interessato si oppone al trattamento e non sussiste alcun motivo legittimo prevalente per procedere al trattamento;
c) i dati personali sono stati trattati illecitamente;
d) i dati personali devono essere cancellati per adempiere un obbligo giuridico previsto dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento.

q) Modalità per la richiesta di informazioni, per la cancellazione o modifica dei dati o per opporsi al trattamento
L’esercizio dei diritti di cui alla lettera p) può essere effettuato direttamente dal sito www.assilea.it – Centrale Rischi – Richiesta di accesso, seguendo le istruzioni indicate nella pagina “Effettua la richiesta”. Questa procedura è consigliata perché è più sicura e permette di ricevere una risposta entro pochi giorni. In alternativa si può inviare una richiesta scritta ad Assilea Servizi S.u.r.l., via PEC all’indirizzo bdcr@pec.assilea.it o per posta ai recapiti indicati nella precedente lettera b), su carta intestata del soggetto richiedente.
A pena di irricevibilità, la richiesta deve contenere:
- l’indicazione del nome, del cognome e dell’indirizzo o della sede dell’interessato;
- il codice fiscale dell’interessato e, se soggetto IVA, il numero di partita IVA;
- la fotocopia di un documento di identità dell’interessato;
- fotocopia della “Scheda” rilasciata dall’Agenzia delle entrate riportante il Codice Fiscale dell’interessato.
Qualora le richieste dell'interessato siano manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo, e negli altri casi indicati nel GDPR, nel Codice SIC e dal Garante, Assilea Servizi S.u.r.l. potrà addebitare un contributo spese per il rimborso dei costi sostenuti o rifiutare di soddisfare la richiesta.
L’interessato ha diritto a un riscontro senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa.
Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. In tal caso, Assilea Servizi S.u.r.l. informerà l’interessato di tale proroga e dei motivi del ritardo, entro un mese dal ricevimento della richiesta.
L'interessato può conferire, per iscritto, una delega o una procura a persone fisiche o ad associazioni da cui si senta rappresentato e che istituzionalmente siano idonee a rappresentarlo.
In questi casi, il rappresentante che inoltra la richiesta per conto dell’interessato, oltre alle informazioni di cui sopra relative all’interessato, deve specificare che agisce in rappresentanza di quest’ultimo.
In particolare, il terzo delegato deve allegare alla richiesta copia della delega o della procura ricevute e copia del proprio documento, nonché compilare l’apposito modulo nel quale dichiara per iscritto l’assenza di qualunque interesse diretto e indiretto alla conoscenza dei dati dell’interessato.
Assilea Servizi S.u.r.l., prima di rispondere al terzo delegato, può verificare l’assenza di ogni suo interesse diretto e indiretto attraverso richieste di chiarimenti o altro e, in caso negativo, può rifiutare la richiesta, contestualmente informandone il Garante.
In caso di richieste massive e/o ripetitive provenienti da uno o più soggetti delegati dell’interessato, Assilea Servizi S.u.r.l. ha comunque sempre la facoltà di rispondere direttamente a quest’ultimo.

r) Diritto di proporre reclamo al Garante Privacy e all’Organismo di Monitoraggio
Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l’interessato, qualora ritenga che il trattamento dei suoi dati personali in BDCR violi il Regolamento UE 2016/679 (c.d. GDPR), ha diritto di proporre reclamo al Garante per la protezione dei dati personali (Garante Privacy).
Per maggiori dettagli con riguardo alle modalità di presentazione del reclamo, incluso il modello compilabile da sottoporre al Garante, si rimanda al sito web del Garante (www.garanteprivacy.it).
Fatti salvi i compiti e i poteri del Garante, l’interessato, qualora ritenga che il trattamento effettuato da Assilea in BDCR violi le disposizioni contenute nel Codice di condotta per i SIC, può proporre reclamo all’Organismo di Monitoraggio (OdM) di cui all’art. 15 e all’allegato n. 4 del Codice stesso.