Regole rispettose della privacy per gli algoritmi di scoring dei pagatori
Tagliando di controllo ogni due anni per gli algoritmi che schedano cattivi e buoni pagatori. La tecnica applicata al credito al consumo e ai finanziamenti tipici dei consumatori deve essere disciplinata da regole rispettose della privacy e della dignità degli individui. Lo scoring automatizzato presuppone verifiche sulla funzionalità dei programmi utilizzati. Così come l'uso di dati, da cui dipende un «sì» o un «no» a una richiesta di mutuo presuppone trasparenza e un preavviso, prima di mettere nel sistema le informazioni negative.Così come l'uso di dati, da cui dipende un «sì» o un «no» a una richiesta di mutuo presuppone trasparenza e un preavviso, prima di mettere nel sistema le informazioni negative.
Sono queste le indicazioni fondamentali della disciplina dei «sistemi di informazioni creditizie» o Sic (una volta si chiamavano «centrali rischi private») contenute nel nuovo «Codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti», proposto dalle associazioni di categoria e approvato dal Garante per la privacy (provvedimento n. 163 del 12 settembre 2019). Il nuovo codice per i Sic aggiorna il precedente codice deontologico e lo adegua al regolamento europeo n. 2016/679 sulla privacy (Gdpr).
Ma vediamo in sintesi i profili principali del nuovo codice.
Cosa sono i Sic - Si tratta di banche di dati, che contengono informazioni su richieste di finanziamento, su pagamenti effettuati o su ritardi e inadempimenti nei pagamenti delle rate di finanziamento.
Le banche dati sono tenute da gestori, che mettono le informazioni a disposizione di enti finanziari o esercenti (venditori di beni a credito), così da far circolare notizie sulla possibilità di fidarsi e dare credito ai singoli, basandosi sulla loro reputazione censita e analizzata dai gestori delle Sic.
I sistemi di informazione sono, quindi, utilizzati (consultati e alimentati) da banche, intermediari finanziari, soggetti autorizzati a svolgere in Italia l'attività di factoring e altri soggetti privati che, nell'esercizio di un'attività commerciale o professionale, concedono una dilazione di pagamento del prezzo della fornitura di beni o servizi.
Allo stesso modo fruiscono delle Sic anche soggetti che, nell'esercizio di attività commerciale o professionale, concedono una dilazione del pagamento del corrispettivo per la fornitura di beni o servizi, o svolgono l'attività di leasing anche operativo, o l'attività di noleggio a lungo termine, nonché l'attività di gestione di piattaforme digitali per prestiti tra privati, fornitori di servizi di comunicazione elettronica e i fornitori di servizi interattivi associati o di servizi di accesso condizionato (tra cui, quindi, le società telefoniche), imprese di assicurazione e soggetti autorizzati a svolgere le attività di vendita a clienti finali di energia elettrica e di gas naturale.
Il codice - Il codice disciplina modi e tempi per la raccolta e conservazione delle informazioni positive e negative. Vengono, in dettaglio, stabiliti i termini massimi di conservazione sia delle informazioni negative (ritardi e inadempimenti) sia di quelle positive (avvenuto saldo). Il codice, poi, mette a disposizione degli operatori economici il fac simile dell'informativa privacy.
Il preavviso - Il codice dettaglia le garanzie per le persone censite dalle Sic. In particolare al verificarsi di ritardi nei pagamenti, il debitore ha diritto di ricevere un preavviso circa l'imminente registrazione dei dati in uno o più Sic. Inoltre i dati relativi al primo ritardo possono essere resi accessibili ai partecipanti solo decorsi almeno quindici giorni dalla spedizione del preavviso all'interessato.
Il codice disciplina tutte le modalità di invio del preavviso: dalla raccomandata postale al messaggio con lo smartphone. L'importante è che ci sia la conoscenza effettiva o la messa a disposizione del preavviso con un invio tracciabile.
Non ci vuole il consenso. Il trattamento dei dati personali da parte del gestore dei Sic e dei partecipanti/utilizzatori al Sic, si legge nel codice, è necessario per il perseguimento di legittimi interessi dei partecipanti all'utilizzo del Sic e, pertanto, non è necessario acquisire il consenso dell'interessato.
I legittimi interessi sono la corretta misurazione del merito e del rischio creditizio, la corretta valutazione dell'affidabilità e della puntualità dei pagamenti dell'interessato, la prevenzione del rischio di frode, inclusa la prevenzione del rischio del furto di identità.
Trasparenza contrattuale - Il codice, oltre alle informative privacy, prevede obblighi di trasparenza contrattuale. In particolare, quando la richiesta di credito o di un servizio o prodotto non è accolta, l'interessato ha diritto di sapere se per dire di no sono state consultati dati personali relativi ad informazioni di tipo negativo in uno o più Sic, e di conoscere gli estremi identificativi del Sic da cui sono state rilevate tali informazioni e del relativo gestore.
Scoring - Può essere che gli operatori si affidino a trattamenti o processi decisionali automatizzati di scoring (attribuzione di una valutazione automatizzata al debitore).
In questi casi le garanzie per il debitore (giudicato da un algoritmo) sono aumentate.
In particolare, oltre al resto, i modelli o i fattori di analisi statistica, e gli algoritmi di calcolo degli esiti, indicatori o punteggi sono verificati periodicamente con cadenza almeno biennale ed aggiornati in funzione delle risultanze di tali verifiche.
Inoltre, quando la richiesta non è accolta, l'interessato può richiedere al partecipante se, per istruire la richiesta, ha consultato dati relativi a esiti, indicatori o punteggi di tipo negativo ottenuti mediante trattamenti o processi decisionali automatizzati di scoring e di fornirgli tali dati, e una spiegazione delle logiche di funzionamento dei sistemi utilizzati e delle principali tipologie di fattori tenuti in considerazione nell'elaborazione.
Diritti degli interessati - Gli interessati hanno i diritti previsti dalla normativa sulla privacy: conoscere i dati trattati, chiedere rettifiche e cancellazioni, opporsi al trattamento ecc.
Il titolare del trattamento ha un mese di tempo per rispondere, prorogabile di due mesi, se deve fare verifiche o ricerche. A garanzie del debitore, nel primo mese le registrazioni nel Sic sono visibili, ma con l'aggiunta di un avviso riportante le richieste dell'interessato; dopo il mese, nelle mora della risposta, la visibilità dei dati è sospesa.
Su richiesta sono anche aggiunte nei Sic notizie relative all'esistenza di tali contestazioni sulle registrazioni.
Fonte: Italia Oggi Sette del 23 settembre 2019 - Articolo di Antonio Ciccia Messina