Approvato il Codice di condotta per il Trattamento dei dati personali effettuato a fini di informazione commerciale


Il 12 giugno 2019 è stato approvato il codice di condotta per il trattamento dei dati personali in materia di informazioni commerciali, presentato da Ancic (Associazione Nazionale tra le Imprese di Informazioni Commerciali e di Gestione del Credito), secondo quanto previsto dall’art. 20 del D.Lgs 101/2018.

Nel Codice di Condotta (che sostituisce e aggiorna il vecchio Codice deontologico sulle informazioni commerciali che rimarrà comunque in vigore fino al 19 settembre 2019) trova concreta applicazione il principio di accountability, fortemente sostenuto nel GDPR, che impone alle associazioni di categoria e alle imprese un’applicazione consapevole e trasparente delle norme regolamentari.

 

Cosa cambia?

Con il nuovo testo, le società che offrono informazioni sull’affidabilità commerciale di imprenditori e manager potranno trattare i dati personali dei soggetti censiti senza richiederne il consenso – basandosi sul legittimo interesse – ma dovranno garantire maggiori tutele agli interessati, informandoli correttamente sui trattamenti effettuati e garantendo loro il pieno esercizio dei diritti previsti dalla normativa privacy, come l’opposizione al trattamento, la rettifica o l’aggiornamento dei dati.

I fornitori aderenti dovranno operare secondo un approccio basato sul rischio, adottando misure tecniche, informatiche, procedurali, fisiche e organizzative utili a prevenire o minimizzare i rischi di distruzione, perdita, modifica e divulgazione non autorizzata o di accesso ai dati personali. Ogni fornitore dovrà inoltre impegnarsi ad osservare le linee guida, le raccomandazioni e le best practices adottate dal Comitato europeo per la protezione dei dati (EDPB) o da altre autorità di settore competenti, e dovrà designare, quando previsto, un responsabile per la protezione dei dati (Rpd/Dpo).

Sarà infine istituito un Organismo di monitoraggio (Odm) indipendente, esterno all’Ancic, composto da soggetti scelti secondo i criteri di onorabilità, autonomia, indipendenza e professionalità previsti dal Regolamento Ue e dettagliati nelle Linee guida europee recentemente approvate in via definitiva. L’Odm dovrà verificare l’osservanza del codice di condotta da parte degli aderenti e gestire la risoluzione dei reclami.

 

Le principali novità

 

Ambito di applicazione

Il Codice di Condotta si riferisce alle attività di trattamento svolte in territorio Italiano ed è applicabile solo a livello nazionale.

 

Fonti di provenienza e modalità di trattamento dei dati

Il fornitore può raccogliere dati personali presso il soggetto censito, presso fonti pubbliche, fonti pubblicamente e generalmente accessibili da chiunque o presso altri soggetti autorizzati dalla legge alla distribuzione e fornitura delle informazioni.

Per “fonti pubbliche” si intendono i pubblici registri, gli elenchi, gli atti o i documenti conoscibili da chiunque in base alla vigente normativa di riferimento, nei limiti e con le modalità che in essa sono stabiliti per la conoscibilità, l’utilizzabilità e la pubblicità dei dati ivi contenuti, tra cui rientrano, in via esemplificativa e non esaustiva (ad esempio: registro delle imprese, bilanci ed elenchi dei soci, visure e/o atti camerali, atti ed eventi relativi a fallimenti o altre procedure concorsuali nonché il registro informatico dei protesti presso le camere di commercio e la relativa società consortile InfoCamere, atti immobiliari, atti pregiudizievoli ed ipocatastali (come, ad es., iscrizioni o cancellazioni di ipoteche, trascrizioni e cancellazioni di pignoramenti, o atti giudiziari, e relativi annotamenti) tutti conservati nei registri gestiti dall’Agenzia delle Entrate (tra i quali rientrano le ex Conservatorie dei registri immobiliari e l’Ufficio del Catasto), nel Pubblico Registro Automobilistico e presso l’Anagrafe della popolazione residente.

Le “fonti pubblicamente e generalmente accessibili” sono, invece: da chiunque, sono costituite da:

  • quotidiani e testate giornalistiche in formato cartaceo, che risultino regolarmente registrate;
  • elenchi c.d. categorici ed elenchi telefonici;
  • siti Internet liberamente accessibili a chiunque appartenenti a soggetti censiti ai sensi dell’art. 8 del presente codice di condotta, enti pubblici, governativi, territoriali e locali, agenzie pubbliche, nonché autorità di vigilanza e controllo, associazioni di categoria ed ordini professionali, relativamente ad elenchi od albi di operatori economici e imprenditoriali, diffusi sui propri siti;
  • quotidiani e testate giornalistiche on-line;
  • servizi on-line di elenchi telefonici e categorici.

Nell’acquisire e registrare i dati personali provenienti da fonti pubbliche o da fonti pubblicamente e generalmente accessibili da chiunque, il fornitore adotta adeguate e preventive misure per assicurare che i dati estratti siano esatti e pertinenti rispetto al fine perseguito, nonché trattati in conformità al principio di proporzionalità e agli altri principi di cui all’art. 5 del Regolamento, sia annotata la specifica fonte di provenienza dei dati e che sia effettuato l’aggiornamento dei medesimi dati alla data dei rapporti informativi.

 

Informativa agli interessati

Considerando il rilevante numero di interessati, il fornitore rende l’informativa all’interessato, in forma non individuale, attraverso misure appropriate, in conformità a quanto disposto dall’art. 14, paragrafo 5, lett. b) del Regolamento ed, in particolare, attraverso l’informativa pubblicata sul portale Internet www.informativaprivacyancic.it costituito a tale specifico fine da ANCIC, in rappresentanza dei fornitori di informazioni commerciali.

Tale informativa dovrà recare le successive informazioni:

  1. a) i dati identificativi e di contatto di ciascun fornitore quale titolare e dei dati di contatto del rispettivo responsabile della protezione dei dati personali;
  2. b) dei destinatari o delle categorie di destinatari dei dati personali che, anche in qualità di responsabili del trattamento, possono venire a conoscenza dei dati;
  3. c) di eventuali trasferimenti di dati personali da parte dei fornitori verso committenti ubicati in paesi terzi;
  4. d) delle categorie di dati trattati;
  5. e) del legittimo interesse perseguito dal titolare, quale può essere il monitoraggio e la prevenzione di frodi, la garanzia della sicurezza e dell’affidabilità dei servizi forniti dai committenti, la solidità della gestione e la corretta esecuzione di rapporti commerciali ed attività economiche e finanziarie tra questi ultimi ed il soggetto censito, nonché alla tutela dei relativi diritti, secondo quanto disposto dall’art. 6, paragrafo 1, lett. f), del Regolamento;
  6. f) del periodo di conservazione dei dati;
  7. g) dei siti Internet o altre sedi dove sia agevolmente e gratuitamente consultabile la specifica e dettagliata informativa di ciascun fornitore;
  8. h) di trattamenti automatizzati di dati che comportino la profilazione degli interessati;
  9. i)  l’indicazione delle modalità attraverso le quali è possibile esercitare i diritti da parte degli interessati.

I fornitori aventi un fatturato annuale per servizi di informazione commerciale non superiore a € 300.000,00 (trecentomila), possono rendere l’informativa solo attraverso la relativa comunicazione sul proprio sito Internet.

 

Conservazione delle informazioni

I dati personali provenienti dalle fonti citate precedentemente possono essere conservati dal fornitore ai fini dell’erogazione ai committenti dei servizi di informazione commerciale per il periodo di tempo in cui rimangono conoscibili e/o pubblicati nelle fonti pubbliche da cui provengono, in conformità a quanto previsto dalle rispettive normative di riferimento.

Resta fermo l’obbligo del fornitore di adottare idonee misure per garantire l’aggiornamento delle informazioni commerciali erogate rispetto ai dati personali riportati nelle fonti pubbliche da cui sono state raccolte.

 

Esercizio dei diritti da parte degli interessati

I fornitori adottano idonee misure organizzative e tecniche atte a garantire un riscontro telematico, tempestivo e completo alle richieste avanzate dagli interessati di esercizio dei diritti di cui agli artt. 15, 16, 17, 18, 19 e 21 del Regolamento.

L’interessato può esercitare il proprio diritto di opposizione al trattamento di informazioni commerciali da parte dei fornitori qualora dimostri, ai sensi dell’art. 21, paragrafo 1, del Regolamento, che i propri interessi, diritti e libertà siano prevalenti rispetto al legittimo interesse del titolare di tutela degli interessi dei terzi nei confronti delle società di capitali, di garanzia della certezza del diritto, della lealtà delle transazioni commerciali e di buon funzionamento del mercato interno.

 

Misure organizzative e tecniche per la riservatezza e la sicurezza delle informazioni

Secondo un approccio basato sul rischio, i fornitori adottano misure tecniche, informatiche, procedurali, fisiche ed organizzative idonee ad assicurare ed essere in grado di dimostrare la conformità al Regolamento delle attività di trattamento svolte e l’osservanza dei criteri di protezione dei dati fin dalla progettazione e per impostazione predefinita, oltre che a garantire la sicurezza, l’integrità e la riservatezza delle informazioni commerciali oggetto di trattamento, così da prevenire o quantomeno minimizzare i rischi di distruzione, perdita, modifica e divulgazione non autorizzata o di accesso, in modo accidentale o illegale, a dati personali trattati.

Tali misure devono prevedere la pseudonimizzazione e, se del caso, la cifratura delle informazioni commerciali, a tutela della non diretta intelligibilità e/o riconducibilità delle stesse a specifici interessati; adozione di procedure per testare e valutare regolarmente l’efficacia delle misure implementate al fine di garantire la sicurezza dei dati, verificando sia i singoli componenti che l’intero sistema (ivi inclusi gli elementi ridondanti, se presenti).

I fornitori si impegnano a svolgere una valutazione di impatto sulla protezione dei dati ai sensi dell’art. 35 del Regolamento, prima di procedere ai trattamenti oggetto del presente Codice di condotta, in relazione ai servizi di informazione commerciale che comportino un trattamento di dati personali ad elevato rischio per i diritti degli interessati, soprattutto in caso di utilizzo di nuove tecnologie.

 

Verifiche sul rispetto del Codice di condotta ed organismo di monitoraggio

Il rispetto del presente Codice di condotta da parte dei fornitori aderenti è garantito, oltre che dal Garante per la protezione dei dati, da apposito organismo di monitoraggio (di seguito “OdM”) costituito e accreditato ai sensi dell’articolo 41 del Regolamento.

L’OdM sarà esterno all’organizzazione di ANCIC L’OdM sarà presieduto da una persona di riconosciuta esperienza in materia di protezione dei dati personali, con particolare riguardo al settore delle informazioni commerciali.

I componenti dell’OdM saranno nominati secondo requisiti di onorabilità, autonomia, indipendenza e professionalità.