di Lucia Izzo - Con il provvedimento n. 127 del 12/6/2019, il Garante della privacy ha approvato il nuovo Codice di condotta per il trattamento dei dati personali in materia di informazioni commerciali predisposto dall'Ancic (Associazione Nazionale tra le Imprese di Informazioni Commerciali e di Gestione del Credito).
Il testo del Codice di condotta (qui sotto allegato) giunge a seguito delle innovazioni normative a livello comunitario rappresentate dal Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 (Gdpr) a cui l'ordinamento italiano ha dato attuazione con il d.lgs. n. 101/2018 che ha adeguato la normativa nazionale e il Codice della Privacy (d.lgs. 196/2003) alle nuove disposizioni comunitarie.
In particolare, l'art. 20 del citato d.lgs. 101 ha stabilito che entro un anno (dal 19 settembre 2018) sarebbe dovuto essere approvato il nuovo Codice di condotta che avrebbe sostituito il precedente Codice di deontologia e buona condotta sulle informazioni commerciali.
- Il nuovo Codice di condotta
- Applicazioni ed esclusioni
- Il trattamento dei dati nell'informazione commerciale
- Trattamento senza consenso
- Dati giudiziari
- Informativa agli interessati
- Riservatezza e sicurezza delle informazioni
- Verifiche e monitoraggio sul rispetto del Codice di condotta
- Conservazione delle informazioni
Il nuovo Codice di condotta
[Torna su]
Il nuovo Codice di condotta � rivolto ai soggetti operanti nel settore relativo alle attivit� di informazione commerciale i quali dovranno impegnarsi al rispetto dei diritti, delle libert� fondamentali e della dignit� delle persone interessate, in particolare del diritto alla protezione dei dati personali, del diritto alla riservatezza e del diritto all'identit� personale.
Ancora, il Codice individua le adeguate garanzie e modalit� di trattamento dei dati personali a tutela dei diritti degli interessati da porre in essere nel perseguire le finalit� di informazione commerciale per garantire, da un lato, la certezza e la trasparenza nei rapporti commerciali, nonch� l'adeguata conoscenza e circolazione delle informazioni commerciali ed economiche e, dall'altro lato, la qualit�, la pertinenza, l'esattezza e l'aggiornamento dei dati personali trattati.
Obiettivo del Codice di condotta � anche la precisazione dell'applicazione delle disposizioni del GDPR nello specifico settore delle attivit� di informazione commerciale, per permettere ai soggetti operanti in tale ambito, quali titolari del trattamento, di utilizzare l'adesione al Codice di condotta come elemento per dimostrare il rispetto degli obblighi applicabili, ai sensi dell'art. 24, paragrafo 3, del Regolamento.
Il nuovo Codice va a prendere il posto del vecchio Codice deontologico, il quale rimarr� efficace ancora fino al 19 settembre di quest'anno. Molte delle disposizioni ricalcano quelle del predecessore, ma sono diverse le innovazioni introdotte.
Applicazioni ed esclusioni
[Torna su]
Il Codice di condotta � riferito ad attivit� di trattamento limitate al territorio dello Stato Italiano ed � applicabile unicamente a livello nazionale.
Nel dettaglio, le disposizioni del Codice si applicano alle sole informazioni commerciali riferite a persone fisiche identificate o identificabili e, in particolare, al trattamento di dati personali provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque o pubblicamente accessibili (c.d. fonti pubbliche), nonch� al trattamento di dati personali forniti direttamente dagli interessati, effettuato, nel rispetto dei limiti e delle modalit� che le normative vigenti stabiliscono per la conoscibilit�, utilizzabilit� e pubblicit� di tali dati, da titolari che perseguono un interesse legittimo a trattare i suddetti dati personali per la prestazione a terzi di servizi di informazione commerciale.
Tali trattamenti includono anche quelli che presuppongono l'elaborazione di informazioni commerciali, da parte dei fornitori, mediante processi statistici o modelli automatizzati, oppure tramite analisi e valutazioni effettuate da esperti, anche sulla base di classificazioni predefinite, allo scopo di formulare un giudizio sulla solidit�, solvibilit� ed affidabilit� del soggetto censito, eventualmente espresso in termini predittivi, probabilistici o in forma di indicatori alfanumerici, codici o simboli, svolti in esecuzione di quanto previsto dal R.D. n. 773/1931, e successive modificazioni ed integrazioni, recante il Testo Unico delle Leggi di Pubblica Sicurezza e relativi Regolamenti di attuazione e dal D.M. n. 269/2010.
Non rientra nella sfera di applicazione del Codice di condotta, invece, il trattamento dei dati personali effettuato nell'ambito dei sistemi informativi creditizi (c.d. SIC) in riferimento al quale sono previste norme specifiche, anche di natura deontologica nonch� il trattamento avente ad oggetto i dati personali raccolti presso soggetti privati diversi dall'interessato, che rimane comunque disciplinato dalle disposizioni del GDPR.
Il trattamento dei dati nell'informazione commerciale
[Torna su]
Posto che il trattamento dei dati personali effettuato nello svolgimento dell'attivit� di informazione commerciale debba svolgersi nel rispetto dei principi di cui all'art. 5 del GDPR, questo non potr� riguardare le categorie particolari di dati personali di cui all'art. 9, paragrafo 1, del Regolamento.
Si tratta dei dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonch� dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona.
Trattamento senza consenso
[Torna su]
In alcuni casi, invece, le societ� potranno procedere al trattamento per finalit� di informazione commerciale di dati personali dei soggetti censiti senza richiedere il consenso dell'interessato. Ci� in quanto si ritiene necessario al perseguimento dei legittimi interessi dei fornitori che prestano i servizi di informazioni commerciali (ai sensi dell'art. 134 del T.U.L.P.S. e D.M. 269/2010), nonch� dei committenti che li richiedono per legittime verifiche.
I dati personali dovranno, in tal caso, provenire da fonti pubbliche o fonti pubblicamente accessibili da chiunque. Per fonti pubbliche si intendono i pubblici registri, gli elenchi, gli atti o i documenti conoscibili da chiunque in base alla vigente normativa di riferimento, nei limiti e con le modalit� che in essa sono stabiliti per la conoscibilit�, l'utilizzabilit� e la pubblicit� dei dati ivi contenuti.
Nelle fonti pubblicamente e generalmente accessibili da chiunque, rientrano: quotidiani e testate giornalistiche in formato cartaceo, che risultino regolarmente registrate; elenchi c.d. categorici ed elenchi telefonici; siti Internet liberamente accessibili a chiunque.
Dati giudiziari
[Torna su]
Per quanto riguarda i dati giudiziari, sar� consentito trattare quelli relativi a condanne penali e reati solo se provenienti da fonti pubbliche o da quelle pubblicamente e generalmente accessibili, trattati per il perseguimento di un legittimo interesse del titolare, nel rispetto dei limiti e delle modalit� stabiliti dalla legge in ordine alla loro conoscibilit�, utilizzabilit� e pubblicit� e nel rispetto delle garanzie appropriate per i diritti e le libert� degli interessati.
In particolare, per quanto riguarda le fonti pubblicamente e generalmente accessibili, � consentito il trattamento dei soli dati relativi a condanne penali e reati diffusi negli ultimi sei mesi, a partire dalla data di ricezione della richiesta del servizio da parte del committente, e senza alcuna possibilit� per il fornitore di apportare modifiche al contenuto di tali informazioni (salvo l'eventuale loro aggiornamento) e di utilizzarle a fini dell'elaborazione di informazioni valutative.
Informativa agli interessati
[Torna su]
Per il trattamento delle informazioni provenienti dalle fonti elencate nel Codice, considerato il rilevante numero di interessati e la peculiare natura delle stesse informazioni, tale da comportare un impiego di mezzi da ritenersi manifestamente sproporzionato rispetto al diritto tutelato, il fornitore rende l'informativa all'interessato, in forma non individuale, attraverso misure appropriate.
In particolare, le societ� del settore renderanno l'informativa attraverso il portale Internet www.informativaprivacyancic.it costituito a tale specifico fine da ANCIC, in rappresentanza dei fornitori di informazioni commerciali.
Riservatezza e sicurezza delle informazioni
[Torna su]
Il Codice impone ai fornitori di adottare misure tecniche, informatiche, procedurali, fisiche ed organizzative idonee ad assicurare ed essere in grado di dimostrare la conformit� al Regolamento delle attivit� di trattamento svolte e l'osservanza dei criteri di protezione dei dati fin dalla progettazione e per impostazione predefinita, oltre che a garantire la sicurezza, l'integrit� e la riservatezza delle informazioni commerciali oggetto di trattamento, cos� da prevenire o quantomeno minimizzare i rischi di distruzione, perdita, modifica e divulgazione non autorizzata o di accesso, in modo accidentale o illegale, a dati personali trattati.
Per l'adempimento degli obblighi di notifica tempestiva al Garante di eventuali violazioni (nonch� agli interessati coinvolti), i fornitori devono impegnarsi ad osservare le linee guida, le raccomandazioni e le best practices adottate dal Comitato Europeo per la Protezione dei Dati o da altre autorit� di settore competenti, ferma restando la possibilit� di adottare propri standard e procedure, anche per il tramite di ANCIC.
Per lo svolgimento delle attivit� o dei servizi di informazione commerciale di cui al Codice di condotta, ogni fornitore che integri le condizioni di cui all'art. 37, lett. b) o c) del GDPR, provveder� a designare un responsabile della protezione dei dati personali (Dpo).
Verifiche e monitoraggio sul rispetto del Codice di condotta
[Torna su]
Fatti salvi i compiti e i poteri del Garante, il rispetto del Codice di condotta da parte dei fornitori aderenti � garantito da apposito organismo di monitoraggio (di seguito "OdM") costituito e accreditato ai sensi dell'articolo 41 del Regolamento.
L'OdM sar� esterno all'organizzazione di ANCIC e sar� composto da un numero dispari di componenti, pari ad un massimo di cinque, tutti designati sulla base delle candidature presentate da parte delle associazioni maggiormente rappresentative degli interessati a livello nazionale, ad eccezione di un solo componente scelto direttamente da ANCIC.
Conservazione delle informazioni
[Torna su]
I dati personali provenienti dalle fonti indicate nel Codice potranno essere conservati dal fornitore ai fini dell'erogazione ai committenti dei servizi di informazione commerciale per il periodo di tempo in cui rimangono conoscibili e/o pubblicati nelle fonti pubbliche da cui provengono, in conformit� a quanto previsto dalle rispettive normative di riferimento.
Resta fermo l'obbligo del fornitore di adottare idonee misure per garantire l'aggiornamento delle informazioni commerciali erogate rispetto ai dati personali riportati nelle fonti pubbliche da cui sono state raccolte.
Inoltre, fatti salvi i termini pi� restrittivi previsti da specifiche norme di legge e fermo quanto disposto in
riferimento ai dati relativi a condanne penali e reati, le informazioni provenienti da fonti pubbliche ed attinenti ad eventi negativi oggetto di trattamento, sono conservate dal fornitore, ai fini dell'erogazione dei servizi di informazione commerciale, nel rispetto dei seguenti limiti temporali:
- le informazioni relative a fallimenti o procedure concorsuali per un periodo di tempo non superiore a 10 anni dalla data di apertura della procedura del fallimento;
- le informazioni relative ad atti pregiudizievoli ed ipocatastali (ipoteche e pignoramenti) per un periodo di tempo non superiore a 10 anni dalla data della loro trascrizione o iscrizione, salva l'eventuale loro cancellazione prima di tale termine, nel qual caso verr� conservata per un periodo di 2 anni l'annotazione dell'avvenuta cancellazione.