Il nuovo Codice etico elaborato da Ancic e approvato dal Garante Privacy precisa quando la fornitura di informazioni commerciali è legittimo interesse delle imprese

di Lucia Izzo - Con il provvedimento n. 127 del 12/6/2019, il Garante della privacy ha approvato il nuovo Codice di condotta per il trattamento dei dati personali in materia di informazioni commerciali predisposto dall'Ancic (Associazione Nazionale tra le Imprese di Informazioni Commerciali e di Gestione del Credito).


Il testo del Codice di condotta (qui sotto allegato) giunge a seguito delle innovazioni normative a livello comunitario rappresentate dal Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 (Gdpr) a cui l'ordinamento italiano ha dato attuazione con il d.lgs. n. 101/2018 che ha adeguato la normativa nazionale e il Codice della Privacy (d.lgs. 196/2003) alle nuove disposizioni comunitarie.


In particolare, l'art. 20 del citato d.lgs. 101 ha stabilito che entro un anno (dal 19 settembre 2018) sarebbe dovuto essere approvato il nuovo Codice di condotta che avrebbe sostituito il precedente Codice di deontologia e buona condotta sulle informazioni commerciali.

Il nuovo Codice di condotta

[Torna su]

Il nuovo Codice di condotta è rivolto ai soggetti operanti nel settore relativo alle attività di informazione commerciale i quali dovranno impegnarsi al rispetto dei diritti, delle libertà fondamentali e della dignità delle persone interessate, in particolare del diritto alla protezione dei dati personali, del diritto alla riservatezza e del diritto all'identità personale.

Ancora, il Codice individua le adeguate garanzie e modalità di trattamento dei dati personali a tutela dei diritti degli interessati da porre in essere nel perseguire le finalità di informazione commerciale per garantire, da un lato, la certezza e la trasparenza nei rapporti commerciali, nonché l'adeguata conoscenza e circolazione delle informazioni commerciali ed economiche e, dall'altro lato, la qualità, la pertinenza, l'esattezza e l'aggiornamento dei dati personali trattati.

Obiettivo del Codice di condotta è anche la precisazione dell'applicazione delle disposizioni del GDPR nello specifico settore delle attività di informazione commerciale, per permettere ai soggetti operanti in tale ambito, quali titolari del trattamento, di utilizzare l'adesione al Codice di condotta come elemento per dimostrare il rispetto degli obblighi applicabili, ai sensi dell'art. 24, paragrafo 3, del Regolamento.

Il nuovo Codice va a prendere il posto del vecchio Codice deontologico, il quale rimarrà efficace ancora fino al 19 settembre di quest'anno. Molte delle disposizioni ricalcano quelle del predecessore, ma sono diverse le innovazioni introdotte.

Applicazioni ed esclusioni

[Torna su]

Il Codice di condotta è riferito ad attività di trattamento limitate al territorio dello Stato Italiano ed è applicabile unicamente a livello nazionale.

Nel dettaglio, le disposizioni del Codice si applicano alle sole informazioni commerciali riferite a persone fisiche identificate o identificabili e, in particolare, al trattamento di dati personali provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque o pubblicamente accessibili (c.d. fonti pubbliche), nonché al trattamento di dati personali forniti direttamente dagli interessati, effettuato, nel rispetto dei limiti e delle modalità che le normative vigenti stabiliscono per la conoscibilità, utilizzabilità e pubblicità di tali dati, da titolari che perseguono un interesse legittimo a trattare i suddetti dati personali per la prestazione a terzi di servizi di informazione commerciale.

Tali trattamenti includono anche quelli che presuppongono l'elaborazione di informazioni commerciali, da parte dei fornitori, mediante processi statistici o modelli automatizzati, oppure tramite analisi e valutazioni effettuate da esperti, anche sulla base di classificazioni predefinite, allo scopo di formulare un giudizio sulla solidità, solvibilità ed affidabilità del soggetto censito, eventualmente espresso in termini predittivi, probabilistici o in forma di indicatori alfanumerici, codici o simboli, svolti in esecuzione di quanto previsto dal R.D. n. 773/1931, e successive modificazioni ed integrazioni, recante il Testo Unico delle Leggi di Pubblica Sicurezza e relativi Regolamenti di attuazione e dal D.M. n. 269/2010.

Non rientra nella sfera di applicazione del Codice di condotta, invece, il trattamento dei dati personali effettuato nell'ambito dei sistemi informativi creditizi (c.d. SIC) in riferimento al quale sono previste norme specifiche, anche di natura deontologica nonché il trattamento avente ad oggetto i dati personali raccolti presso soggetti privati diversi dall'interessato, che rimane comunque disciplinato dalle disposizioni del GDPR.

Il trattamento dei dati nell'informazione commerciale

[Torna su]

Posto che il trattamento dei dati personali effettuato nello svolgimento dell'attività di informazione commerciale debba svolgersi nel rispetto dei principi di cui all'art. 5 del GDPR, questo non potrà riguardare le categorie particolari di dati personali di cui all'art. 9, paragrafo 1, del Regolamento.

Si tratta dei dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona.

Trattamento senza consenso

[Torna su]

In alcuni casi, invece, le società potranno procedere al trattamento per finalità di informazione commerciale di dati personali dei soggetti censiti senza richiedere il consenso dell'interessato. Ciò in quanto si ritiene necessario al perseguimento dei legittimi interessi dei fornitori che prestano i servizi di informazioni commerciali (ai sensi dell'art. 134 del T.U.L.P.S. e D.M. 269/2010), nonché dei committenti che li richiedono per legittime verifiche.

I dati personali dovranno, in tal caso, provenire da fonti pubbliche o fonti pubblicamente accessibili da chiunque. Per fonti pubbliche si intendono i pubblici registri, gli elenchi, gli atti o i documenti conoscibili da chiunque in base alla vigente normativa di riferimento, nei limiti e con le modalità che in essa sono stabiliti per la conoscibilità, l'utilizzabilità e la pubblicità dei dati ivi contenuti.

Nelle fonti pubblicamente e generalmente accessibili da chiunque, rientrano: quotidiani e testate giornalistiche in formato cartaceo, che risultino regolarmente registrate; elenchi c.d. categorici ed elenchi telefonici; siti Internet liberamente accessibili a chiunque.

Dati giudiziari

[Torna su]

Per quanto riguarda i dati giudiziari, sarà consentito trattare quelli relativi a condanne penali e reati solo se provenienti da fonti pubbliche o da quelle pubblicamente e generalmente accessibili, trattati per il perseguimento di un legittimo interesse del titolare, nel rispetto dei limiti e delle modalità stabiliti dalla legge in ordine alla loro conoscibilità, utilizzabilità e pubblicità e nel rispetto delle garanzie appropriate per i diritti e le libertà degli interessati.

In particolare, per quanto riguarda le fonti pubblicamente e generalmente accessibili, è consentito il trattamento dei soli dati relativi a condanne penali e reati diffusi negli ultimi sei mesi, a partire dalla data di ricezione della richiesta del servizio da parte del committente, e senza alcuna possibilità per il fornitore di apportare modifiche al contenuto di tali informazioni (salvo l'eventuale loro aggiornamento) e di utilizzarle a fini dell'elaborazione di informazioni valutative.

Informativa agli interessati

[Torna su]

Per il trattamento delle informazioni provenienti dalle fonti elencate nel Codice, considerato il rilevante numero di interessati e la peculiare natura delle stesse informazioni, tale da comportare un impiego di mezzi da ritenersi manifestamente sproporzionato rispetto al diritto tutelato, il fornitore rende l'informativa all'interessato, in forma non individuale, attraverso misure appropriate.

In particolare, le società del settore renderanno l'informativa attraverso il portale Internet www.informativaprivacyancic.it costituito a tale specifico fine da ANCIC, in rappresentanza dei fornitori di informazioni commerciali.

Riservatezza e sicurezza delle informazioni

[Torna su]

Il Codice impone ai fornitori di adottare misure tecniche, informatiche, procedurali, fisiche ed organizzative idonee ad assicurare ed essere in grado di dimostrare la conformità al Regolamento delle attività di trattamento svolte e l'osservanza dei criteri di protezione dei dati fin dalla progettazione e per impostazione predefinita, oltre che a garantire la sicurezza, l'integrità e la riservatezza delle informazioni commerciali oggetto di trattamento, così da prevenire o quantomeno minimizzare i rischi di distruzione, perdita, modifica e divulgazione non autorizzata o di accesso, in modo accidentale o illegale, a dati personali trattati.

Per l'adempimento degli obblighi di notifica tempestiva al Garante di eventuali violazioni (nonché agli interessati coinvolti), i fornitori devono impegnarsi ad osservare le linee guida, le raccomandazioni e le best practices adottate dal Comitato Europeo per la Protezione dei Dati o da altre autorità di settore competenti, ferma restando la possibilità di adottare propri standard e procedure, anche per il tramite di ANCIC.

Per lo svolgimento delle attività o dei servizi di informazione commerciale di cui al Codice di condotta, ogni fornitore che integri le condizioni di cui all'art. 37, lett. b) o c) del GDPR, provvederà a designare un responsabile della protezione dei dati personali (Dpo).

Verifiche e monitoraggio sul rispetto del Codice di condotta

[Torna su]

Fatti salvi i compiti e i poteri del Garante, il rispetto del Codice di condotta da parte dei fornitori aderenti è garantito da apposito organismo di monitoraggio (di seguito "OdM") costituito e accreditato ai sensi dell'articolo 41 del Regolamento.

L'OdM sarà esterno all'organizzazione di ANCIC e sarà composto da un numero dispari di componenti, pari ad un massimo di cinque, tutti designati sulla base delle candidature presentate da parte delle associazioni maggiormente rappresentative degli interessati a livello nazionale, ad eccezione di un solo componente scelto direttamente da ANCIC.

Conservazione delle informazioni

[Torna su]

I dati personali provenienti dalle fonti indicate nel Codice potranno essere conservati dal fornitore ai fini dell'erogazione ai committenti dei servizi di informazione commerciale per il periodo di tempo in cui rimangono conoscibili e/o pubblicati nelle fonti pubbliche da cui provengono, in conformità a quanto previsto dalle rispettive normative di riferimento.

Resta fermo l'obbligo del fornitore di adottare idonee misure per garantire l'aggiornamento delle informazioni commerciali erogate rispetto ai dati personali riportati nelle fonti pubbliche da cui sono state raccolte.

Inoltre, fatti salvi i termini più restrittivi previsti da specifiche norme di legge e fermo quanto disposto in

riferimento ai dati relativi a condanne penali e reati, le informazioni provenienti da fonti pubbliche ed attinenti ad eventi negativi oggetto di trattamento, sono conservate dal fornitore, ai fini dell'erogazione dei servizi di informazione commerciale, nel rispetto dei seguenti limiti temporali:

- le informazioni relative a fallimenti o procedure concorsuali per un periodo di tempo non superiore a 10 anni dalla data di apertura della procedura del fallimento;

- le informazioni relative ad atti pregiudizievoli ed ipocatastali (ipoteche e pignoramenti) per un periodo di tempo non superiore a 10 anni dalla data della loro trascrizione o iscrizione, salva l'eventuale loro cancellazione prima di tale termine, nel qual caso verrà conservata per un periodo di 2 anni l'annotazione dell'avvenuta cancellazione.

Scarica pdf Codice di condotta per il trattamento dati su informazioni commerciali

Foto: 123rf.com
Altri articoli che potrebbero interessarti:
In evidenza oggi: