Sono entrate in vigore lo scorso 27 maggio le Linee guida deontologiche sul trattamento dei dati personali per finalità di informazioni commerciali, strumento di accountability per le imprese per agire conformemente al GDPR.
Lo scorso 17 maggio il Garante per la protezione dei dati personali ha approvato la versione definitiva del Codice di condotta per il trattamento dei dati personali effettuato a fini di informazioni commerciali , elaborato dall'Associazione nazionale tra le imprese di informazioni commerciali e di gestione del credito ( Ancic ) e aggiornato ed integrato a seguito della conclusione dell'iter di accreditamento dell'Organismo di Monitoraggio ( OdM ). Pubblicato in Gazzetta Ufficiale il 26 maggio 2021 è poi entrato in vigore il giorno seguente (così come previsto dall'art. 15 del Codice stesso).
L'Organismo di Monitoraggio: compiti e composizione
Fatti salvi i poteri e le funzioni del Garante di cui agli articoli 56-58 del GDPR, il rispetto del Codice da parte dei fornitori aderenti è garantito dall'Odm che ha il compito di gestire eventuali reclami. È composto da un numero di dispari di massimo 5 membri aventi incarico quinquennale non rinnovabile. Ogni componente deve essere dotato di requisiti di onorabilità, autonomia, indipendenza e professionalità e deve avere ampie conoscenze in materia di informazioni commerciali e di protezione dei dati, così come previsto dall'art. 12 del codice.
Il Codice ei dati personali trattati
Nel Codice sono definite le garanzie e le modalità adeguate di trattamento dei dati personali per l'esecuzione e la realizzazione delle finalità di informazione commerciale secondo requisiti di certezza e trasparenza. Il trattamento deve essere in linea con i principi di cui all'art. 5 del GDPR e non può avere ad oggetto i dati particolari ex art. 9 del Regolamento, fatta eccezione per i dati relativi a condanne penali e reati rinvenuti in fonti pubbliche o in quelle relativamente e generalmente accessibilie trattati per il perseguimento di un interesse del titolare, sempre nel rispetto dei limiti e delle modalità di stabilità dalla legge e delle garanzie appropriate per i diritti e le libertà degli interessati.
La raccolta delle informazioni
Il fornitore può raccogliere dati personali presso il soggetto censito; fonti pubbliche; fonti generalmente accessibili da chiunque o presso altri soggetti autorizzati dalla legge alla distribuzione e fornitura delle informazioni. Per fonti pubbliche si intendono pubblici registri – ad esempio il registro delle imprese o l'Anagrafe della popolazione residente – mentre le fonti generalmente accessibili da chiunque siano testate giornalistiche, elenchi cd “categorici” o siti internet liberamente accessibili.
Il fornitore ha l'obbligo di adottare misure adeguate a garantire l'esatezza e la pertinenza dei dati trattati secondo i principi di cui all'art. 5 GDPR ed è tenuto a rendere l'informativa all'interessato, in forma non individuale , attraverso le misure opportunamente previste dal codice.
Liceità del trattamento e diritti degli interessati
La base giuridica del trattamento è rinvenibile nell'interesse qualora lo stesso sia effettuato da fornitori che prestano servizi di informazioni commerciali, da committenti che li richiedono per le verifiche specificatamente indicate nel codice o nel caso in cui sussista un comune interesse alla lealtà delle transazioni commerciali e al buon funzionamento del mercato: perciò non è richiesto il consenso dell'interessato (art. 6 c. 1 Codice).
La conservazione dei dati ei diritti degli interessati
I fornitori sono tenuti ad adottare misure tecniche e organizzative idonee a garantire un riscontro telematico, tempestivo e completo alle richieste avanzate dagli interessati nell'esercizio dei diritti di cui agliartt. 15, 16, 17, 18, 19 e 21 GDPR, ove applicabili, ad esclusione del diritto alla portabilità dei dati di cui all'art. 20 del Regolamento, salvo che la raccolta dei dati personali sia avvenuta dal fornitore direttamente presso l'interessato attraverso mezzi automatizzati e finalizzata all'esecuzione di un contratto.
Peraltro gli interessati, attraverso specifica sezione del portale Internet , possono verificare se sia o meno in corso un trattamento dei propri dati presso qualsiasi fornitore iscritto al portale e ottenere l'accesso a tali dati rivolgendosi direttamente al fornitore titolare del trattamento per esercitare i propri diritti.
Esclusioni dall'ambito di operatività del Codice
Il Codice di condotta non inerisce al trattamento dei dati personali effettuato nell'ambito dei sistemi informativi creditizi (cd SIC ) – per il quale sono previste norme ad hoc – e al trattamento dei dati personali raccolti presso soggetti privati diversi dall'interessato (disciplinato dal GDPR).
Tutti i soggetti che prestano a terzi servizi di informazione commerciale ai sensi dell'art. 134 del TULPS . e del DM n. 269/2010, eventualmente non associati ad ANCIC, possono comunque aderire al Codice di condotta, anche attraverso le rispettive associazioni di categoria, seguendo le specifiche procedure stabilite dal Codice.
Avv. Rossella Bucca e Dott.ssa Simona Lanna
