Deliberazione del 12 giugno 2019 - Codice di condotta per il trattamento dei dati personali in materia di informazioni commerciali
Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla presenza del dott. XX, presidente, della dott.ssa XX, vicepresidente, della prof.ssa XX, della dott.ssa XX, componenti e del dott. XX, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (di seguito “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito il “Codice”) come novellato dal d.lgs 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679”;
CONSIDERATO che l’art. 40 del Regolamento prevede, in particolare, che gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggino l’elaborazione di codici di condotta destinati a contribuire alla corretta applicazione del Regolamento in funzione delle specificità dei vari settori di trattamento e delle esigenze delle micro, piccole e medie imprese;
VISTO il considerando n. 98 del Regolamento secondo il quale i codici di condotta possono calibrare gli obblighi dei titolari del trattamento e dei responsabili del trattamento, tenuto conto del potenziale rischio del trattamento per i diritti e le libertà delle persone fisiche;
CONSIDERATO che l’art. 20 del d.lgs. n. 101/2018 recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento, che ha modificato il Codice, prevede che il Codice di deontologia e buona condotta per il trattamento dei dati personali effettuato ai fini di informazioni commerciali (Allegato 7 del Codice), in vigore dal 1° ottobre 2016, continui a produrre effetti a condizione che entro 6 mesi dall’entrata in vigore del d.lgs. n. 101/2018, le associazioni e gli altri organismi rappresentanti le categorie interessate sottopongano all’approvazione del Garante a norma dell’art. 40 del Regolamento i codici di condotta elaborati a norma del paragrafo 2 del predetto articolo, purché la procedura di approvazione si concluda entro sei mesi successivi alla sottoposizione del codice di condotta all’esame del Garante;
VISTE le “Linee guida sui codici di condotta e organismi di monitoraggio” n. 1/2019 adottate in data 12 febbraio 2019 come modificate ed approvate in data 4 giugno 2019;
VISTA la nota del 1° marzo 2019 con la quale l’Associazione nazionale tra le imprese di informazioni commerciali e di gestione del credito (di seguito ANCIC) ha presentato un progetto di codice di condotta elaborato ai sensi degli artt. 40 e 41 del Regolamento dopo averlo sottoposto a consultazione con i soggetti maggiormente rappresentativi delle categorie di interessati in data 13 e 26 febbraio 2019;
VISTA la nota dell’8 maggio 2019 con cui l’Ufficio ha formulate alcune osservazioni in merito al progetto di codice di condotta presentato da Ancic la quale ha successivamente trasmesso una bozza di codice di condotta aggiornato in data 24 maggio 2019;
VISTA le note del 3 e 4 giugno 2019 con cui Ancic ha sottoposto all’approvazione del Garante l’ultima versione del progetto di codice di condotta, a seguito di un incontro svoltosi presso l’Autorità in data 30 maggio;
RILEVATO che ai sensi dell’art. 55 del Regolamento il Garante è l’autorità di controllo competente ad approvare il presente progetto di codice di condotta avente validità nazionale nell’esercizio del potere conferitole ai sensi dell’art. 57, paragrafo 1, del Regolamento;
CONSIDERATO che Ancic, essendo l’associazione che rappresenta la maggioranza delle imprese che svolgono attività di informazione commerciale in Italia, è legittimata, ai sensi dell’art. 40, paragrafo 2 del Regolamento, a promuovere l’adozione di un codice di condotta nel settore di riferimento;
CONSIDERATO che il progetto di codice di condotta presentato da Ancic contribuisce alla corretta applicazione del Regolamento nel settore delle informazioni commerciali e può costituire elemento idoneo a dimostrare la conformità del trattamento posto in essere alla disciplina della protezione dei dati (Considerando 77 e artt. 24, par. 3, 32, par. 3, 28, par. 5 del Regolamento);
RILEVATO che il progetto di codice di condotta presentato da Ancic prevede la costituzione di un organismo di monitoraggio individuando altresì i meccanismi che consentono allo stesso di effettuare il controllo obbligatorio del rispetto del codice da parte degli aderenti che si impegnano ad applicarlo, così come previsto dall’art. 40, paragrafo 2, del Regolamento;
CONSIDERATO che l’approvazione di un progetto di codice di condotta è subordinato all’accreditamento dell’organismo di monitoraggio da parte del Garante ai sensi dell’art. 41 del Regolamento, ma che nel caso di specie tale fase, in attesa della definizione di criteri uniformi per l’accreditamento a livello europeo, non si è ancora conclusa;
RITENUTO tuttavia che il progetto di codice di condotta presentato da Ancic, all’esito dell’esame di questa Autorità, offra in misura sufficiente garanzie adeguate a tutela degli interessati nel settore delle informazioni commerciali, come previsto dall’art. 40, paragrafo 5, del Regolamento;
VISTA la documentazione in atti:
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE la dott.ssa XX;
TUTTO CIÒ PREMESSO IL GARANTE:
ai sensi dell’art. 20 del d.lgs. 10 agosto 2018, n. 101 approva il codice di condotta per il trattamento dei dati personali in materia di informazioni commerciali presentato da Ancic, subordinandone l’efficacia al completamento della fase di accreditamento dell’organismo di monitoraggio da parte dell’Autorità.
Roma, 12 giugno 2019
CODICE DI CONDOTTA PER IL TRATTAMENTO DEI DATI PERSONALI EFFETTUATO A FINI DI INFORMAZIONE COMMERCIALE
INDICE
Preambolo
Art. 1 – Ambito di applicazione
Art. 2 – Definizioni
Art. 3 - Individuazione dei requisiti dell’informazione commerciale
Art. 4 - Fonti di provenienza e modalità di trattamento delle informazioni commerciali
Art. 5 - Informativa agli interessati
Art. 6 - Presupposti di liceità del trattamento e legittimi interessi perseguiti
Art. 7 - Comunicazione delle informazioni
Art. 8 - Associazione ed utilizzazione delle informazioni commerciali
Art. 9 - Conservazione delle informazioni
Art. 10 - Esercizio dei diritti da parte degli interessati
Art. 11 – Misure organizzative e tecniche per la riservatezza e la sicurezza delle informazioni
Art. 12 – Verifiche sul rispetto del Codice di condotta ed organismo di monitoraggio
Art. 13 - Modalità di adesione al Codice di condotta
Art. 14 - Disposizioni transitorie e finali
Art. 15 - Entrata in vigore
PREAMBOLO
L’ Associazione Nazionale tra le Imprese di Informazioni Commerciali e di Gestione del Credito (di seguito “ANCIC”) sottoscrive, in qualità di associazione rappresentativa dei fornitori di servizi di informazione commerciale, il presente Codice di condotta, sottoposto all’approvazione del Garante per la protezione dei dati personali (di seguito il “Garante”) ai sensi dell’art. 40 del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (Regolamento Generale sulla Protezione dei Dati, di seguito il “Regolamento”) e nel rispetto della procedura stabilita dall’art. 20 del D.lgs. 101/2018, recante disposizioni di adeguamento del D.lgs. 196/2003, recante il Codice in materia di protezione dei dati personali (di seguito denominato "Codice") alle norme del Regolamento, sulla base delle seguenti premesse:
1. i soggetti operanti nel settore relativo alle attività di informazione commerciale si impegnano al rispetto dei diritti, delle libertà fondamentali e della dignità delle persone interessate, in particolare del diritto alla protezione dei dati personali, del diritto alla riservatezza e del diritto all’identità personale;
2. nel presente Codice di condotta sono individuate le adeguate garanzie e modalità di trattamento dei dati personali a tutela dei diritti degli interessati da porre in essere nel perseguire le finalità di informazione commerciale per garantire, da un lato, la certezza e la trasparenza nei rapporti commerciali, nonché l’adeguata conoscenza e circolazione delle informazioni commerciali ed economiche e, dall’altro lato, la qualità, la pertinenza, l’esattezza e l’aggiornamento dei dati personali trattati. Obiettivo del presente Codice di condotta è anche precisare l’applicazione delle disposizioni del Regolamento nello specifico settore delle attività di informazione commerciale, per permettere ai soggetti operanti in tale ambito, quali titolari del trattamento, di utilizzare l’adesione al presente Codice di condotta come elemento per dimostrare il rispetto degli obblighi applicabili, ai sensi dell’art. 24, paragrafo 3, del Regolamento;
3. le disposizioni del presente Codice di condotta si applicano alle sole informazioni commerciali riferite a persone fisiche identificate o identificabili (rientranti nel concetto di “interessato” di cui all’art. 4, n. 1, del Regolamento) ed, in particolare, al trattamento di dati personali provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque o pubblicamente accessibili (c.d. fonti pubbliche), nonché al trattamento di dati personali forniti direttamente dagli interessati, effettuato, nel rispetto dei limiti e delle modalità che le normative vigenti stabiliscono per la conoscibilità, utilizzabilità e pubblicità di tali dati, da titolari che, ai sensi dell’art. 6, paragrafo 1, lett. f) del Regolamento, perseguono un interesse legittimo a trattare i suddetti dati personali per la prestazione a terzi di servizi di informazione commerciale. Tali trattamenti includono anche quelli che presuppongono l’elaborazione di informazioni commerciali, da parte dei fornitori, mediante processi statistici o modelli automatizzati, oppure tramite analisi e valutazioni effettuate da esperti, anche sulla base di classificazioni predefinite, allo scopo di formulare un giudizio sulla solidità, solvibilità ed affidabilità del soggetto censito, eventualmente espresso in termini predittivi, probabilistici o in forma di indicatori alfanumerici, codici o simboli, svolti in esecuzione di quanto previsto dal R.D. n. 773/1931, e successive modificazioni ed integrazioni, recante il Testo Unico delle Leggi di Pubblica Sicurezza (di seguito "T.U.L.P.S.") e relativi Regolamenti di attuazione e dal D.M. n. 269/2010;
4. non rientra nella sfera di applicazione del presente Codice di condotta il trattamento dei dati personali effettuato nell’ambito dei sistemi informativi creditizi (c.d. SIC) in riferimento al quale sono previste norme specifiche, anche di natura deontologica;
5. resta escluso dall’ambito di applicazione del presente Codice di condotta il trattamento avente ad oggetto i dati personali raccolti presso soggetti privati diversi dall’interessato, che rimane comunque disciplinato dalle disposizioni del Regolamento;
6. tutti i soggetti che prestano a terzi servizi di informazione commerciale ai sensi dell’art. 134 del T.U.L.P.S. e del D.M. n. 269/2010, eventualmente non associati ad ANCIC, possono aderire al presente Codice di condotta, anche attraverso le rispettive associazioni di categoria, seguendo le procedure di seguito stabilite. L’associazione ad ANCIC comporta e sottintende per qualsiasi fornitore l’adesione al presente Codice di condotta.
Art. 1 - Ambito di applicazione
Il presente Codice di condotta è riferito ad attività di trattamento limitate al territorio dello Stato Italiano ed è applicabile unicamente a livello nazionale. Per tale motivo, l’approvazione di cui all’art. 40 del Regolamento è richiesta al Garante in qualità di Autorità di controllo competente ai sensi dell’art. 55 del Regolamento.
Art. 2 - Definizioni
1. Ai fini del presente Codice di condotta, si applicano le definizioni previste dall’art. 4 del Regolamento.
2. Ai medesimi fini, si intende per:
a) "informazione commerciale": il dato anche valutativo relativo ad aspetti patrimoniali, economici, finanziari, creditizi, aziendali, industriali, organizzativi e produttivi imprenditoriali e professionali di una persona fisica;
b) "attività di informazione commerciale": l’attività consistente nella fornitura di servizi di informazione commerciale inclusi servizi informativi e/o valutativi che, anche tramite l’ausilio di processi automatizzati, comportano la ricerca, la raccolta, la registrazione, l’organizzazione, l’analisi, l’elaborazione, anche mediante stime e giudizi, oltre che la comunicazione, di informazioni commerciali;
c) "finalità di informazione commerciale": la finalità di fornire informazioni ai committenti per verifiche sulla situazione economica, finanziaria e patrimoniale degli interessati, nonché sulla loro solidità, solvibilità ed affidabilità, in relazione a legittime esigenze connesse, in via esemplificativa e non esaustiva, all’analisi e alla definizione delle strategie e politiche di business, all’individuazione di soggetti per l’avvio di nuovi rapporti commerciali, all’instaurazione e gestione di rapporti, anche precontrattuali, alla fornitura agli interessati di beni, prestazioni e servizi ed alle relative modalità e condizioni di pagamento, all’adempimento dei correlati obblighi normativi, anche in materia di antiriciclaggio, alla prevenzione e contrasto di frodi e alla tutela dei relativi diritti da parte dei committenti, anche in sede giudiziaria;
d) "servizio di informazione commerciale": il servizio richiesto da terzi (committenti) concernente l’esecuzione di ricerca, raccolta, registrazione, organizzazione, analisi, valutazione, elaborazione e comunicazione di informazioni provenienti da fonti pubbliche, da fonti pubblicamente e generalmente accessibili da chiunque o altrimenti acquisite dall’interessato tali da fornire un valore di conoscenza aggiuntiva ai terzi;
e) "committente": il soggetto privato o pubblico che richiede al fornitore un servizio di informazione commerciale;
f) "fornitore": il soggetto privato che, in base all’art. 134 del T.U.L.P.S. e relative modifiche e integrazioni ed al D.M. n. 269/2010, fornisce al committente un servizio di informazione commerciale;
g) "soggetto censito/interessato": il soggetto cui si riferiscono il servizio di informazione commerciale o il rapporto informativo richiesti dal committente;
h) "rapporto informativo": il documento cartaceo o elettronico (dossier o report) che, ove richiesto, può essere elaborato dal fornitore per il committente e che contiene la rappresentazione complessiva o selettiva, anche in forma unitaria, aggregata o sintetica, delle informazioni commerciali raccolte in relazione al soggetto censito;
i) "elaborazione di informazioni valutative": attività volta alla formulazione di un giudizio, espresso anche in termini predittivi o probabilistici ed in forma di indicatori sintetici alfanumerici, codici o simboli, nonché di classificazione sulla solidità, solvibilità ed affidabilità o capacità economica del soggetto censito, risultante da un processo statistico o, altrimenti, da un modello prestabilito, automatizzato e impersonale di elaborazione delle informazioni, oppure emesso sulla base di analisi e valutazioni effettuate da esperti analisti, anche sulla base di una classificazione in categorie o classi predefinite, per legittime esigenze connesse a finalità di informazione commerciale.
Art. 3 - Individuazione dei requisiti dell’informazione commerciale
1. Il trattamento dei dati personali effettuato nello svolgimento dell’attività di informazione commerciale si svolge nel rispetto dei principi di cui all’art. 5 del Regolamento.
2. Il trattamento dei dati personali effettuati nello svolgimento di informazioni commerciali non può riguardare le categorie particolari di dati personali di cui all’art. 9, paragrafo 1, del Regolamento ed i dati relativi a condanne penali e reati di cui all’art. 10 del Regolamento, fatto salvo quanto previsto al successivo art. 4, comma 5, in riferimento ai soli dati relativi a condanne penali e reati provenienti da fonti pubbliche o da quelle pubblicamente e generalmente accessibili ivi indicate, trattati per il perseguimento di un legittimo interesse del titolare, nel rispetto dei limiti e delle modalità stabiliti dalla legge in ordine alla loro conoscibilità, utilizzabilità e pubblicità e nel rispetto delle garanzie appropriate per i diritti e le libertà degli interessati stabilite nel Decreto del Ministro della Giustizia di cui all’art. 2-octies del Codice.
3. I dati personali raccolti e trattati dal fornitore ai fini di informazione commerciale possono riguardare sia l’interessato quale soggetto censito, sia le persone fisiche o altri soggetti legati sul piano giuridico e/o economico al soggetto censito, anche se diversi da una persona fisica (come nel caso di una società).
4. Ai fini del presente Codice di condotta, deve ritenersi che sussista un legame sul piano giuridico e/o economico tra due o più interessati e tra un interessato ed un soggetto diverso dalla persona fisica (es. società) quando ricorra una o più delle seguenti situazioni:
a) partecipazione dell’interessato ad un’impresa o ad una società attraverso il possesso o controllo diretto od indiretto di una percentuale di quote o azioni, oppure di diritti di voto, pari o superiore alle soglie individuate al successivo art. 8;
b) esercizio, tramite la carica o qualifica ricoperta dall’interessato, di effettivi poteri di amministrazione, direzione, gestione e controllo di una impresa o società.
5. Al successivo art. 9 del presente Codice di condotta sono individuati i limiti, anche temporali, per associare al soggetto censito anche i dati personali relativi ai soggetti a quest’ultimo legati sul piano giuridico e/o economico, nei casi in cui tali dati riguardino eventi negativi quali, ad esempio, fallimenti o procedure concorsuali, ipoteche o pignoramenti, protesti.
Art. 4 - Fonti di provenienza e modalità di trattamento delle informazioni commerciali
1. Il fornitore per le finalità di informazioni commerciali può raccogliere dati personali presso il soggetto censito, presso fonti pubbliche, fonti pubblicamente e generalmente accessibili da chiunque o presso altri soggetti autorizzati dalla legge alla distribuzione e fornitura delle informazioni.
2. Quanto alle fonti pubbliche o alle fonti pubblicamente accessibili da chiunque di cui sopra ai fini di maggiore chiarezza sono fonti utilizzabili dal fornitore:
a) Le fonti pubbliche ossia i pubblici registri, gli elenchi, gli atti o i documenti conoscibili da chiunque in base alla vigente normativa di riferimento, nei limiti e con le modalità che in essa sono stabiliti per la conoscibilità, l’utilizzabilità e la pubblicità dei dati ivi contenuti, tra cui rientrano, in via esemplificativa e non esaustiva:
1) registro delle imprese, bilanci ed elenchi dei soci, visure e/o atti camerali, atti ed eventi relativi a fallimenti o altre procedure concorsuali nonché il registro informatico dei protesti presso le camere di commercio e la relativa società consortile InfoCamere;
2) atti immobiliari, atti pregiudizievoli ed ipocatastali (come, ad es., iscrizioni o cancellazioni di ipoteche, trascrizioni e cancellazioni di pignoramenti, o atti giudiziari, e relativi annotamenti) tutti conservati nei registri gestiti dall’Agenzia delle Entrate (tra i quali rientrano le ex Conservatorie dei registri immobiliari e l’Ufficio del Catasto), nel Pubblico Registro Automobilistico e presso l’Anagrafe della popolazione residente.
b) Le fonti pubblicamente e generalmente accessibili da chiunque, sono costituite da:
1) quotidiani e testate giornalistiche in formato cartaceo, che risultino regolarmente registrate;
2) elenchi c.d. categorici ed elenchi telefonici;
3) siti Internet liberamente accessibili a chiunque appartenenti a:
3.1) soggetti censiti ed altri soggetti a loro connessi ai sensi del successivo art. 8;
3.2) enti pubblici, governativi, territoriali e locali, agenzie pubbliche, nonché autorità di vigilanza e controllo, relativamente ad elenchi, registri, albi, collegi, ordini, atti e documenti ivi diffusi e contenenti informazioni relative allo svolgimento di attività economiche, nei limiti eventualmente previsti dalla normativa vigente in Italia, in conformità all’art. 86 del Regolamento;
3.3) associazioni di categoria ed ordini professionali, relativamente ad elenchi od albi di operatori economici e imprenditoriali, diffusi sui propri siti;
3.4) quotidiani e testate giornalistiche on-line nel numero minimo di tre, che confermino le informazioni oggetto di comunicazione e che risultino regolarmente registrati. Sono escluse dal conteggio le testate giornalistiche on-line, per le quali sia già stata computata la corrispondente testata cartacea, nonché gli articoli che rappresentino una mera ripubblicazione dello stesso testo sotto diverse testate;
3.5) servizi on-line di elenchi telefonici e categorici.
3. Il fornitore raccoglie i dati personali provenienti dalle suddette fonti pubbliche o generalmente accessibili anche mediante l’ausilio di strumenti elettronici e per via telematica, in forma sia diretta che mediata, presso soggetti pubblici o presso altri fornitori privati, sulla base di appositi accordi con questi ultimi e, comunque, nel rispetto delle forme e dei limiti stabiliti dalle disposizioni normative che disciplinano la conoscibilità, utilizzabilità e pubblicità degli atti e dei dati in essi contenuti.
4. Nell’acquisire e registrare i dati personali provenienti da fonti pubbliche o da fonti pubblicamente e generalmente accessibili da chiunque, il fornitore adotta adeguate e preventive misure per assicurare che:
a) i dati estratti siano esatti e pertinenti rispetto al fine perseguito, nonché trattati in conformità al principio di proporzionalità e agli altri principi di cui all’art. 5 del Regolamento;
b) sia annotata la specifica fonte di provenienza dei dati;
c) sia effettuato l’aggiornamento dei medesimi dati alla data dei rapporti informativi.
5. Ai fini dell’erogazione del servizio di informazione commerciale è ammesso il trattamento anche di dati relativi a condanne penali e reati provenienti da fonti pubbliche; per quanto riguarda, invece, le fonti pubblicamente e generalmente accessibili di cui alla lettera b) del precedente comma 2, è consentito il trattamento dei soli dati relativi a condanne penali e reati diffusi negli ultimi sei mesi, a partire dalla data di ricezione della richiesta del servizio da parte del committente, e senza alcuna possibilità per il fornitore di apportare modifiche al contenuto di tali informazioni - salvo l’eventuale loro aggiornamento - e di utilizzarle a fini dell’elaborazione di informazioni valutative.
Art. 5 - Informativa agli interessati
1. Per il trattamento delle informazioni provenienti dalle fonti di cui al precedente art. 4, considerato il rilevante numero di interessati e la peculiare natura delle stesse informazioni, tale da comportare un impiego di mezzi da ritenersi manifestamente sproporzionato rispetto al diritto tutelato, il fornitore rende l’informativa all’interessato, in forma non individuale, attraverso misure appropriate, in conformità a quanto disposto dall’art. 14, paragrafo 5, lett. b) del Regolamento ed, in particolare, attraverso l’informativa pubblicata sul portale Internet www.informativaprivacyancic.it costituito a tale specifico fine da ANCIC, in rappresentanza dei fornitori di informazioni commerciali.
2. L’informativa di cui al precedente comma contiene gli elementi previsti dall’art. 14, paragrafi 1 e 2, del Regolamento, indicati mediante una descrizione sintetica delle principali caratteristiche del trattamento effettuato dai fornitori, autonomi titolari, e deve recare obbligatoriamente indicazione, tra l’altro:
a) dei dati identificativi e di contatto di ciascun fornitore quale titolare e dei dati di contatto del rispettivo responsabile della protezione dei dati personali, anche al fine di ottenere il riscontro in caso di esercizio dei diritti di cui al Capo III del Regolamento;
b) dei destinatari o delle categorie di destinatari dei dati personali che, anche in qualità di responsabili del trattamento, possono venire a conoscenza dei dati;
c) di eventuali trasferimenti di dati personali da parte dei fornitori verso committenti ubicati in paesi terzi, da svolgersi nel rispetto delle condizioni di cui al Capo V del Regolamento;
d) delle categorie di dati trattati;
e) del legittimo interesse perseguito dal titolare, quale può essere il monitoraggio e la prevenzione di frodi, la garanzia della sicurezza e dell’affidabilità dei servizi forniti dai committenti, la solidità della gestione e la corretta esecuzione di rapporti commerciali ed attività economiche e finanziarie tra questi ultimi ed il soggetto censito, nonché alla tutela dei relativi diritti, secondo quanto disposto dall’art. 6, paragrafo 1, lett. f), del Regolamento;
f) del periodo di conservazione dei dati;
g) dei siti Internet o altre sedi dove sia agevolmente e gratuitamente consultabile la specifica e dettagliata informativa di ciascun fornitore;
h) di trattamenti automatizzati di dati che comportino la profilazione degli interessati;
i) l’indicazione delle modalità attraverso le quali è possibile esercitare i diritti citati alla precedente lett. a), oltre quello di proporre reclamo al Garante per la protezione dei dati personali, quale autorità di controllo.
3. I fornitori aventi un fatturato annuale per servizi di informazione commerciale non superiore a € 300.000,00 (trecentomila), possono rendere l’informativa solo attraverso la relativa comunicazione sul proprio sito Internet.
Art. 6 - Presupposti di liceità del trattamento e legittimi interessi perseguiti
1. Il trattamento per finalità di informazione commerciale di dati personali provenienti dalle fonti di cui al precedente art. 4, anche quando finalizzato alla formulazione, grazie a processi automatizzati o ad analisi e valutazioni svolte da esperti, di un giudizio sulla solidità solvibilità e affidabilità del soggetto censito o comunque volto all’elaborazione di informazioni valutative, non richiede il consenso dell’interessato, essendo necessario al perseguimento dei legittimi interessi dei fornitori che prestano i servizi di informazioni commerciali, ai sensi dell’art. 134 del T.U.L.P.S. e D.M. 269/2010, nonché dei committenti che li richiedono per legittime verifiche e per le esigenze di cui al precedente art. 2, comma 2, lett. c), nonché dell’interesse comune alla lealtà delle transazioni commerciali ed al buon funzionamento del mercato, purché tale trattamento sia effettuato nell’osservanza delle disposizioni del presente Codice di condotta, che fissano le garanzie ed i limiti entro cui i predetti interessi legittimi possono essere perseguiti dai fornitori nel rispetto degli interessi e dei diritti e libertà fondamentali dell’interessato, ai sensi dell’art. 6, paragrafo 1, lett. f), del Regolamento.
2. In nessun caso l’elaborazione di informazioni valutative da parte dei fornitori aderenti al presente Codice di condotta, anche quando basata su processi totalmente automatizzati di elaborazione delle informazioni commerciali, compresa la profilazione (es. scoring su solidità, solvibilità ed affidabilità o capacità economica dell’interessato), determina o implica l’adozione di una decisione, da parte dei fornitori stessi, che produca effetti giuridici o che in ogni caso incida significativamente in modo analogo sull’interessato. Ogni decisione che incida sui diritti e le libertà dell’interessato è infatti rimessa esclusivamente ai committenti ed è basata sull’insieme dei dati personali ed informazioni in loro possesso e non unicamente sulle informazioni valutative elaborate e comunicate dai fornitori, da considerarsi come strumentali e serventi rispetto alle complessive valutazioni effettuate dai medesimi committenti in ordine alle decisioni da adottare nei loro rapporti con gli interessati.
Art. 7 - Comunicazione delle informazioni
Le informazioni provenienti da fonti pubbliche di cui al precedente art. 4, trattate ai fini dell’erogazione dei servizi di informazione commerciale, sono comunicate dal fornitore, anche per via telematica, ai committenti secondo quanto previsto dalla normativa vigente in materia di pubblica sicurezza T.U.L.P.S. e successive modifiche e integrazioni.
Art. 8 - Associazione e utilizzazione delle informazioni commerciali
1. Ai fini dell’erogazione dei servizi di informazione commerciale, qualora le informazioni provenienti da fonti pubbliche siano riferite ad eventi negativi (quali, ad es., fallimenti o procedure concorsuali, pregiudizievoli, ipoteche o pignoramenti, protesti), il fornitore:
a) utilizza le informazioni di cui sopra che riguardino direttamente l’interessato, quale soggetto censito;
b) utilizza - qualora il soggetto censito sia una persona fisica che non svolga o non abbia svolto alcuna attività d’impresa, non ricopra o non abbia ricoperto cariche sociali, o non detenga o non abbia detenuto partecipazioni rilevanti in un’impresa o società nei termini indicati ai successivi commi - soltanto le informazioni relative a protesti ed atti pregiudizievoli che lo riguardino direttamente, nonché i dati relativi a condanne penali e reati così come indicati e disciplinati dall’art. 4, comma 5;
c) indica, nel contesto del rapporto informativo, la sola circostanza dell’esistenza di altre informazioni e/o rapporti informativi relativi ad ulteriori interessati e/o soggetti diversi da persone fisiche legati sul piano giuridico e/o economico al soggetto censito, senza che tali informazioni provenienti da fonti pubbliche e riguardanti eventi negativi, possano essere, in alcun modo, direttamente associate all’interessato quale soggetto censito, né tanto meno utilizzate per l’elaborazione di informazioni valutative riferite a quest’ultimo, fatto salvo quanto previsto dai successivi commi.
2. Con riferimento a quanto indicato al precedente comma 1, lett. c), viene fatta salva la facoltà per il fornitore, qualora il soggetto censito sia una persona fisica, ai fini dell’erogazione dei servizi di informazione commerciale, di associare direttamente all’interessato quale soggetto censito ed utilizzare per l’elaborazione di informazioni valutative riferite a quest’ultimo, anche le informazioni provenienti da fonti pubbliche che si riferiscono ad eventi negativi relativi ad imprese o società nelle quali lo stesso interessato (soggetto censito) rivesta o abbia rivestito, nei 12 mesi precedenti il verificarsi dell’evento negativo, le cariche o qualifiche qui sotto indicate:
a) professionista, anche nell’ambito di un’associazione o società tra professionisti, inteso quale operatore economico, vale a dire persona fisica che agisce per scopi riferibili all’attività economica o professionale svolta;
b) titolare di ditta individuale;
c) socio di società semplice e di società in nome collettivo;
d) socio accomandatario di società in accomandita semplice e socio accomandante con partecipazioni pari o superiori alla soglia del 25% o detentore della quota di maggioranza del capitale sociale, fatte salve, nel caso di società in accomandita semplice, le quote di controllo e partecipazioni del 10% in caso di quote paritarie tra i soci;
e) nelle società di capitali:
1) socio con partecipazioni pari o superiori alla soglia del 25% o in possesso del pacchetto di maggioranza del capitale sociale, fatte salve le partecipazioni del 10% in caso di quote paritarie tra i soci;
2) presidente o vice presidente del consiglio di amministrazione, consigliere od amministratore delegato, consigliere, amministratore, consigliere od amministratore con deleghe, amministratore unico o socio unico di società a responsabilità limitata e socio unico di società per azioni;
3) sindaco, revisore, institore, presidente del patto di sindacato, organi delle procedure concorsuali e soggetti con qualifica di procuratori e direttori, soltanto se il soggetto censito che ricopra tali ultime cariche o qualifiche abbia:
3.1) amministrato l’impresa o la società;
3.2) avuto fino ad un anno prima partecipazioni pari o superiori alla soglia del 25% o la quota di maggioranza del capitale sociale, fatte salve le quote di controllo e le partecipazioni con quote paritarie, per le quali i soci rilevano tutti, anche al di sotto della soglia predetta, con il limite della soglia minima del 10%.
3. Sempre con riferimento a quanto indicato al precedente comma 1, lett. c), viene inoltre fatta salva la facoltà per il fornitore, qualora il soggetto censito sia un soggetto diverso dalla persona fisica (come nel caso, ad es., di una società), ai fini dell’erogazione dei servizi di informazione commerciale, di associare direttamente al soggetto censito ed utilizzare per l’elaborazione di informazioni valutative riferite a quest’ultimo, le informazioni provenienti da fonti pubbliche che si riferiscono ad eventi negativi riguardanti:
a) le persone fisiche che, nell’ambito del soggetto censito, ricoprono o hanno ricoperto nei 12 mesi precedenti la richiesta le cariche o qualifiche di cui al precedente comma 2, ivi incluse quelle relative ad imprese o società connesse a tali persone fisiche secondo quanto previsto al medesimo comma appena indicato;
b) le persone fisiche, che detengano o abbiano detenuto nei 12 mesi precedenti la richiesta, partecipazioni al capitale del soggetto censito nella misura di cui al precedente comma 2, ivi incluse quelle su dati negativi relative ad imprese o società connesse a tali persone fisiche secondo quanto previsto al medesimo comma.
4. Fatti salvi i termini più restrittivi previsti da specifiche norme di legge e fermo quanto disposto al precedente art. 4, comma 5 in riferimento ai dati relativi a condanne penali e reati, le informazioni provenienti da fonti pubbliche ed attinenti ad eventi negativi oggetto di trattamento nei termini di cui ai precedenti commi 2 e 3, sono conservate dal fornitore, ai fini dell’erogazione dei servizi di informazione commerciale, nel rispetto dei seguenti limiti temporali:
a) le informazioni relative a fallimenti o procedure concorsuali per un periodo di tempo non superiore a 10 anni dalla data di apertura della procedura del fallimento; decorso tale periodo, le predette informazioni potranno essere ulteriormente utilizzate dal fornitore, solo quando risultino presenti altre informazioni relative ad un successivo fallimento o risulti avviata una nuova procedura fallimentare o concorsuale riferita al soggetto censito o ad altro soggetto connesso, nel qual caso, il trattamento può protrarsi per un periodo massimo di 10 anni dalle loro rispettive aperture;
b) le informazioni relative ad atti pregiudizievoli ed ipocatastali (ipoteche e pignoramenti) per un periodo di tempo non superiore a 10 anni dalla data della loro trascrizione o iscrizione, salva l’eventuale loro cancellazione prima di tale termine, nel qual caso verrà conservata per un periodo di 2 anni l’annotazione dell’avvenuta cancellazione.
5. I limiti temporali di cui al precedente comma 4, si applicano anche nei confronti delle informazioni provenienti da fonti pubbliche e relative ad eventi negativi riferiti direttamente a titolari di imprese individuali e professionisti.
Art. 9 - Conservazione delle informazioni
1. Fatto salvo quanto stabilito all’art. 8, comma 4, lett. a) e b), e comma 5, i dati personali provenienti dalle fonti di cui all’art. 4 possono essere conservati dal fornitore ai fini dell’erogazione ai committenti dei servizi di informazione commerciale per il periodo di tempo in cui rimangono conoscibili e/o pubblicati nelle fonti pubbliche da cui provengono, in conformità a quanto previsto dalle rispettive normative di riferimento.
2. Resta fermo l’obbligo del fornitore di adottare idonee misure per garantire l’aggiornamento delle informazioni commerciali erogate rispetto ai dati personali riportati nelle fonti pubbliche da cui sono state raccolte, nei limiti e con le modalità stabiliti dalle predette normative di riferimento per la conoscibilità, l’utilizzabilità e la pubblicità dei dati ivi contenuti e dei relativi aggiornamenti.
Art. 10 - Esercizio dei diritti da parte degli interessati
1. I fornitori adottano idonee misure organizzative e tecniche atte a garantire un riscontro telematico, tempestivo e completo alle richieste avanzate dagli interessati di esercizio dei diritti di cui agli artt. 15, 16, 17, 18, 19 e 21 del Regolamento, ove applicabili. In considerazione del contesto e dei presupposti del trattamento e dell’origine dei dati personali, è di regola esclusa la possibilità per l’interessato di esercitare il diritto alla portabilità dei dati di cui all’art. 20 del Regolamento nei confronti dei fornitori di servizi di informazione commerciale, con la sola eccezione dei servizi in cui il trattamento di dati personali raccolti dal fornitore direttamente presso l’interessato avvenga attraverso mezzi automatizzati e sia finalizzato all’esecuzione di un contratto con il medesimo interessato.
2. Il diritto di cui all’art. 22 del Regolamento a non essere sottoposti ad una decisione basata unicamente su un trattamento automatizzato, quando la stessa sia in grado di produrre effetti giuridici o comunque di incidere significativamente sulla persona, potrà essere esercitato, laddove applicabile, nei confronti dei committenti.
3. Tramite la specifica sezione a ciò dedicata del portale Internet www.informativaprivacyancic.it di cui al precedente art. 5, comma 1, gli interessati possono esercitare il diritto di ottenere conferma che sia o meno in corso un trattamento di dati che li riguardano presso un qualsiasi fornitore iscritto al portale stesso e, in caso di riscontro positivo, ottenere l’accesso ai dati personali, rivolgendosi direttamente al fornitore, titolare del trattamento di tali dati, presso cui possono essere esercitati gli ulteriori diritti di cui al precedente comma, a condizione che non siano applicabili limitazioni ai sensi degli artt. 2-undecies e 2-duodecies del Codice. Le tempistiche di evasione delle richieste di esercizio dei diritti, comprensive dell’iniziale gestione delle stesse attraverso il portale Internet www.informativaprivacyancic.it e del successivo concreto riscontro da parte del fornitore iscritto, non supereranno i limiti stabiliti dall’art. 12 del Regolamento.
4. Nella presentazione della richiesta di esercizio dei propri diritti l’interessato fornisce idonei elementi o copia di documenti al fine di permettere la verifica della relativa identità ed indica anche il codice fiscale e/o la partita Iva al fine di agevolare la ricerca dei dati che lo riguardano da parte del fornitore.
5. Il terzo, al quale l’interessato conferisce per iscritto delega o procura, da esibire o allegare alla richiesta, può trattare i dati personali acquisiti presso un fornitore esclusivamente per finalità di tutela dei diritti dell’interessato, con esclusione di ogni altra finalità perseguita dal terzo medesimo.
6. L’interessato può esercitare i propri diritti di cui al precedente comma 1 a condizione che la relativa richiesta non abbia ad oggetto la rettificazione o l’integrazione di dati personali di tipo valutativo elaborati dal fornitore e relativi a giudizi, opinioni o ad altri apprezzamenti di tipo soggettivo, o ad indicazioni di condotte da tenersi o di decisioni in via di assunzione da parte del fornitore stesso.
7. L’interessato può esercitare il proprio diritto di opposizione al trattamento di informazioni commerciali da parte dei fornitori qualora dimostri, ai sensi dell’art. 21, paragrafo 1, del Regolamento, che i propri interessi, diritti e libertà siano prevalenti rispetto al legittimo interesse del titolare di tutela degli interessi dei terzi nei confronti delle società di capitali, di garanzia della certezza del diritto, della lealtà delle transazioni commerciali e di buon funzionamento del mercato interno.
Art. 11 - Misure organizzative e tecniche per la riservatezza e la sicurezza delle informazioni
1. Secondo un approccio basato sul rischio, i fornitori adottano misure tecniche, informatiche, procedurali, fisiche ed organizzative idonee ad assicurare ed essere in grado di dimostrare la conformità al Regolamento delle attività di trattamento svolte e l’osservanza dei criteri di protezione dei dati fin dalla progettazione e per impostazione predefinita, oltre che a garantire la sicurezza, l’integrità e la riservatezza delle informazioni commerciali oggetto di trattamento, così da prevenire o quantomeno minimizzare i rischi di distruzione, perdita, modifica e divulgazione non autorizzata o di accesso, in modo accidentale o illegale, a dati personali trattati.
2. Tali misure devono prevedere la pseudonimizzazione e, se del caso, la cifratura delle informazioni commerciali, a tutela della non diretta intelligibilità e/o riconducibilità delle stesse a specifici interessati, con particolare riferimento alla loro conservazione, nei casi in cui i dati personali in questione siano relativi a condanne penali, a reati o a connesse misure di sicurezza o consistano in informazioni valutative di tipo negativo risultato delle elaborazioni svolte; la capacità di assicurare costantemente l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento, tenendo conto delle minacce potenzialmente derivanti sia da eventi naturali che da azioni dolose di terzi e garantendo alta affidabilità, Disaster Recovery e Business Continuity; adozione di procedure per testare e valutare regolarmente l'efficacia delle misure implementate al fine di garantire la sicurezza dei dati, verificando sia i singoli componenti che l’intero sistema (ivi inclusi gli elementi ridondanti, se presenti).
3. I fornitori adottano misure organizzative e tecniche adeguate a garantire il puntuale adempimento dell’obbligo di notifica al Garante, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne vengono a conoscenza, di eventuali violazioni di dati personali riguardanti le attività o i servizi di informazione commerciale, qualora ritengano probabile che dalle stesse possano derivare rischi per i diritti e le libertà degli interessati. Inoltre, laddove tali rischi siano elevati, i fornitori dovranno dare notizia delle violazioni subite, senza ingiustificato ritardo, anche agli interessati coinvolti, secondo quanto disposto dall’art. 34 del Regolamento. Per l'adempimento di tali obblighi, i fornitori si impegnano ad osservare le linee guida, le raccomandazioni e le best practices adottate dal Comitato Europeo per la Protezione dei Dati o da altre autorità di settore competenti, ferma restando la possibilità di adottare propri standard e procedure, anche per il tramite di ANCIC.
4. Per la prestazione dei servizi di informazione commerciale, ogni fornitore può ricorrere ad eventuali responsabili del trattamento che presentino garanzie sufficienti ai sensi dell’art. 28 del Regolamento, vincolandoli contrattualmente anche al rispetto degli obblighi di cui al presente Codice di condotta, nei limiti in cui siano applicabili alle attività di trattamento svolte per conto del fornitore.
5. Ogni fornitore, quale titolare, e i relativi responsabili, ove esistenti, individuano le persone fisiche autorizzate, ai sensi dell’art. 29 del Regolamento o 2-quaterdecies del Codice, all’accesso ed al trattamento dei dati personali per finalità relative alla realizzazione e all’erogazione dei servizi di informazione commerciale, vincolandole ad adeguati obblighi di riservatezza ed impartendo loro idonee istruzioni conformemente al presente Codice di condotta.
6. Per lo svolgimento delle attività o dei servizi di informazione commerciale di cui al presente Codice di condotta, ogni fornitore che integri le condizioni di cui all’art. 37, lett. b) o c) del Regolamento, provvederà a designare un responsabile della protezione dei dati personali.
7. I fornitori si impegnano a svolgere una valutazione di impatto sulla protezione dei dati ai sensi dell'art. 35 del Regolamento, prima di procedere ai trattamenti oggetto del presente Codice di condotta, in relazione ai servizi di informazione commerciale che comportino un trattamento di dati personali ad elevato rischio per i diritti degli interessati, soprattutto in caso di utilizzo di nuove tecnologie. Tale valutazione d'impatto sulla protezione dei dati potrà riguardare anche più categorie di trattamenti simili tra di loro, anche comprensivi di diverse tecniche di analisi, profilazione ed elaborazione di informazioni valutative, fermo restando l'obbligo del fornitore di consultare il Garante, ai sensi dell’art. 36 del Regolamento, nei casi in cui la suddetta valutazione d'impatto evidenzi come il trattamento in oggetto determini comunque un rischio elevato per i diritti e le libertà delle persone fisiche coinvolte, in assenza di ulteriori misure aggiuntive adottate per attenuare ulteriormente il rischio.
Art. 12 - Verifiche sul rispetto del Codice di condotta ed organismo di monitoraggio
1. Fatti salvi i compiti e i poteri del Garante di cui agli articoli da 56 a 58 del Regolamento, il rispetto del presente Codice di condotta da parte dei fornitori aderenti è garantito da apposito organismo di monitoraggio (di seguito “OdM”) costituito e accreditato ai sensi dell'articolo 41 del Regolamento.
2. L’OdM sarà esterno all’organizzazione di ANCIC e sarà composto da un numero dispari di componenti, pari ad un massimo di cinque, tutti designati sulla base delle candidature presentate da parte delle associazioni maggiormente rappresentative degli interessati a livello nazionale, ad eccezione di un solo componente scelto direttamente da ANCIC tra i nominativi proposti dai fornitori di servizi di informazione commerciale aderenti al presente Codice di condotta, il quale non deve aver partecipato ai lavori di stesura del presente Codice di condotta. L’OdM sarà presieduto da una persona di riconosciuta esperienza in materia di protezione dei dati personali, con particolare riguardo al settore delle informazioni commerciali. L’atto di nomina dei componenti dell’OdM sarà adottato dal Consiglio Direttivo di ANCIC ed il relativo incarico, eventualmente rinnovabile, avrà durata quinquennale. Prima della scadenza del mandato dell’OdM, ANCIC provvederà a richiedere l’accreditamento dell’organismo nella nuova composizione. Laddove l’OdM, ai fini di un efficiente svolgimento dei propri compiti, avesse necessità di personale di supporto, il relativo incarico potrà essere affidato anche a consulenti esterni.
3. Ciascuno dei componenti dell’OdM deve garantire e mantenere per l’intera durata dell’incarico i seguenti requisiti:
a. Onorabilità
Non potranno essere nominati coloro che:
• si trovino in una delle condizioni di ineleggibilità o decadenza previste dall’art. 2382 del codice civile;
• siano stati radiati da albi professionali per motivi disciplinari;
• abbiano riportato condanna, anche se con pena condizionalmente sospesa, salvi gli effetti della riabilitazione, per uno dei delitti previsti dal R.D. 16 marzo 1942, n. 267 (legge fallimentare), o per uno dei delitti previsti dal titolo XI del Libro V del codice civile, o per un delitto non colposo, per un tempo non inferiore ad un anno; per un delitto contro la pubblica amministrazione, contro la fede pubblica, contro il patrimonio, contro l’economia pubblica;
• abbiano riportato una condanna, anche non definitiva, per uno dei reati previsti dal D.lgs. n. 231/2001 e s.m.i.;
• fermo quanto sopra disposto e salvi gli effetti della riabilitazione, siano stati sottoposti a misure di prevenzione disposte dall'autorità giudiziaria, ovvero siano stati condannati con sentenza irrevocabile per un qualsiasi reato.
b. Autonomia e indipendenza
Al fine di garantire la piena autonomia dei componenti dell’OdM, evitando qualsiasi forma di interferenza, condizionamento o conflitto di interessi, è previsto che sia l’organismo nel proprio complesso che i singoli componenti dello stesso, non debbano subire alcuna ingerenza nell’esercizio delle proprie attività da parte di ANCIC e dei fornitori aderenti al presente Codice di condotta. Nello svolgimento delle proprie funzioni di controllo, inoltre, l’OdM non sarà soggetto ad alcun potere gerarchico e disciplinare da parte di ANCIC e dei fornitori ad essa associati e si relazionerà direttamente con il Consiglio Direttivo di ANCIC. L’OdM adotterà le proprie decisioni senza che alcuno degli organi di ANCIC possa sindacarle.
c. Professionalità
Ai fini di un corretto ed efficiente svolgimento dei propri compiti, è essenziale che ciascun componente dell’OdV garantisca una adeguata professionalità, da intendersi come l’insieme delle conoscenze, delle esperienze e degli strumenti necessari ad un adeguato svolgimento delle funzioni assegnate. Per tale ragione, i componenti dovranno avere dimestichezza con la materia delle informazioni commerciali, con particolare riguardo ai profili di protezione dei dati personali.
4. Le attività dell’OdM, debitamente rendicontate, saranno finanziate da parte di ciascuno dei fornitori aderenti al presente Codice di condotta secondo quote, da pagare alla scadenza di ogni trimestre, determinate dal Consiglio Direttivo di ANCIC sulla base del numero dei dipendenti di ciascun aderente, secondo quattro fasce predeterminate.
5. Ai fini del controllo del rispetto del presente Codice di condotta da parte di tutti i soggetti ad esso aderenti, associati o meno ad ANCIC, l’OdM potrà in ogni momento e senza necessità di preavviso svolgere – anche delegandole a terzi soggetti appositamente delegati – tutte le verifiche ritenute opportune, ivi incluse ispezioni, sia in remoto che presso la sede dei fornitori, i quali saranno tenuti a prestare la massima collaborazione ai fini del proficuo svolgimento di tali attività.
6. L’OdM sarà altresì chiamato a gestire i reclami eventualmente insorti tra fornitori ed interessati, relativamente a violazioni del presente Codice di condotta. Fatto salvo il diritto dell’interessato alla presentazione di un reclamo al Garante e/o all’avvio di procedure giudiziali di tutela dei propri diritti ai sensi degli artt. 77 e 79 del Regolamento, ogni soggetto censito che ritenga che i propri diritti e le proprie libertà siano stati lesi da uno o più trattamenti svolti da un fornitore aderente al presente Codice di condotta, potrà proporre reclamo all’OdM, inviando apposita segnalazione scritta che dovrà contenere una breve descrizione dei fatti e del pregiudizio lamentato. La presentazione di un reclamo al Garante preclude l’avvio, o determina l’improcedibilità qualsiasi sia lo stato di svolgimento, di una procedura avente il medesimo oggetto o comunque attinente alle medesime questioni dinanzi all’OdM.
7. Entro cinque (5) giorni lavorativi dal ricevimento del reclamo da parte dell’interessato, l’OdM dovrà darne notizia al fornitore di servizi di informazione commerciale coinvolto, affinché quest’ultimo possa, entro i successivi trenta (30) giorni lavorativi, presentare le proprie memorie. Garantendo la pienezza del contraddittorio in ogni fase della procedura, qualora gli elementi acquisiti già consentano all’OdM di definire la controversia, quest’ultimo dovrà adottare la propria decisione entro quarantacinque (45) giorni lavorativi dalla data di deposito delle proprie memorie da parte del fornitore. Diversamente, l’OdM potrà richiedere ad entrambe le parti ulteriori precisazioni, così come l’acquisizione di documenti o lo svolgimento di audizioni, raccogliendo in ogni caso tutti gli elementi necessari alla definizione del reclamo, che non potrà avvenire oltre novanta (90) giorni lavorativi successivi alla data di presentazione dello stesso da parte dell’interessato.
8. In conseguenza dei controlli effettuati in esecuzione dei propri poteri, o delle decisioni adottate all’esito della procedura di reclamo di cui al precedente comma, l’OdM potrà decidere, fornendo adeguata motivazione, di applicare al fornitore, in dipendenza della gravità della violazione eventualmente riscontrata, una o più delle seguenti misure;
a. un richiamo formale indirizzato esclusivamente al fornitore;
b. un richiamo da pubblicarsi in apposita sezione del sito di ANCIC;
c. la sospensione temporanea dell’adesione al presente Codice di condotta;
d. la revoca dell’adesione al presente Codice di condotta.
9. Alla scadenza di ciascun semestre, l’OdM dovrà fornire al Garante un resoconto riassuntivo dei controlli e delle verifiche effettuate, delle procedure di reclamo definite e delle misure eventualmente adottate ai sensi del comma che precede.
Art. 13 – Modalità di adesione al Codice di condotta
1. Tutti i fornitori di servizi di informazione commerciale eventualmente non associati ad ANCIC possono aderire al presente Codice di condotta inviando formale richiesta alla Presidenza di ANCIC, corredata da una visura camerale aggiornata, dalla licenza ex art. 134 del T.U.L.P.S. e D.M. n. 269/2010 e dall’ultimo bilancio approvato. Entro i successivi tre (3) giorni il Presidente di ANCIC, datane notizia al Consiglio Direttivo, inoltrerà la richiesta e la documentazione ricevuta all’OdM, affinché quest’ultimo possa verificare l’assenza, anche alla luce dello Statuto di ANCIC, di circostanze ostative all’adesione del fornitore richiedente.
2. Entro 30 (trenta) giorni dall’inoltro della richiesta di adesione da parte della Presidenza di ANCIC, l’OdM, accertato il possesso da parte del richiedente dei necessari requisiti, anche in riferimento agli obblighi di contribuzione di cui al precedente art. 12.4, provvederà a darne notizia al Consiglio Direttivo di ANCIC, affinché quest’ultimo possa deliberare formalmente la nuova adesione, dandone informazione al Garante, entro i 5 (cinque) giorni successivi, affinché l’autorità possa aggiornare il registro di cui all’art. 40, paragrafo 11, del Regolamento.
3. L’eventuale mancata accettazione della domanda di adesione al Codice di condotta regolarmente presentata da parte di un fornitore di servizi di informazione commerciale dovrà essere brevemente motivata da parte dell’OdM, fermo restando che tale diniego non preclude il successivo rinnovo della domanda di adesione. In quest’ultimo caso, tuttavia, il fornitore di servizi di informazione commerciale richiedente dovrà allegare alla nuova istanza una breve nota che illustri le misure adottate per superare le ragioni che avevano condotto al precedente diniego.
Art. 14 - Disposizioni transitorie e finali
1. Le misure necessarie per l’applicazione del presente Codice di condotta sono adottate dai soggetti tenuti a rispettarlo entro il termine di cui al successivo art. 15.
2. L’associazione di categoria che sottoscrive il presente Codice di condotta può promuovere il riesame e l’eventuale modifica dello stesso, anche alla luce di novità normative, delle prassi applicative del Regolamento, del progresso tecnologico o dell’esperienza acquisita nella sua applicazione.
Art. 15 - Entrata in vigore
1. Il presente Codice di condotta è approvato in data 12 giugno 2019, con efficacia subordinata all’accreditamento dell’OdM ai sensi dell’art. 41 del Regolamento.
Fonte: Garante Privacy