As by Order No. 181 dated April 29th 2021, Italian Data Protection Authority approved the final version of “The Code of Practice regarding Processing Personal Data related to Business Information Purposes” which aims at regulating personal data processing by providers of this kind of services intending to implement it, in compliance with applicable data protection legislation.
IL FATTO:
L’efficacia del Codice, elaborato dall’Associazione Nazionale tra le Imprese di Informazioni Commerciali e di Gestione del Credito (“ANCIC”) e già approvato dal Garante in versione provvisoria con precedente provvedimento del 12 giugno 2019, era stata sospesa in attesa della conclusione dell’iter di accreditamento dell’Organismo di monitoraggio (OdM), ovverosia del soggetto incaricato della verifica del rispetto del suddetto codice da parte degli operatori ad esso aderenti e della risoluzione dei reclami avanzati dagli interessati.
A valle dell’accreditamento, ottenuto nel mese di febbraio 2021, il Garante aveva richiesto ad ANCIC di provvedere all’aggiornamento del Codice, nelle sezioni relative all’OdM, da sottoporre a definitiva approvazione da parte dell’Autorità.
Le modifiche apportate al testo del documento nella sua versione definitiva riguardano principalmente l’art. 12, rubricato “Controllo sul rispetto del Codice di condotta e organismo di monitoraggio”, che descrive la composizione dell’OdM (cinque membri), la durata dell’incarico (quinquennale) e i requisiti di onorabilità, autonomia, indipendenza e professionalità richiesti ai singoli membri, nel rispetto del Regolamento (UE) 2016/679 e delle “Linee guida 1/2019 sui codici di condotta e sugli organismi di monitoraggio” adottate dal Comitato Europeo per la Protezione dei Dati. L’articolo disciplina sinteticamente anche il processo di gestione e risoluzione dei reclami ricevuto dall’OdM, nonché le sanzioni erogabili nei confronti degli aderenti, che vanno dal richiamo formale all’esclusione dell’operatore dal Codice.
Un’ulteriore lieve modifica è stata apporta, dietro suggerimento del Garante, all’art. 10, in materia di esercizio dei diritti dell’interessato, di modo da rendere il Codice più aderente al dettato dell’art. 20 del GDPR, relativo al diritto di portabilità.
Nessun aggiornamento invece per quanto riguarda la sostanza del Codice, che rimane invariato rispetto alla precedente versione, promuovendo un’applicazione consapevole, trasparente ed effettiva della vigente normativa, nel pieno rispetto del principio di responsabilizzazione stabilito dal GDPR, e prevedendo espressamente la possibilità per le società che offrono informazioni sull’affidabilità commerciale di imprenditori e manager di trattare i dati personali dei soggetti censiti senza richiederne il consenso, basandosi sul legittimo interesse, seppur condizionata all’adozione di misure tecniche, informatiche, procedurali, fisiche e organizzative adeguate al rischio. I fornitori aderenti sono inoltre tenuti a nominare un Responsabile della Protezione dei Dati ed a condurre specifiche valutazioni d’impatto ex art. 35 del GDPR.
PERCHÉ È IMPORTANTE:
L’adozione definitiva del Codice di condotta sulle informazioni commerciali è una novità di rilievo che consentirà agli operatori del settore di operare in un quadro di regole certe, garantendo al contempo maggiori tutele per gli interessati.