Primo Codice di Condotta approvato dal Garante

Posted on 22 luglio 2019 by Paola Generali in 2019, News

L’Autorità italiana Garante per la Protezione dei Dati Personali ha approvato, con provvedimento n. 127 del 12 giugno 2019, il primo Codice di Condotta post-GDPR e nello specifico avanzato dall’Associazione nazionale tra le imprese di informazioni commerciali e di gestione del credito (ANCIC) avente ad oggetto, per l’appunto, il trattamento dei dati personali in materia di informazioni commerciali,ossia informazioni relative ad aspetti patrimoniali, economici, finanziari, creditizi, aziendali, industriali, organizzativi e produttivi imprenditoriali e professionali di una persona fisica (ad esclusione però di quello effettuato nell’ambito dei sistemi informativi creditizi).

Il nuovo Codice di Condotta sostituirà l’attuale codice deontologico in materia, il quale però, continuerà ad avere efficiacia fino al 19 settembre 2019 sostenendo così le imprese nel graduale processo di compliance.

Nonostante l’ufficiale e definitiva approvazione del testo, l’efficacia del codice è subordinata all’istituzione del relativo Organismo di Monitoraggio, così come stabilito dall’art. 41 GDPR. Infatti, il controllo della conformità e il monitoraggio dell’osservanza di un codice di condotta deve essere effettuato da un Organismo accreditato.

Le principali caratteristiche del Codice coinvolgono:

  • una maggiore tutela delle persone censite (relativa ad esempio alla redazione dell’informativa all’interessato, ai limiti di utilizzabilità dei dati di cui all’art. 9-10 GDPR nonchè all’obbligo di notifica al Garante e all’interessato in caso di data breach);
  • la valutazione d’impatto sulla protezione dati richiesta anche nell’ambito dei dati di fonte pubblica;
  • l’adeguamento alle best practices europee e l’attesa dei criteri uniformi da parte dell’European Data Protection Board;
  • il richiamo all’approccio basato sul rischio (tratto distintivo e innovativo apportato dal GDPR);
  • l’adozione di misure tecniche, informatiche, procedurali, fisiche ed organizzative (tra cui pseudonimizzazione, disaster recovery, business continuity), identificabili nel concetto di privacy by design e tese a prevenire e minimizzare un data breach.

I soggetti operanti nelle attività di informazione commerciale si impegnano al rispetto dei diritti, delle libertà fondamentali e della dignità delle persone interessate, in particolare del diritto alla protezione dei dati personali, del diritto alla riservatezza e del diritto all’identità personale.

Merita attenzione l’art. 6 del Codice: il trattamento per finalità di informazione commerciale eseguito dalle imprese aderenti al Codice rende, in questo caso, non necessario il consenso dell’interessato, essendo il trattamento necessario al perseguimento dei legittimi interessi dei Titolari, all’interesse comune alla lealtà delle transazioni commerciali ed al buon funzionamento del mercato, purchè il trattamento sia rigorosamente effettuato nell’osservanza delle disposizioni del codice medesimo e in particolare dell’art. 4 “Fonti di provenienza e modalità di trattamento delle informazioni commerciali”.

Sono inoltre individuate modalità di trattamento dei dati personali poste a tutela dei diritti degli interessati per garantire sia la certezza e la trasparenza nei rapporti commerciali, l’adeguata conoscenza e circolazione delle informazioni commerciali ed economiche sia la qualità, la pertinenza, l’esattezza e l’aggiornamento dei dati (relativamente, ad esempio, al periodo di conservazione delle informazioni, alla designazione di un DPO in determinati casi, ai criteri di onorabilità, autonomia, indipendenza e professionalità dei membri dell’OdM, nonchè all’istituzione di una specifica procedura di reclamo gestita dell’OdM stesso). 

Obiettivo del Codice di Condotta è precisare l’applicazione delle disposizioni del Regolamento nello specifico settore delle attività di informazione commerciale, per permettere ai soggetti operanti in tale ambito, quali titolari del trattamento, di utilizzare l’adesione al presente Codice come elemento per dimostrare il rispetto degli obblighi applicabili, ai sensi dell’art. 24, paragrafo 3, del GDPR. Tuttavia l’adesione al Codice non si traduce nell’automatica e integrale conformità al GDPR nè comporta l’immunità dei soggetti Titolari: tale adesione esprimerà però un elemento a comprova delle garanzie di protezione dei dati adottate.

Link: https://www.garanteprivacy.it/docweb/9119868

 

Tagged as

Posted by Paola Generali

Managing Director Getsolution

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *