Il TAR detta regole restrittive per i DPO persone giuridiche

Approvato il Codice di Condotta degli info provider

Con proprio provvedimento del 29 aprile scorso, il Garante privacy ha definitivamente approvato il codice di condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale (di seguito, il Codice, qui)[1].

Il testo è stato predisposto dall’ANCIC (Associazione Nazionale tra le Imprese di Informazioni Commerciali e di Gestione del Credito) e si applica a tutti i suoi associati nonché a coloro che volontariamente vi aderiscono quali prestatori di servizi ai sensi dell’art. 134 del T.U.L.P.S. e del D.M. n. 269/2010[2].

Al di là di alcune enunciazioni di principio – che altro non fanno che riprodurre quanto già disposto dal GDPR – il Codice di condotta individua le garanzie e le modalità adeguate per il trattamento dei dati personali nello svolgimento delle attività degli info provider.

Vediamo in estrema sintesi quali novità sono introdotte.

I dati oggetto di trattamento

Il trattamento di dati personali effettuato nello svolgimento di attività di informazione commerciale non può riguardare le categorie particolari di dati personali di cui all’art. 9 GDPR (i cc.dd. dati sensibili, ovvero i dati che riguardano la salute, l’orientamento sessuale, politico o filosofico, ecc.) né i dati relativi a condanne penali e reati di cui all’art. 10 GDPR. Per quest’ultima categoria di dati è prevista tuttavia una eccezione per le informazioni raccolte presso fonti pubbliche o pubblicamente accessibili (su questa distinzione, vedi successivo paragrafo 2).

È poi possibile trattare anche i dati personali di persone diverse dal soggetto censito (colui di cui si cercano le informazioni) se le prime sono legate al secondo «sul piano giuridico o economico», e cioè quando il censito sia in possesso o controllo diretto od indiretto di una percentuale di quote o azioni in società con altro soggetto (vedi le specifiche soglie all’art. 8 del Codice); ovvero eserciti effettivi poteri di amministrazione, direzione, gestione e controllo di una impresa o società.

Fonti pubbliche pubblicamente accessibili

Il Codice compie una distinzione sulle fonti dalle quali si estraggono i dati per le finalità commerciali:

  • fonti pubbliche: pubblici registri, gli elenchi, gli atti o i documenti conoscibili da chiunque in base alla vigente normativa (es.: registro delle imprese, registro informatico dei protesti, atti immobiliari, atti pregiudizievoli ed ipocatastali conservati nei registri gestiti dall’Agenzia delle Entrate, ecc.).
  • fonti pubblicamente o generalmente accessibili: quotidiani e testate giornalistiche, elenchi telefonici, siti Internet liberamente accessibili a chiunque appartenenti (i) al soggetto censito (o ai soggetti legati al censito «sul piano giuridico o economico» ai sensi dell’art. 8 del Codice); (ii) ad enti pubblici; (iii) associazioni di categoria; (iv) quotidiani e testate on line previa loro conferma delle informazioni.

La distinzione tra fonti pubbliche e pubblicamente accessibili rileva ai fini della legittimità della raccolta dei dati relativi a condanne penali e reati di cui ho accennato al precedente paragrafo 1.

Infatti, ai fini dell’erogazione del servizio di informazione commerciale è ammesso il trattamento di tali dati solo se provenienti da fonti pubbliche; per quanto riguarda, invece, le fonti pubblicamente e generalmente accessibili, è consentito il trattamento dei soli dati relativi a condanne penali e reati diffusi negli ultimi sei mesi, a partire dalla data di ricezione della richiesta del servizio da parte del committente e senza alcuna possibilità per il fornitore di utilizzarle tali informazioni a fini dell’elaborazione di informazioni valutative.

Informativa

Fonti pubbliche e pubblicamente accessibili sono poi utili anche per identificare i dati rispetto ai quali l’informativa può essere resa in forma semplificata. In tali casi, infatti, il fornitore rende l’informativa all’interessato in forma non individuale attraverso la pubblicazione sul portale Internet www.informativaprivacyancic.it costituito a tale specifico fine da ANCIC.

Consenso dell’interessato

Le fonti pubbliche e pubblicamente accessibili rilevano anche in tema di consenso.

Per i dati provenienti da tali fonti, infatti, il consenso del soggetto censito non è necessario, anche quando finalizzato alla formulazione – compiuta con processi automatizzati o analisi e valutazioni svolte da esperti – di un giudizio sulla solidità, solvibilità e affidabilità o comunque volto all’elaborazione di informazioni valutative. Si presume in questi casi la sussistenza di un legittimo interesse dei fornitori che prestano i servizi di informazioni commerciali, e quindi dei committenti che li richiedono (nonché dell’interesse comune alla lealtà delle transazioni commerciali e al buon funzionamento del mercato).

(Segue) Profilazione

In nessun caso i fornitori possono elaborare le informazioni valutative per conto dei committenti per fini di profilazione dei censiti (es. scoring su solidità, solvibilità ed affidabilità o capacità economica dell’interessato) volta a produrre effetti giuridici o «effetti che incidono significativamente sull’interessato» (art. 22 GDPR). Ogni decisione che incide sui diritti e le libertà dell’interessato è infatti rimessa esclusivamente ai committenti ed è basata sull’insieme dei dati personali ed informazioni in loro possesso e non unicamente sulle informazioni valutative elaborate e comunicate dai fornitori.

Con riguardo alla profilazione che produce effetti giuridici o significativi per l’interessato, va qui aggiunto che ai sensi dell’art. 10.2 del Codice, il censito può esercitare il diritto di opposizione direttamente nei confronti dei committenti (art. 22 GDPR).

Informazioni relative ad eventi negativi

Qualora le informazioni provenienti da fonti pubbliche siano riferite ad eventi negativi (es. fallimenti o procedure concorsuali, pregiudizievoli, ipoteche o pignoramenti, protesti), il fornitore può trattare solo i dati che riguardino direttamente il soggetto censito, con esclusione quindi di familiari o affini.

Il fornitore può tuttavia indicare al committente «la sola circostanza dell’esistenza di altre informazioni e/o rapporti informativi relativi ad ulteriori interessati legati sul piano giuridico e/o economico al soggetto censito».

Possono inoltre essere associate al censito le informazioni pregiudizievoli relative alle persone giuridiche in cui questi ha rivestito cariche particolari nei dodici mesi precedenti l’evento negativo. I casi in cui si può rendere informativa su eventi negativi associati al censito sono dettagliatamente indicati all’art. 8 del Codice e richiedono da parte dei fornitori senz’altro l’adozione di sistemi informatici di gestione finemente calibrati per filtrare solo le informazioni che si possono comunicare al committente.

Data retention

Le informazioni relative agli eventi negativi possono essere conservate dai fornitori entro i seguenti limiti temporali.

  • Informazioni relative a fallimenti o procedure concorsuali: 10 anni dalla data di apertura della procedura del fallimento;
  • informazioni relative ad atti pregiudizievoli ed ipocatastali (ipoteche e pignoramenti): 10 anni dalla data della loro trascrizione o iscrizione, salva l’eventuale loro cancellazione prima di tale termine, nel qual caso verrà conservata per un periodo di 2 anni l’annotazione dell’avvenuta cancellazione;
  • i dati personali provenienti dalle fonti pubbliche o pubblicamente accessibili: per il periodo di tempo in cui rimangono conoscibili e/o pubblicati nelle fonti pubbliche da cui provengono.

Organismo di monitoraggio (OdM)

Il Codice disciplina anche l’OdM, ovvero l’organismo accreditato da parte del Garante ai sensi dell’art. 41 GDPR e preposto al controllo della conformità alle disposizioni del Codice da parte di tutti i fornitori ad esso aderenti.

L’OdM deve essere un organismo esterno all’ANCIC, composto da membri di comprovata competenze in materia di trattamento dati personali (con requisiti di onorabilità, indipendenza, imparzialità) in carica per 5 anni.

Francesco Rampone – f.rampone@lascalaw.com

© RIPRODUZIONE RISERVATA

[1] Il Codice era già stato approvato il 12 giugno 2019 (qui) subordinando tuttavia la sua efficacia all’accreditamento dell’Organismo di Monitoraggio (OdM, vedi infra) ai sensi dell’art. 41 GDPR. Con provvedimenti del 10 giugno 2020 n. 98 (qui) e 11 febbraio 2021 (qui), il Garante ha quindi: prima approvato i requisiti per l’accreditamento, e poi ha accreditato l’OdM, disponendo altresì che si provvedesse all’approvazione di una versione definitiva del codice di condotta anche nelle parti relative all’OdM. Il testo odierno, pertanto, recepisce le modifiche necessarie a seguito dell’accreditamento dell’OdM.

[2] Non rientra nell’ambito di applicazione del Codice di condotta il trattamento dei dati personali effettuato nell’ambito dei sistemi informativi creditizi (c.d. SIC) in riferimento al quale sono previste norme specifiche, anche di natura deontologica.

Print Friendly, PDF & Email

Condividi su

Potrebbe interessarti anche
Il fornitore non è sempre responsabile del trattamento

Fastweb sanzionata per oltre 4.5 milioni di euro. È assai utile analizzare il lungo e articolato...

Privacy

Il fornitore non è sempre responsabile del trattamento

Anche questa volta si tratta di Facebook, azienda non nota per il rispetto della privacy dei suoi ut...

Privacy

Il fornitore non è sempre responsabile del trattamento

COVID e iniziative del Garante È recentemente circolata la notizia di tre sanzioni pecuniarie da...

Coronavirus

X