Codice di condotta imprese Ancic, ok del Garante privacy: perché è una svolta - Cyber Security 360

La normativa

Codice di condotta imprese Ancic, ok del Garante privacy: perché è una svolta

L’autorità italiana ha approvato la versione definitiva del codice di condotta elaborato dall’Ancic, Associazione nazionale tra le imprese di informazioni commerciali e di gestione del credito: è il primo in ambito privato integrato dopo l’iter di accreditamento dell’organismo di monitoraggio

18 Mag 2021
C
Anna Cataleta

Senior Partner P4I – Partners4Innovation

O
Mariaconcetta Oddo

Legal Consultant P4I - Partners4Innovation

Il Garante privacy ha approvato la versione definitiva del Codice di condotta sulle informazioni commerciali, elaborato dall’Ancic, l’Associazione nazionale tra le imprese di informazioni commerciali e di gestione del credito.

Tale pubblicazione rappresenta una grande novità nel mondo della protezione dei dati personali in quanto si tratta del primo codice di condotta, in ambito privato, adottato ai sensi dell’art. 40 del GDPR aggiornato e integrato dopo la conclusione dell’iter di accreditamento dell’Organismo di monitoraggio (OdM) così come previsto dall’art. 41 del GDPR.

Cosa dice il codice di condotta Ancic

I codici di condotta sono lo strumento che il legislatore europeo ha individuato per contestualizzare l’applicazione del GDPR e facilitarne l’applicazione, oltre che in funzione delle specificità dei vari settori di trattamento, anche per tener conto delle esigenze delle micro, piccole e medie imprese.

GDPR, codici di condotta e certificazioni: lo stato dell’arte tra sfide e opportunità

L’elemento più rilevante dell’adozione definitiva del Codice di condotta sulle informazioni commerciali è costituito dal delineamento di una serie di regole certe per le imprese del settore. In particolare, il Garante chiarisce ad esempio che “le società che offrono informazioni sull’affidabilità commerciale di imprenditori e manager potranno trattare i dati personali dei soggetti censiti senza richiederne il consenso, basandosi sul legittimo interesse, ma dovranno garantire maggiori tutele agli interessati, informandoli correttamente sui trattamenti effettuati e assicurando loro il pieno esercizio dei diritti previsti dalla normativa privacy, come l’opposizione al trattamento, la rettifica o l’aggiornamento dei dati”.

Un progetto di codice di condotta che comporti attività di trattamento di organismi o autorità non pubbliche deve infatti individuare un organismo di controllo, come parte integrante del codice stesso, nonché contenere meccanismi che consentano a tale organismo di svolgere le sue funzioni ai sensi dell’articolo 41 GDPR.

Per tale ragione con deliberazione del 12 giugno 2019 il Garante aveva approvato il codice di condotta per il trattamento dei dati personali in materia di informazioni commerciali presentato da Ancic, ma la sua efficacia era subordinata al completamento della fase di accreditamento dell’organismo di monitoraggio da parte dell’Autorità nel rispetto delle disposizioni di cui al Regolamento europeo in materia di privacy.

Come funziona l’organismo di monitoraggio

La grande novità con riferimento al codice di condotta sulle informazioni commerciali consiste, altresì, nella definizione, per la prima volta, di regole e modalità per il corretto funzionamento dell’OdM.

Tra i compiti previsti dell’Organismo di monitoraggio vi è la verifica dell’osservanza del Codice di condotta da parte degli aderenti e la risoluzione di eventuali reclami. L’organismo, esterno all’Ancic, è formato da cinque componenti, con un incarico quinquennale non rinnovabile.

Ciascun membro dell’OdM deve garantire un adeguato livello di competenza e un’approfondita conoscenza in materia di informazioni commerciali e di protezione dei dati, deve assicurare la massima imparzialità ed indipendenza e deve evitare ogni situazione di conflitto di interessi.

È bene ricordare che l’adozione di un organismo di monitoraggio non si applica, ai sensi dell’art. 41. 6 del GDPR, al trattamento effettuato da autorità pubbliche o da organismi pubblici.

In conformità a tale previsione il Codice di condotta per l’utilizzo di dati sulla salute a fini didattici e di pubblicazione scientifica della Regione Veneto pubblicato nella versione finale dal Garante privacy con Provvedimento del 14 gennaio 2021 che disciplina le modalità attraverso le quali i dati sulla salute possono essere utilizzati per fini didattici e di redazione di pubblicazioni scientifiche da parte dei professionisti sanitari, è privo infatti della definizione di un organismo di monitoraggio.

Codici di condotta e framework normativo

Prima dell’entrata in vigore del Regolamento UE 679/2016 “GDPR”, all’art. 12 del vecchio Codice Privacy, il Garante promuoveva la sottoscrizione di codici di deontologia e buona condotta nell’ambito delle categorie interessate, nell’osservanza del principio di rappresentatività e tenendo conto dei criteri direttivi delle raccomandazioni del Consiglio d’Europa sul trattamento di dati personali.

Nel corso degli anni sono stati approvati infatti sette codici elaborati per specifici settori nell’ambito delle categorie di riferimento la cui verifica di conformità era demandata al Garante Privacy che, a tal fine, prendeva in considerazione anche le eventuali osservazioni di soggetti interessati e poi ne curava la pubblicazione e l’inserimento nell’Allegato A del vecchio Codice Privacy.

Il rispetto delle disposizioni contenute nei suddetti codici costituiva condizione essenziale per la liceità e correttezza del trattamento dei dati personali effettuato dai soggetti operanti nei settori regolati dai codici stessi.

I codici di deontologia e buona condotta, previa verifica del Garante sulla compatibilità delle norme in essi contenute con il dettato del GDPR, si sono trasformati nel nucleo originario delle regole deontologiche.

Fanno eccezione a tale processo di conversione, il Codice di deontologia e di buona condotta per i Sistemi Informativi gestiti da soggetti privati in tema di Crediti al consumo (SIC), affidabilità e puntualità nei pagamenti (ex allegato A.5) e il Codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale, rispettivamente riportati negli allegati A5 e A7 al previgente Codice Privacy.

Ai sensi dell’art. 20, comma 1, del D. Lgs. 101/2018 tali codici, in vigore fino al termine del processo di adeguamento al GDPR e di successiva conversione in «codici di condotta» ex art. 40 GDPR, sono stati sottoposti al Garante privacy dalle associazioni e gli altri organismi rappresentanti le categorie interessate.

Le indicazioni del GDPR

Il considerando 98 del GDPR prevede che “Le associazioni o altre organizzazioni rappresentanti le categorie di titolari del trattamento o di responsabili del trattamento dovrebbero essere incoraggiate a elaborare codici di condotta, nei limiti del presente regolamento, in modo da facilitarne l’effettiva applicazione, tenendo conto delle caratteristiche specifiche dei trattamenti effettuati in alcuni settori e delle esigenze specifiche delle microimprese e delle piccole e medie imprese.

In particolare, tali codici di condotta potrebbero calibrare gli obblighi dei titolari del trattamento e dei responsabili del trattamento, tenuto conto del potenziale rischio del trattamento per i diritti e le libertà delle persone fisiche”.

L’adozione di un codice di condotta permette di:

  1. facilitare l’ottemperanza delle norme in materia di privacy da parte di un’intera categoria di titolari e responsabili;
  2. affrontare in modo efficiente, uniforme e con economia di mezzi questioni e difficoltà comuni, emerse in determinati settori o relativamente a specifiche attività;
  3. garantire l’osservanza dei principi in materia di protezione dei dati personali, anche sotto il profilo economico;
  4. consentire al Titolare o al Responsabile di meglio comprovare il rispetto del principio di responsabilizzazione;
  5. prevedere strutture e procedure che assicurino un monitoraggio effettivo dell’attività svolta, assieme a misure che assicurino una totale compliance.

Nella fase di predisposizione del codice di condotta, il Garante privacy assume un ruolo cardine, egli è chiamato ad esprime un parere sul progetto di codice di condotta ovvero sulla relativa modifica o proroga e, ove ritiene, che lo stesso offra in misura sufficiente garanzie adeguate di conformità al GDPR lo approva, lo registra e infine lo pubblica.

I soggetti responsabili del codice di condotta possono decidere se ricorrere a organismi di controllo esterni o interni a condizione che in entrambi i casi l’organismo in questione soddisfi i requisiti di accreditamento di cui all’articolo 41.2 GDPR. L’accreditamento costituisce condizione necessaria per l’approvazione di un codice di condotta da parte del Garante e si ottiene se l’organismo dimostra di avere specifici requisiti

Il GDPR e le “Linee guida 1/2019 sui codici di condotta e sugli organismi di monitoraggio a norma del Regolamento (UE) 2016/679” adottate il 4 giugno 2019 dal Comitato europeo per la protezione di dati, fissano un quadro organico di riferimento per la definizione dei requisiti che l’Organismo di monitoraggio deve soddisfare per ottenere l’accreditamento.

I requisiti previsti dal Garante privacy

A tal fine il Garante con provvedimento del 10 giugno 2020 ha pubblicato i Requisiti per l’accreditamento degli organismi di monitoraggio dei codici di condotta. Tra i requisiti vi sono quelli di poter assolvere ai propri compiti di controllo con piena indipendenza e imparzialità; disporre di procedure documentate atte a gestire il rischio di eventuali conflitti di interesse per l’intera durata del suo mandato; possedere un adeguato livello di competenza per il corretto svolgimento dei propri compiti di controllo in relazione allo specifico codice di condotta; disporre di procedure idonee a valutare l’ammissibilità dei titolari e dei responsabili del trattamento ad aderire e ad applicare il codice di condotta; riuscire a gestire in modo trasparente e imparziale i reclami aventi ad oggetto le violazioni del codice di condotta da parte degli aderenti.

In altre parole, il codice di condotta consente di aderire alle regole generali del GDPR nel settore specifico di riferimento nonché aiutare gli esercenti a impostare correttamente i loro processi e individuare i punti su cui prestare attenzione.

Conclusioni

La pubblicazione dei due codici di condotta ex art. 40 del GDPR sia in ambito pubblico che privato dimostra la volontà del Garante di voler affidare a soggetti privati la predisposizione di un insieme di regole operative, affidabili e specifiche per settore, previa sua approvazione, mediante una rapida ed efficace forma innovativa di soft-law.

L’auspicio è quello che i titolari di micro, piccole e medie imprese possano trarre vantaggio da tale strumento messo a disposizione dal GDPR per adempiere agli obblighi derivanti dallo stesso e, più in generale, dalla normativa nazionale. La pubblicazione dei due codici ex art. 40 del GDPR fa ben sperare che tali strumenti possano essere visti dalle PMI quali strumenti che facilitino l’applicazione della normativa e non come strumenti di difficile approccio e soggetti ad un complesso iter di approvazione.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5