Consulenza e Formazione Sicurezza, Medicina Del Lavoro, Sistemi Di Gestione, Qualità, Privacy, Ambiente e Modelli Organizzativi

Approvato il codice di condotta per il trattamento dei dati personali in materia di informazioni commerciali

Con deliberazione dello scorso 12 giugno, il Garante per la protezione dei dati personali ha approvato, sulla base dell’articolo 20 del D.Lgs. 101/2018, il Codice di condotta per il trattamento dei dati personali in materia di informazioni commerciali sottoscritto dall’Associazione Nazionale tra le Imprese di Informazioni Commerciali e di Gestione del Credito (“ANCIC”), applicabile unicamente a livello nazionale per attività di trattamento limitate al territorio dello Stato italiano.

In via preliminare, occorre considerare alcune definizioni:

  • per “informazione commerciale” si intende il dato relativo ad aspetti patrimoniali, economici, finanziari, creditizi, aziendali, industriali, organizzativi e produttivi imprenditoriali e professionali di una persona fisica;
  • una “attività di informazione commerciale” consiste nella fornitura di servizi di informazione commerciale che comportano il trattamento (ricerca, raccolta, registrazione, organizzazione, analisi, elaborazione, stime e giudizi, comunicazione) di informazioni commerciali;
  • la finalità è quella di fornire informazioni ai committenti per verifiche sulla situazione economica, finanziaria e patrimoniale degli interessati, nonché sulla loro solidità, solvibilità ed affidabilità, in relazione a legittime esigenze connesse, ad esempio, all’analisi e alla definizione delle strategie e politiche di business, all’individuazione di soggetti per l’avvio di nuovi rapporti commerciali, all’instaurazione e gestione di rapporti, anche precontrattuali, alla fornitura agli interessati di beni, prestazioni e servizi ed alle relative modalità e condizioni di pagamento, all’adempimento dei correlati obblighi normativi, anche in materia di antiriciclaggio, alla prevenzione e contrasto di frodi e alla tutela dei relativi diritti da parte dei committenti, anche in sede giudiziaria;
  • il servizio è richiesto da terzi (i “committenti”, soggetti privati o pubblici) ai fornitori (soggetti privati definiti dall’art. 134 TULPS e D.M. 269/2010, in sostanza Istituti di Vigilanza e Investigatori) e riguarda le operazioni di trattamento, sopra elencate, circa le informazioni provenienti da fonti pubbliche, pubblicamente e generalmente accessibili da chiunque;
  • l’interessato è il soggetto censito, ovvero quello cui si riferiscono il servizio di informazione commerciale o il rapporto informativo (redatto in forma cartacea o elettronica) richiesti dal committente;
  • il servizio commissionato mira ad elaborare informazioni valutative, cioè alla formulazione di un giudizio (anche in termini predittivi o probabilistici ed in forma di indicatori sintetici alfanumerici, codici o simboli) e alla classificazione del soggetto censito (in base alla solidità, solvibilità ed affidabilità o capacità economica).
    Tale valutazione può risultare da un processo statistico o da un modello prestabilito, automatizzato e impersonale di elaborazione delle informazioni, oppure emesso sulla base di analisi e valutazioni effettuate da esperti analisti.

È importante sottolineare i requisiti dell’informazione commerciale.

Il trattamento dei dati personali non può riguardare né le categorie particolari di dati elencati dall’art. 9 par. 1 del GDPR, né i dati giudiziari di cui all’art. 10, eccetto quelli provenienti da fonti pubbliche e trattati per il perseguimento di un legittimo interesse del Titolare.

Inoltre, i dati personali raccolti e trattati dal fornitore possono riguardare sia l’interessato quale soggetto censito, sia le persone fisiche o altri soggetti legati sul piano giuridico e/o economico al soggetto (ad esempio, partecipazione ad un’impresa attraverso il possesso di una percentuale di quote o azioni; esercizio di effettivi poteri di amministrazione, direzione, gestione e controllo di una società), anche se diversi da una persona fisica.

Occorre successivamente chiarire quali siano le fonti di provenienza e le modalità di trattamento delle informazioni.

Il fornitore può raccogliere dati personali presso il soggetto censito, presso fonti pubbliche (registri pubblici, elenchi e atti, come il registro delle imprese, bilanci, visure, camerali, atti immobiliari, tra cui ipoteche e pignoramenti), pubblicamente e generalmente accessibili da chiunque (come quotidiani cartacei e online, elenchi telefonici e siti internet appartenenti ad enti pubblici e governativi, autorità di vigilanza e controllo, ordini professionali) o presso altri soggetti autorizzati dalla legge alla distribuzione e fornitura delle informazioni.

Sarà necessario per il fornitore rendere l’informativa all’interessato, in forma non individuale, attraverso misure appropriate, secondo quanto disposto dall’art. 14, paragrafo 5, lett. b) del Regolamento e rispettando il dettato dei paragrafi 1 e 2. In particolare, attraverso il portale Internet www.informativaprivacyancic.it, unico canale a disposizione dei fornitori aventi un fatturato annuale non superiore a trecentomila euro.

Il Garante ha precisato che ciascun fornitore si configura come Titolare autonomo del trattamento.

Liceità del trattamento e legittimi interessi perseguiti.

Il trattamento per finalità di informazione commerciale di dati personali non richiede il consenso dell’interessato, essendo necessario al perseguimento dei legittimi interessi sia dei fornitori sia dei committenti che li richiedono per legittime verifiche, nonché dell’interesse comune alla lealtà delle transazioni commerciali ed al buon funzionamento del mercato.

Occorre evidenziare che in nessun caso l’elaborazione di informazioni valutative da parte dei fornitori determina o implica l’adozione di una decisione, da parte dei fornitori stessi, che produca effetti giuridici o che in ogni caso incida significativamente in modo analogo sull’interessato. Ogni decisione che incida sui diritti e le libertà dell’interessato è infatti rimessa esclusivamente ai committenti ed è basata sull’insieme dei dati personali ed informazioni in loro possesso e non unicamente sulle informazioni valutative elaborate e comunicate dai fornitori.

Utilizzo delle informazioni.

Qualora le informazioni provenienti da fonti pubbliche siano riferite ad eventi negativi (ad esempio fallimenti), il fornitore deve utilizzare unicamente le informazioni che riguardino direttamente il soggetto censito e, se l’interessato è una persona fisica che non svolga attività d’impresa, non ricopra cariche sociali o non detenga partecipazioni rilevanti in una società, soltanto le informazioni relative a protesti ed atti pregiudizievoli che lo riguardino direttamente. In tal caso, il fornitore si limita a indicare la sola circostanza dell’esistenza di altre informazioni relativi ad ulteriori interessati, senza che tali informazioni possano essere direttamente associate all’interessato quale soggetto censito, né tanto meno utilizzate per l’elaborazione di informazioni valutative riferite a quest’ultimo. Unica eccezione a questo regime è la facoltà per il fornitore, qualora il soggetto censito sia una persona fisica, di associare direttamente all’interessato ed utilizzare per l’elaborazione di informazioni valutative riferite a quest’ultimo, anche le informazioni provenienti da fonti pubbliche che si riferiscono ad  eventi negativi relativi ad imprese o società nelle quali lo stesso interessato  (soggetto censito) rivesta o abbia rivestito, nei dodici mesi precedenti il verificarsi dell’evento negativo, cariche o qualifiche come il professionista (operatore economico), il titolare di ditta individuale, il socio di società semplici e alcune figure peculiari nelle società di capitali.

Tempi di conservazione.

Fatti salvi i termini più restrittivi previsti da specifiche norme di legge, le informazioni provenienti da fonti pubbliche ed attinenti ad eventi negativi sono conservate dal fornitore per un periodo di tempo non superiore a 10 anni dalla data di apertura della procedura del fallimento in caso di fallimenti o procedure concorsuali, per un periodo di tempo non superiore a 10 anni dalla data della loro trascrizione o iscrizione in caso di ipoteche e pignoramenti.

Tali limiti si applicano anche nei confronti delle informazioni riferite a titolari di imprese individuali e professionisti.

Esercizio dei diritti.

Restano ferme tutte le disposizioni in tema di esercizio dei diritti da parte degli interessati di cui agli artt. 15, 16, 17, 18, 19 e 21 del Regolamento. È di regola esclusa il diritto alla portabilità dei dati di cui all’art. 20 del Regolamento nei confronti dei fornitori, con la sola eccezione in cui il trattamento di dati personali raccolti dal fornitore direttamente presso l’interessato avvenga attraverso mezzi automatizzati e sia finalizzato all’esecuzione di un contratto con il medesimo interessato. Il diritto di cui all’art. 22 del Regolamento a non essere sottoposti ad una decisione basata unicamente su un trattamento automatizzato, potrà essere esercitato solo nei confronti dei committenti.

Misure tecniche e organizzative.

Secondo un approccio basato sul rischio, i fornitori sono tenuti ad adottare misure tecniche, informatiche, procedurali, fisiche ed organizzative idonee ad assicurare ed essere in grado di dimostrare la conformità al Regolamento delle attività di trattamento svolte e l’osservanza dei criteri di protezione dei dati fin dalla progettazione e per impostazione predefinita, oltre che a garantire la sicurezza, l’integrità e la riservatezza delle informazioni commerciali oggetto di trattamento, così da prevenire o quantomeno minimizzare i rischi di distruzione, perdita, modifica e divulgazione non autorizzata o di accesso, in modo accidentale o illegale, a dati personali trattati.

Tali misure devono prevedere la pseudonimizzazione e, se del caso, la cifratura delle informazioni commerciali, a tutela della non diretta intelligibilità e/o riconducibilità delle stesse a specifici interessati

Ogni fornitore può ricorrere ad eventuali responsabili esterni e deve individuare le persone fisiche autorizzate al trattamento; qualora vi siano i presupposti di cui all’art. 37, lett. b) o c) del GDPR, occorre designare il DPO/RPD.

Infine, occorre menzionare che il rispetto del Codice di condotta da parte dei fornitori aderenti è garantito da un organismo di monitoraggio (esterno all’ANCIC e composta da 5 membri) costituito e accreditato ai sensi dell’articolo 41 del Regolamento. Tale organismo sarà addetto anche alla gestione degli eventuali reclami tra fornitori ed interessati.

Non è vincolante essere associati all’ANCIC per aderire al Codice di condotta.