Il Garante per il trattamento dei dati personali e ANCIC (Associazione Nazionale tra le Imprese di Informazioni Commerciali e di Gestione del Credito) hanno trovato l’intesa per l’approvazione del nuovo Codice di condotta per il trattamento dei dati ai fini di informazioni commerciali.
Codice di condotta imprese Ancic, ok del Garante privacy: perché è una svolta
Operatività del Codice di condotta
Il Codice avrà operatività sul territorio italiano e riguarderà il servizio di informazione commerciale, ossia “l’esecuzione di attività di ricerca, raccolta, registrazione, organizzazione, analisi, valutazione, elaborazione e comunicazione di informazioni provenienti da fonti pubbliche, da fonti pubblicamente e generalmente accessibili da chiunque, o altrimenti fornite direttamente dall’interessato, idonee a fornire una conoscenza aggiuntiva ai terzi committenti” (articolo 2, lettera d del Codice).
L’ANCIC, infatti, è l’Associazione di categoria delle società che operano in base all’articolo 134 del T.U.L.P.S. (Testo Unico delle Leggi sulla Pubblica Sicurezza) e relative modifiche e integrazioni e al Decreto Ministeriale n. 269/2010, per fornire un servizio di informazione commerciale.
In altre parole, i soggetti privati che forniscono informazioni o valutazioni sulla solidità creditizia, commerciale, o solidità economica, secondo informazioni provenienti da registri pubblici anche secondo un processo statistico, da un modello prestabilito, automatizzato e impersonale di elaborazione delle informazioni o sulla base della valutazione di esperti di analisi.
I diritti dell’interessato e le misure di sicurezza imposte agli aderenti
L’interessato – il soggetto a carico del quale vengono reperite le informazioni – potrà esercitare tutti i diritti previsti dal Regolamento UE 16/679, peraltro incomprimibili.
Le misure previste per i fornitori sono sempre improntate al principio di accountability, salvo indicare come misura minima la pseudonimizzazione e, se del caso, la cifratura (articolo 11 del Codice).
Le informazioni utilizzabili sono quelle pubbliche o generalmente accessibili, secondo le definizioni – peraltro piuttosto ovvie e improntate alla garanzia dei diritti dei soggetti interessati – previste dall’articolo 4.
È infine prevista una informativa sintetica e comune a tutti gli aderenti.
La previsione dell’Organismo di monitoraggio
Tra gli elementi più rilevanti del Codice c’è la previsione dell’Organismo di monitoraggio, costituito e accreditato ai sensi dell’articolo 41 del Regolamento UE16/679, previsto dall’articolo 12 del Codice di condotta.
L’organismo dovrà dotarsi di apposito regolamento, tendendo fermi i requisiti imposti dall’articolo 12 stesso, ossia essere esterno rispetto all’ANCIC, avere un numero di componenti dispari (massimo cinque) che abbiano rispondano a determinati requisiti di onorabilità e indipendenza.
L’Organismo di monitoraggio si colloca come soggetto intermedio tra ANCIC e Garante, poiché quest’ultimo mantiene tutte le funzioni di iniziativa e controllo.
L’Organismo, quindi, è pensato e modellato come l’organismo di vigilanza previsto dal Decreto Legislativo 231/2001, salvo non poter avere quella veste in via diretta.
In altre parole, per rendere effettivo il controllo dell’Associazione sugli operatori era necessario strutturare un soggetto che avesse le funzionalità dell’organismo di vigilanza, pur non avendone la veste giuridica.
L’organismo, infatti, avrà una autonoma funzione ispettiva – diretta o per mezzo di professionisti incaricati – sui soggetti aderenti al Codice.
Non solo: viene prevista una procedura a tutela dei diritti degli interessati, che ricorda molto quella dell’Arbitro Bancario e Finanziario.
L’interessato potrà sempre agire giudizialmente e far intervenire il Garante per il trattamento dei dati personali, ma può, in alternativa, inviare il reclamo direttamente all’Organismo di monitoraggio, verosimilmente con minori formalità e costi.
La procedura appare più snella di quanto, in concreto, non diventerà: presentato un reclamo, l’Organismo entro 5 giorni avrà l’onere di darne notizia al fornitore di servizi che, a sua volta, avrà 30 giorni per il deposito di memorie.
Se la vicenda sarà ritenuta sufficientemente istruita, l’Organismo deciderà nei successivi 45 giorni; in caso contrario, darà un termine per la presentazione di ulteriori memorie.
In conseguenza dei controlli effettuati in via autonoma o delle decisioni prese in seguito a reclamo, l’Organismo di monitoraggio potrà adottare le seguenti misure (in alternativa o in cumulo tra loro): “a. un richiamo formale indirizzato esclusivamente al fornitore; b. un richiamo da pubblicarsi in apposita sezione del sito web dell’OdM; c. la sospensione temporanea dall’adesione al presente Codice di condotta; d. l’esclusione dal presente Codice di condotta del fornitore aderente” (articolo 12 del Codice).
L’intera procedura, comunque, anche in caso di audizioni e richiesta di integrazioni, non potrà durare più di 90 giorni dal momento della presentazione del reclamo.
L’Organismo, così impostato, è un ente ibrido, con funzioni ispettive e giudicanti allo stesso tempo, regolamentato dalla soft law rappresentata dal Codice di condotta e dal suo regolamento interno, dotato di una capacità sanzionatoria minima.
L’articolo 12 del Codice di condotta non prevede autonomi mezzi di impugnazione delle decisioni prese dall’Organismo.
Conclusioni
Soft law is better than no law. Un codice di autoregolamentazione per adesione sottoposto ad un organismo di monitoraggio ibrido è certamente un passo avanti rispetto alla situazione precedente, quantomeno per quanto riguarda la tutela del trattamento dei dati personali.
L’alternativa, ovviamente, era un piano ispettivo ad hoc del Garante, difficilmente attuabile e non necessariamente efficacissimo.