Informazioni commerciali a prova di GDPR nel primo codice deontologico del Garante

Codice di condotta per il trattamento dei dati personali in materia di informazioni commerciali

Il Garante della privacy ha approvato il codice predisposto dall’ANCIC – Associazione nazionale delle imprese di informazione commerciale che riscrive la deontologia per trattare i dati con la finalità dell’informazione commerciale alla luce del GDPR e delle linee guida dell’EDPB.

Il testo sostituisce e aggiorna il vecchio Codice deontologico sulle informazioni commerciali che rimarrà comunque in vigore fino al 19 settembre 2019 ed ha lo scopo di aiutare le aziende a dimostrare il rispetto di quanto previsto dal GDPR.

Il codice si applica alle società che offrono informazioni sull’affidabilità commerciale di imprenditori e manager che potranno trattare tali dati e informazioni a fronte di una informativa, ma sulla base del legittimo interesse, senza necessità quindi di alcun consenso.

Infatti, il fulcro del codice di condotta è il principio di accountability, per il quale le aziende devono applicare in modo trasparente e consapevole le leggi. Secondo il nuovo codice, le aziende che forniscono informazioni sull’affidabilità commerciale degli imprenditori avranno la possibilità di trattare i dati personali delle persone censite senza chiedere il consenso, per il legittimo interesse, ma dovranno informarli correttamente sui trattamenti dei dati effettuati e garantendo l’esercizio dei diritti previsti dalle norme sulla privacy, per esempio come l’opposizione al trattamento. 

Le principali novità prevedono che i fornitori aderenti dovranno

• operare secondo un approccio basato sul rischio, adottando misure tecniche, informatiche, procedurali, fisiche e organizzative utili a prevenire o minimizzare i rischi di distruzione, perdita, modifica e divulgazione non autorizzata o di accesso ai dati personali;
• effettuare una valutazione d’impatto;
• impegnarsi ad osservare le linee guida, le raccomandazioni e le best practices adottate dal Comitato europeo per la protezione dei dati (EDPB) o da altre autorità di settore competenti;
• designare - quando previsto - un responsabile per la protezione dei dati (Rpd/Dpo) 

Sarà infine istituito un Organismo di monitoraggio (Odm) indipendente, esterno all’Ancic, composto da soggetti scelti secondo i criteri di onorabilità, autonomia, indipendenza e professionalità previsti dal Regolamento Ue e dettagliati nelle Linee guida europee recentemente approvate in via definitiva. L’Odm dovrà verificare l’osservanza del codice di condotta da parte degli aderenti e gestire la risoluzione dei reclami.