via Garofalo 29, 20133 Milano - tel. 02 29408650

Programma Radon

Ente Accreditato Regione Lombardia N. 1027/2017

You are here: Home / Approfondimenti / Trattamento dei dati relativi a informazioni commerciali: emanate le nuove linee guide

Trattamento dei dati relativi a informazioni commerciali: emanate le nuove linee guide

di Leave a Comment

Il codice di condotta per il trattamento dei dati ai fini di informazioni commerciali presentato dalla Associazione maggiormente rappresentativa della categoria (ANCIC)  è stato approvato dal Garante Privacy il 12 giugno 2019. Il codice si applica alle informazioni commerciali riferite a persone fisiche ed in particolare al trattamento di dati personali provenienti da pubblici registri, elenchi atti o documenti conoscibili da chiunque o pubblicamente accessibili, nonchè al trattamento di dati forniti direttamente dall’interessato. In questi trattamenti rientrano anche tutte le attività di elaborazione di tipo statistico o predittivo svolte allo scopo di formulare la solidità, solvibilità e affidabilità del soggetto censito. Non rientrano in questa categoria i trattamenti effettuati nell’ambito di sistemi informativi creditizi ai quali si applicano norme specifiche.

Tutti i fornitori di servizi di informazione commerciale non aderenti ad ANCIC  che volessero aderire al presente codice di condotta devono inviare la richiesta ad ANCIC il quale valuterà la presenza dei requisiti necessari per l’adesione.

Definizioni

  • Informazione commerciale: il dato relativo ad aspetti patrimoniali, economici, finanziari, creditizi, aziendali, industriali, organizzativi e produttivi imprenditoriali e professionali di una persona fisica;
  • Finalità di informazione commerciale: la finalità di fornire informazioni ai committenti per verifiche sulla situazione economica, finanziaria e patrimoniale degli interessati, nonché sulla loro solidità, solvibilità ed affidabilità, in relazione a legittime esigenze connesse ad esempio all’analisi e alla definizione delle strategie e politiche di business, all’individuazione di soggetti per l’avvio di nuovi rapporti commerciali, all’instaurazione e gestione di rapporti, anche precontrattuali, alla fornitura agli interessati di beni, prestazioni e servizi ed alle relative modalità e condizioni di pagamento, all’adempimento dei correlati obblighi normativi, anche in materia di antiriciclaggio, alla prevenzione e contrasto di frodi e alla tutela dei relativi diritti da parte dei committenti, anche in sede giudiziaria
  • Rapporto informativo: il dossier o report che  può essere elaborato dal fornitore per il committente e che contiene la rappresentazione, in varie forme (unitaria, aggregata, sintetica, ecc), delle informazioni commerciali raccolte in relazione al soggetto censito
  • Elaborazione di informazioni valutative: attività volta alla formulazione di un giudizio, espresso anche in termini predittivi o probabilistici, nonché di classificazione sulla solidità, solvibilità ed affidabilità o capacità economica del soggetto censito, risultante da un processo statistico o, altrimenti, da un modello prestabilito automatizzato e impersonale di elaborazione delle informazioni, oppure emesso sulla base di analisi e valutazioni effettuate da esperti analisti per legittime esigenze connesse a finalità di informazione commerciale.

I trattamenti di questo genere non possono riguardare dati particolari (ex art. 9 c.1 GDPR) o dati relativi a condanne penali e reati se non quelli provenienti da fonti pubbliche o pubblicamente accessibili, limitatamente alle informazioni diffuse negli ultimi 6 mesi a partire dalla data di conferimento dell’incarico dal committente.

Le fonti

Le fonti utilizzabili dal fornitore (società che ricerca ed elabora le informazioni commerciali)  possono essere pubbliche o pubblicamente accessibili. Per quanto riguarda le fonti pubbliche si possono citare ad esempio:

  1. registro delle imprese, bilanci ed elenchi dei soci, visure e/o atti camerali, atti ed eventi relativi a fallimenti o altre procedure concorsuali nonché il registro informatico dei protesti presso le camere di commercio e la relativa società consortile InfoCamere;
  2. atti immobiliari, atti pregiudizievoli ed ipocatastali (come, ad es., iscrizioni o cancellazioni di ipoteche, trascrizioni e cancellazioni di pignoramenti, o atti giudiziari, e relativi annotamenti) tutti conservati nei registri gestiti dall’Agenzia delle Entrate (tra i quali rientrano le ex Conservatorie dei registri immobiliari e l’Ufficio del Catasto), nel Pubblico Registro Automobilistico e presso l’Anagrafe della popolazione residente

Per quanto riguarda le fonti pubblicamente accessibili parliamo invece di:

  1. quotidiani e testate giornalistiche in formato cartaceo, che risultino regolarmente registrate;
  2. elenchi c.d. categorici ed elenchi telefonici;
  3. siti Internet liberamente accessibili a chiunque appartenenti a: soggetti censiti ed altri soggetti a loro connessi ; enti pubblici, governativi, territoriali e locali, agenzie pubbliche, nonché autorità di vigilanza e controllo; associazioni di categoria ed ordini professionali, relativamente ad elenchi od albi di operatori economici e imprenditoriali, diffusi sui propri siti; quotidiani e testate giornalistiche on-line nel numero minimo di tre, che confermino le informazioni oggetto di comunicazione e che risultino regolarmente registrati; servizi on-line di elenchi telefonici e categorici.

Il fornitore ha la responsabilità, nella fase di raccolta, di assicurarsi che i dati siano esatti , pertinenti e proporzionali; che la fonte del dato sia annotata e che tali dati siano aggiornati al momento della stesura del report finale.

Informativa agli interessati

Il fornitore deve informare l’interessato in forma non individuale e può ricorrere al servizio messo a disposizione da ANCIC, sottoscrivibile all’indirizzo www.informativaprivacyancic.it, che si propone di essere uno strumento agevole per garantire a tutti gli aderenti di elaborare un documento conforme a quanto previsto dal regolamento, di semplice utilizzo e dai costi ridotti in quanto condivisi. E’ previsto che i fornitori aventi fatturato inferiore ai 300.000 euro/anno possano fornire l’informativa pubblicandola sul loro sito.

Si rammenta che il presupposto in base al quale è possibile portare avanti il presente trattamento è quello del legittimo interesse del fornitore incaricato di reperire ed elaborare le informazioni commeciali  (e quindi non è necessario il consenso dell’interessato per la raccolta ed elaborazione delle informazioni che lo riguardano) , mentre non è previsto che il fornitore possa adottare una decisione che possa determinare effetti giuridici sull’interessato, decisione che spetta esclusivamente al committente, che la prenderà sulla base delle informazioni in suo possesso, di cui il rapporto informativo è solo una parte.

Informazioni relative ad eventi negativi

Se le informazioni commerciali sono riferite ad eventi negativi ( fallimenti, ipoteche, pignoramenti, ecc) il fornitore può utilizzare solo le informazioni che riguardano direttamente l’interessato e , se l’interessato non ha mai svolto attività di impresa o ricoperto cariche sociali, può utilizzare solo le informazioni relative a protesti o atti pregiudizievoli, nonchè quelle relative a condanne penali e reati risalenti al massimo a 6 mesi addietro. Infine indica nel rapporto informativo l’esistenza di altre informazioni relative ad ulteriori soggetti interessati senza che tali informazioni possano essere associate direttamente all’interessato o utilizzate per scopi valutativi. E’ facoltà del fornitore però associare al soggetto censito le informazioni relative ad eventi negativi qualora lo stesso interessato nei 12 mesi precedenti l’evento negativo avesse rivestito le seguenti cariche: professionista inteso quale operatore economico di una società tra professionisti; titolare di ditta individuale; socio di società semplice o in nome collettivo o accomandatario in società in accomandita semplice o accomandante con partecipazioni o quota  sopra certe soglie; socio di società di capitale con determinati ruoli o quote (Art. 8 c.2 ).

Nel caso il soggetto censito fosse una persona giuridica, è facoltà del fornitore associare direttamente al soggetto censito le informazioni negative relative alle persone che nei 12 mesi antecedenti la richiesta avessero ricoperto ruoli specifici  (Art. 8 c.2 ) o detenuto quote specifiche (Art. 8 c.2 ).

Il fornitore può conservare le informazioni relative a fallimenti o procedure concorsuali nel limite temporale di 10 anni dalla data di apertura della procedura di fallimento. Trascorso tale periodo queste informazioni possono essere ulteriormente conservate solo nel caso di apertura di un successivo fallimento. Per quanto riguarda le informazioni relative ad atti pregiudizievoli ed ipocatastali (ipoteche e pignoramenti), queste possono essere conservate per un periodo di tempo non superiore a 10 anni dalla data della loro trascrizione o iscrizione, salva l’eventuale loro cancellazione prima di tale termine, nel qual caso verrà conservata per un periodo di 2 anni l’annotazione dell’avvenuta cancellazione.

Per quanto riguarda invece il resto delle informazioni raccolte dal fornitore e collegate a dati personali, queste possono essere conservate dal fornitore ai fini dell’erogazione ai committenti dei servizi di informazione commerciale per il periodo di tempo in cui rimangono conoscibili e/o pubblicati nelle fonti pubbliche da cui provengono. Resta in capo al fornitore l’obbligo di aggiornamento costante di tali informazioni.

Esercizio dei diritti dell’interessato

Il fornitore deve prevedere strumenti telematici che garantiscano un riscontro tempestivo e completo alle richieste avanzate dagli interessati, fermo restando che resta esclusa la possibilità di richiedere la portabilità dei dati, a meno che non sia l’interessato stesso a sottoscrivere il contratto con il fornitore, nonchè di richiedere la rettifica o integrazione di dati personali di tipo valutativo. Può invece essere esercitato il diritto a non essere sottoposti ad una decisione basata esclusivamente su un trattamento informatizzato, quando tale decisione avesse ricadute giuridiche o comunque rilevanti per l’interessato. Infine il diritto all’opposizione al trattamento può essere esercitato solo se l’interessato dimostra che i propri interessi e diritti sono prevalenti rispetto al legittimo interesse  del titolare di tutela degli interessi dei terzi nei confronti delle società di capitali, di garanzia della certezza del diritto, della lealtà delle transazioni commerciali e di buon funzionamento del mercato interno.

Sul portale www.informativaprivacyancic.it sarà possibile per gli interessati esercitare il loro diritto di sapere se è in corso o meno un trattamento che li riguarda in carico a uno dei fornitori che aderiscono al portale e, in caso di risposta affermativa, di ottenere l’accesso ai dati personali trattati .

Per potere esercitare tali diritti l’interessato deve fornire idonei elementi o documenti atti a permettere la verifica dell’effetttiva identità del richiedente

Misure organizzative e tecniche

Il fornitore deve adottare tutte le misure fisiche e organizzative ritenute idonee in base al principio di Accountability previsto dal Regolamento e in particolare deve prevedere la pseudonimizzazione, se non anche la cifratura, delle informazioni commerciali, soprattutto nella fase di conservazione, quando queste siano riferite a condanne penali o a reati o a valutazioni di tipo negativo risultanti dalle valutazioni svolte. Inoltre i fornitori sono tenuti a garantire l’integrità, disponibilità e resilienza dei sistemi attraverso appositi protocolli di Disaster Recovery e Business Continuity. Devono poi implementare idonea procedura di Data Breach che garantisca le apposite comunicazioni al Garante e, ove necessario, agli interessati. Devono essere chiaramente identificati gli incaricati al trattamento e , se esterni, questi devono fornire idonee garanzie ed essere contrattualmente vincolati. Ogni fornitore deve nominare un Data Protection Officer e , prima di procedere ai trattamenti in questione, devono avviare idonea valutazione di impatto.

Organismo di monitoraggio

Al fine di garantire il rispetto del presente codice di Condotta, viene istituito apposito Organismo di Monitoraggio (OdM) accreditato ai sensi del regolamento, esterno ad ANCIC, composto da 5 membri eletti dalle associazioni di categoria più rappresentative che devono garantire requisiti di onorabilità, autonomia e indipendenza e  professionalità. L’OdM potrà svolgere tutte le verifiche ritenute opportune sia in remoto che presso  la sede dei fornitori, che devono prestare la massima collaborazione. Gli interessati che volessero esporre un reclamo potranno , in alternativa al Garante, presentarlo all’ODM che sarà tenuto a gestirlo entro 5 giorni dalla ricezione, dandone comunicazione al fornitore, che avrà a sua volta 30 giorni di tempo per depositare le proprie memorie difensive . L’OdM avrà poi 45 giorni di tempo dal momento della deposizione delle memorie difensive per esprimersi.

Le misure applicabili in funzione della gravità della violazione consistono in :

  1. un richiamo formale indirizzato esclusivamente al fornitore;
  2. un richiamo da pubblicarsi in apposita sezione del sito di ANCIC;
  3. la sospensione temporanea dell’adesione al presente Codice di condotta;
  4. la revoca dell’adesione al presente Codice di condotta.

Allo scadere di ciascun semestre l’OdM deve fornire al Garante un resoconto riassuntivo delle attività svolte

 

Reader Interactions

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *