Il testo sostituisce e aggiorna il vecchio Codice deontologico sulle informazioni commerciali – che rimarrà comunque in vigore fino al 19 settembre 2019 – aiutando le imprese del settore ad adeguarsi al Regolamento Ue in materia di protezione dati (Gdpr) e alla normativa italiana, modificata a fine 2018.
Nel Codice di condotta trova concreta applicazione il principio di responsabilizzazione (la cosiddetta accountability), fortemente sostenuto nel Gdpr, che impone alle associazioni di categoria e alle imprese un’applicazione consapevole, trasparente, effettiva delle norme regolamentari.
Con il nuovo testo, le società che offrono informazioni sull’affidabilità commerciale di imprenditori e manager potranno trattare i dati personali dei soggetti censiti senza richiederne il consenso – basandosi sul legittimo interesse – ma dovranno garantire maggiori tutele agli interessati, informandoli correttamente sui trattamenti effettuati e garantendo loro il pieno esercizio dei diritti previsti dalla normativa privacy, come l’opposizione al trattamento, la rettifica o l’aggiornamento dei dati.
Diverse le novità introdotte. I fornitori aderenti dovranno operare secondo un approccio basato sul rischio, adottando misure tecniche, informatiche, procedurali, fisiche e organizzative utili a prevenire o minimizzare i rischi di distruzione, perdita, modifica e divulgazione non autorizzata o di accesso ai dati personali. Ogni fornitore dovrà inoltre impegnarsi ad osservare le linee guida, le raccomandazioni e le best practices adottate dal Comitato europeo per la protezione dei dati (EDPB) o da altre autorità di settore competenti, e dovrà designare – quando previsto – un responsabile per la protezione dei dati (Rpd/Dpo).
Sarà infine istituito un Organismo di monitoraggio (Odm) indipendente, esterno all’Ancic, composto da soggetti scelti secondo i criteri di onorabilità, autonomia, indipendenza e professionalità previsti dal Regolamento Ue e dettagliati nelle Linee guida europee recentemente approvate in via definitiva. L’Odm dovrà verificare l’osservanza del codice di condotta da parte degli aderenti e gestire la risoluzione dei reclami.
L’Autorità segnala che ha approvato il codice di condotta, ma ne ha subordinato l’efficacia al completamento della fase di accreditamento dell’Organismo di monitoraggio, come previsto dal Regolamento Ue sulla privacy. Per procedere in tal senso occorrerà però aspettare la conclusione dei lavori – in seno all’Edpb, organismo che riunisce tutti i Garanti europei – per la definizione di criteri uniformi per l’accreditamento.
Nel sottolineare l’importanza del nuovo Codice di condotta, l’Autorità ricorda che il suo rispetto potrà servire alle imprese a dimostrare la conformità alla normativa del trattamento dei dati personali da esse effettuato.