L'Autorità Garante per la protezione dei dati personali per l'Italia, con delibera del 12 giugno 2019 ha approvato il nuovo Codice di condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale, le cui norme sono entrate in vigore il 27 maggio 2021.
Il testo, elaborato dall'Associazione nazionale tra le imprese di informazioni commerciali e di gestione del credito (Ancic) era subordinato al completamento della fase di accreditamento dell'Organismo di montoraggio (OdM) a cui spetta il compito di verificare il rispetto del Codice da parte degli aderenti e gestire gli eventuali reclami. Da cui il ritardo nell'entrata in vigore.
Il Codice, che ovviamente si applica ai firmatari, si rivolge alle società operanti nel settore della attività di informazione commerciale, cioè che raccolgono, elaborano, comunicano e conservano informazioni commerciali e offrono servizi e informazioni sull'affidabilità commerciale di imprenditori e manager. Rientra nella definizione di informazione commerciale "il dato, anche valutativo, relativo ad aspetti patrimoniali economici, finanziari, creditizi, aziendali, industriali, organizzativi, produttivi, imprenditoriali e professionali di una persona fisica" (interessato del trattamento). Scopo del Codice è quello di garantire la trasparenza e la certezza delle informazioni commerciali.
La finalità di informazione commerciale è quella di "fornire informazioni ai committenti per verifiche sulla situazione economica, finanziaria e patrimoniale degli interessati, nonché sulla loro solidità, solvibilità ed affidabilità, in relazione a legittime esigenze connesse, in via esemplificativa e non esaustiva, all’analisi e alla definizione delle strategie e politiche di business, all’individuazione di soggetti per l’avvio di nuovi rapporti commerciali, all’instaurazione e gestione di rapporti, anche precontrattuali, alla fornitura di beni, prestazioni e servizi agli interessati e alle relative modalità e condizioni di pagamento, all’adempimento dei correlati obblighi normativi, anche in materia di antiriciclaggio, alla prevenzione e contrasto di frodi e alla tutela dei relativi diritti da parte dei committenti, anche in sede giudiziaria".
Nel trattamento delle informazioni commerciali non occorre alcun consenso in quanto il trattamento è basato sui legittimi interessi:
- dei fornitori che prestano i servizi di informazione commerciale;
- dei committenti che li richiedono;
- dell’interesse comune alla lealtà delle transazioni commerciali e al buon funzionamento del mercato.
E' obbligatorio fornire l'informativa sul sito web della società. I dati raccolti dovranno essere sempre aggiornati, pertinenti e non eccessivi rispetto alla finalità, e occorre rispettare i diritti di accesso e rettifica degli interessati. Quindi occorre fornire una risposta telematica celere alle istanze delle persone censite.
Il Codice impone di trattare soltanto dati costituenti informazioni commerciali, come da definizione specificata sopra. Per realizzare un dossier si possono utilizzare solo i dati personali della persona censita, oppure oppure quelli di persone fisiche o giuridiche che con lui hanno o hanno avuto legami economici o giuridici. Sono utilizzabili anche dati provenienti da fonti pubbliche, come pubblici registri, elenchi, atti o documenti conoscibili da chiunque (bilanci, informazioni contenute nel registro delle imprese presso le Camere di commercio, atti immobiliari e altri atti pregiudizievoli come l'iscrizione di ipoteca o la trascrizione di pignoramento, decreti ingiuntivi o altri atti giudiziari, o il Registro automobilistico o l'Anagrafe della popolazione residente) oppure da fonti pubblicamente e generalmente accessibili, quali testate giornalistiche cartacee o digitali, elenchi telefonici, siti web di enti pubblici o altre autorità di vigilanza e controllo, od anche dati personali forniti direttamente dagli interessati.
Non si possono raccogliere invece i dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché i dati genetici, i dati biometrici intesi a identificare in modo univoco una persona fisica, i dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona, né i dati relativi a condanne penali e reati, tranne se provenienti da fonti pubbliche o pubblicamente e generalmente accessibili.
Le società dovranno sempre annotare le fonti di provenienza dei dati.
Nel caso in cui le informazioni riguardino eventi negativi (fallimenti, procedure concorsuali, ipoteche, pignoramenti, protesti e così via), il fornitore potrà utilizzare solo le informazioni che riguardano direttamente l'interessato e qualora il soggetto censito sia una persona fisica che non svolga o abbia svolto attività di impresa o simili, potrà utilizzare solo le informazioni relative agli atti che lo riguardino direttamente, nonché i dati relativi a condanne penali e reati con i limiti già indicati.
Inoltre il Codice specifica delle regole per la conservazione dei dati, stabilisce l'obbligo dell'aggiornamento degli stessi. Gli aderenti al Codice dovranno effettuare una valutazione del rischio, adottando misure di sicurezza tecniche ed organizzative e dovranno impegnarsi ad osservare le best practices adottate dagli organismi europei o dalle autorità di settore. Infine dovranno anche nominare un DPO.
Il Codice non riguarda il trattamento dei dati personali effettuato nell'ambito dei sistemi informativi creditizi (SIC), per il quale sono previste norme ad hoc, e al trattamento dei dati personali raccolti presso soggetti privati diversi dall'interessato (disciplinato dal GDPR).