La presente policy (di seguito, la ‘Policy’) stabilisce le regole e le procedure applicabili allo svolgimento di controlli ed ispezioni da parte dell’Organismo di monitoraggio (di seguito, l’‘OdM’ o l’‘Organismo’) costituito, ai sensi dell’articolo 41 del Regolamento (UE) 2016/679 (di seguito, il ‘GDPR’ o il ‘Regolamento’), al fine di garantire il rispetto del ‘Codice di condotta per il trattamento dei dati personali in materia di informazioni commerciali’ adottato dall’Autorità Garante per la protezione dei dati personali con deliberazione del 12 giugno 2019 e da ultimo approvato con il provvedimento n. 181 del 29 aprile 2021 (di seguito, il ‘Codice di Condotta’).
Al fine di dare attuazione e garantire il rispetto di quanto previsto dal Codice di Condotta e dal Regolamento interno sul funzionamento dell’organismo di monitoraggio del ‘Codice di condotta per il trattamento dei dati personali in materia di informazioni commerciali’ (di seguito, il ‘Regolamento interno’), adottato in data 5 ottobre 2021, l’OdM ha ritenuto opportuno redigere il presente documento al fine di:
La funzione di monitoraggio e controllo attribuita all’Organismo dal Codice di Condotta si esplica, oltre che nella gestione dei reclami che possono insorgere fra i Fornitori e gli Interessati (entrambi di seguito definiti), per cui è stata adottata una specifica policy, in particolare nello svolgimento di attività di verifica del concreto e costante rispetto, da parte dei Fornitori, di tutte le prescrizioni del Codice di Condotta e, più in generale, della normativa applicabile in materia di protezione dei dati personali.
La rilevanza pubblica di alcune delle decisioni che possono essere assunte all’esito delle attività di verifica, così come gli obblighi informativi nei confronti del Garante, rendono ancora più evidente l’importanza di disporre di strumenti, come questa Policy, utili ad assicurare il rispetto di quanto previsto dal Codice di Condotta e dal Regolamento interno.
Tramite questo documento si vogliono quindi stabilire, in maniera chiara e puntuale, le regole connesse all’esecuzione delle procedure di verifica, ivi incluse le ispezioni, che l’OdM è tenuto a svolgere ai sensi dell’articolo 12, comma 5, del Codice di Condotta.
In merito alla struttura della Policy, dopo averne circoscritto il campo di applicazione ed aver delineato alcune definizioni basilari, si fornirà una descrizione della metodologia e delle fasi del procedimento di verifica e controllo previsto nei confronti dei Fornitori.
Il perimetro applicativo del presente documento deve essere definito sia in riferimento alla natura delle attività in esso disciplinate (ambito oggettivo), sia alle categorie di destinatari interessati (ambito soggettivo).
La Policy si applica a qualsiasi attività di controllo svolta da parte dell’Organismo, a prescindere dalla forma di volta in volta prescelta (es. audit da remoto, ispezione in loco, richiesta di informazioni o chiarimenti, compilazione di questionari) per verificare la corretta attuazione del Codice di Condotta ed il puntuale adempimento di tutti gli obblighi stabiliti dalla normativa vigente in materia di protezione dei dati personali da parte dei Fornitori.
I soggetti destinatari cui deve applicarsi questa Policy sono:
(di seguito, congiuntamente, i ‘Destinatari’).
Ai termini elencati di seguito, anche quando utilizzati senza la lettera maiuscola e/o declinati al plurale, dovrà attribuirsi il significato qui sotto descritto:
I termini a cui l’articolo 4 del GDPR e/o l’articolo 2 del Codice di Condotta, ma non la presente Policy, attribuiscono una specifica definizione, devono essere interpretati conformemente a quanto stabilito dal Regolamento e/o dal Codice di Condotta.
Oltre che sul Codice di Condotta e sul Regolamento interno, la presente Policy è basata, inter alia, sulle seguenti fonti:
Fermo restando il potere dell’OdM di svolgere, in qualsiasi momento e senza necessità di preavviso, tutte le verifiche di volta in volta ritenute opportune per accertare il pieno rispetto, da parte dei Fornitori, degli obblighi stabiliti dal Codice di Condotta, le attività di controllo avverranno in particolare nei seguenti casi (di seguito, i ‘Controlli occasionali’):
A prescindere da quanto sopra e quindi eventualmente in aggiunta ai Controlli occasionali scaturiti dalle circostanze descritte ai precedenti punti 1 e 2, l’Organismo svolgerà annualmente verifiche di conformità al Codice di Condotta (di seguito, i ‘Controlli routinari’) nei confronti di un numero di Fornitori, scelti per estrazione a sorte, pari almeno al 10% del totale degli aderenti al 1° gennaio di ciascun anno.
I criteri di selezione dei Fornitori da sottoporre ai Controlli routinari sono definiti da parte dell’Organismo, anche tenendo conto di decisioni, linee guida, piani ispettivi o provvedimenti di particolare rilievo eventualmente adottati dal Garante o dall’EDBP nei mesi precedenti, entro la fine di gennaio di ogni anno e possono essere integrati o rivisti nel corso dell’anno, previa apposita delibera dell’OdM stesso.
Qualora nel corso dello svolgimento di un Controllo routinario dovesse emergere l’esigenza di eseguire un Controllo occasionale sul medesimo Fornitore, l’Organismo potrà decidere, a propria esclusiva discrezione ed eventualmente sentito il Fornitore coinvolto, se sospendere o meno le attività di Controllo routinario per l’intera o parte della durata del Controllo occasionale.
In conformità a quanto stabilito dal Codice di Condotta (articolo 12, comma 5), l’Organismo può assolvere ai propri compiti di monitoraggio eseguendo tutte le verifiche ritenute opportune per accertare il puntuale rispetto, da parte del Fornitore coinvolto, di tutte o solo di specifiche prescrizioni del Codice di Condotta.
Tali verifiche possono essere svolte, anche in ragione dei profili che l’Organismo intende specificamente appurare, mediante gli strumenti di controllo che quest’ultimo considera più idonei al raggiungimento degli obiettivi di volta in volta identificati. L’OdM può quindi esercitare tutti i poteri ispettivi necessari ad assicurare una puntuale ed efficiente vigilanza sull’osservanza del Codice di Condotta, tra cui a titolo esemplificativo:
Fermo quanto sopra, le attività di controllo vengono di norma eseguite da parte dell’OdM da remoto, anche mediante sottoposizione al Fornitore, di una checklist contenente almeno gli elementi di cui all’Allegato 1 della presente Policy e successivo invio, da parte del Fornitore, di tutta la documentazione richiesta o, in aggiunta, comunque ritenuta utile a dimostrare, in ottica di accountability, la piena conformità al Codice di Condotta dei trattamenti svolti nell’ambito della fornitura di servizi di informazione commerciale. Tra la documentazione oggetto di verifica, l’OdM può richiedere anche ogni genere di evidenza informatica rilevante, quali a titolo meramente esemplificativo, estratti o copie di schermate video rilevanti, file di log e metadati, ticket di accesso a sistemi e database.
Come stabilito dal Codice di Condotta, l’Organismo può anche svolgere ispezioni presso la sede, gli uffici ed i locali rilevanti (es. CED e data center) dei Fornitori, o dei loro responsabili del trattamento, al verificarsi delle circostanze che richiedono l’esecuzione di Controlli occasionali ai sensi del precedente paragrafo 5, o in caso di gravi mancanze o acclarate criticità emerse dalla checklist o dalla successiva analisi documentale.
L’esecuzione di attività di verifica da parte dell’OdM richiede un preavviso nei confronti del Fornitore non superiore alle 48 ore dall’invio della checklist (Allegato 1), da parte dell’OdM, o della richiesta di informazioni o di chiarimenti, o di qualsiasi altra documentazione rilevante, oppure dell’inizio dello svolgimento di un’ispezione in loco.
I Fornitori sono tenuti a prestare la massima collaborazione nei confronti dell’OdM, o dei soggetti da esso appositamente delegati, ai fini del proficuo svolgimento di tutte le attività di controllo di cui al precedente paragrafo 6. L’eventuale mancato adempimento di tale obbligo deve essere valutato da parte dell’Organismo, insieme ad ogni altro elemento utile, in sede di decisione finale, all’esito delle attività di controllo, sul livello di conformità del Fornitore al Codice di Condotta e alla normativa in materia di protezione dei dati personali.
In conformità a quanto previsto dall’articolo 12, comma 2, del Codice di Condotta e nel rispetto dei requisiti stabiliti dall’articolo 6 del Regolamento interno, l’OdM può affidare a Società terze o consulenti l’esecuzione di qualsiasi genere di attività di controllo e verifica, ad eccezione di quelle che presuppongono o determinano l’esercizio di poteri decisionali. Gli obblighi di cooperazione applicabili al Fornitore, descritti al paragrafo che precede, restano ovviamente immutati in tutte le ipotesi di controlli svolti da parte di Società terze su incarico e per conto dell’Organismo.
Tutte le attività di monitoraggio e controllo svolte da parte dell’OdM ai sensi del Codice di Condotta ed in conformità alla presente Policy devono essere documentate in apposito verbale, da inviarsi al Fornitore coinvolto entro 10 (dieci) giorni dalla chiusura delle relative operazioni. Gli addebiti eventualmente mossi nei confronti del Fornitore devono essere motivati e circostanziati in una nota di accompagnamento al verbale, così che quest’ultimo possa, nei 15 (quindici) giorni lavorativi successivi, fornire chiarimenti a riguardo e presentare le proprie note di replica.
Qualora l’Organismo, sulla base degli elementi acquisiti, ritenga di essere già in condizione di valutare compiutamente la questione, adotterà la propria decisione entro i 60 (sessanta) giorni lavorativi successivi. In caso contrario, l’OdM potrà richiedere al Fornitore ulteriori precisazioni, così come l’acquisizione di altri documenti o lo svolgimento di audizioni, raccogliendo in ogni caso tutti gli elementi necessari alla miglior definizione del procedimento.
Nel caso in cui venga disposta un’audizione, di cui deve essere redatto un sintetico verbale da inviare al Fornitore entro i 5 (cinque) giorni successivi, la stessa avrà luogo presso la sede dell’Organismo e nella data fissata da quest’ultimo. In sede di audizione il Fornitore potrà farsi assistere da un avvocato o da altro consulente.
La decisione finale da parte dell’Organismo, all’esito del procedimento di valutazione dei risultati delle attività ispettive e di controllo, secondo quanto stabilito al successivo paragrafo 8, non potrà essere assunta oltre 90 (novanta) giorni lavorativi successivi alla data di conclusione delle stesse, come riportata sull’apposito verbale.
Al termine della procedura descritta al precedente paragrafo 7, svolte le necessarie discussioni riguardo ai risultati delle attività di verifica eseguite, l’OdM può stabilire di applicare al Fornitore, motivando adeguatamente la decisione, tenuto conto della gravità della violazione riscontrata, una o più delle seguenti misure:
Le decisioni mediante cui vengano applicate misure di sospensione temporanea o di revoca dell’adesione del Fornitore aderente al Codice di Condotta, devono essere trasmesse al Garante entro tre (3) giorni dalla loro adozione e, sempre ad opera del Segretario Generale dell’OdM, essere pubblicate, anche in forma sintetica, previo oscuramento dei dati personali eventualmente presenti, in apposita sezione del sito web dell’Organismo, raggiungibile all’indirizzo www.odminformazionicommerciali.it.
La presente Policy è valida e vincolante per tutti i Destinatari.
Una copia di questo documento verrà messa a disposizione di ciascun Destinatario tramite Posta Elettronica Certificata e sarà pubblicata, sempre a cura del Segretario Generale, sul sito web dell’Organismo.
La presente Policy potrà essere modificata, integrata o integralmente sostituita in ogni momento, previa approvazione da parte della maggioranza dei Componenti, per garantire i necessari adeguamenti a nuove norme di legge e/o a provvedimenti dell’Autorità, oltre che alle migliori best practices di settore.
Tutti i Destinatari sono tenuti a prenderne visione e a tenere in debita considerazione gli aggiornamenti che verranno apportati alla stessa, come di volta in volta notificati. Nessun Destinatario potrà giustificare la propria condotta adducendo la mancata conoscenza del presente documento.
La presente policy (di seguito, la ‘Policy’) stabilisce le regole e le procedure applicabili alla gestione, da parte dell’Organismo di Monitoraggio (di seguito, l’‘OdM’ o l’‘Organismo’) costituito, ai sensi dell’articolo 41 del Regolamento (UE) 2016/679 (di seguito, il ‘GDPR’ o il ‘Regolamento’), al fine di garantire il rispetto del ‘Codice di condotta per il trattamento dei dati personali in materia di informazioni commerciali’ adottato dall’Autorità Garante per la protezione dei dati personali con deliberazione del 12 giugno 2019 e da ultimo approvato con il provvedimento n. 181 del 29 aprile 2021 (di seguito, il ‘Codice di Condotta’), dei reclami presentati da parte degli interessati ai sensi dell’Art. 12, par. 6, del Codice di Condotta.
Più specificamente, al fine di dare attuazione e garantire il rispetto di quanto previsto dal Codice di Condotta e dal Regolamento interno sul funzionamento dell’organismo di monitoraggio del ‘Codice di condotta per il trattamento dei dati personali in materia di informazioni commerciali’ (di seguito, il ‘Regolamento interno’), adottato in data 5 ottobre 2021, l’OdM ha ritenuto opportuno redigere il presente documento al fine di:
La funzione di monitoraggio e controllo attribuita all’Organismo dal Codice di Condotta include anche il compito di gestire gli eventuali reclami che possono insorgere fra i Fornitori (come di seguito definiti) e gli Interessati (come di seguito definiti) relativamente alle violazioni del Codice di Condotta. Tale attività deve essere espletata dall’OdM nel rispetto di fondamentali principi, quali la pienezza del contraddittorio e la totale imparzialità, e secondo precise regole che disciplinano ogni fase del procedimento. La rilevanza pubblica di alcune delle decisioni assunte, così come gli obblighi informativi nei confronti del Garante, rendono ancora più evidente l’importanza di disporre di strumenti utili ad assicurare il rispetto di quanto previsto nel Codice di Condotta e nel Regolamento interno.
La presente Policy si propone dunque di descrivere, in maniera chiara e puntuale, i principi e le regole che governano ogni fase del procedimento relativo alla gestione, da parte dell’OdM, dei reclami insorti tra Fornitori ed Interessati. Ciò tenendo altresì conto delle attività ‘a rilevanza esterna’ a ciò collegate.
In merito alla struttura del corrente documento, dopo averne circoscritto il campo di applicazione, ed elencate, in via preliminare, talune direttive terminologiche, la Policy fornirà una dettagliata descrizione del procedimento di gestione dei reclami da parte dell’Organismo. Verrà quindi presa in considerazione ciascuna fase della procedura, con la descrizione precisa delle attività di volta in volta da espletarsi. Saranno inoltre descritte le operazioni di pubblicazione e rendicontazione cui è tenuto l’Organismo, fornendo, ove possibile, gli strumenti operativi necessari a provvedervi.
Il perimetro applicativo del presente documento deve essere definito sia in riferimento alla natura delle attività in esso disciplinate (ambito oggettivo), sia alle categorie di destinatari interessati (ambito soggettivo).
La Policy si applica al procedimento di gestione degli eventuali reclami insorti fra i Fornitori e gli Interessati relativamente alle violazioni del Codice di Condotta, in attuazione di quanto previsto dal medesimo Codice e dal Regolamento interno.
Prendendo in considerazione i soggetti interessati da quanto previsto nel presente documento, questa Policy si applica:
Ai termini elencati di seguito, anche quando utilizzati senza la lettera maiuscola e/o declinati al plurale, dovrà attribuirsi il corrispondente significato:
I termini a cui l’articolo 4 del GDPR e/o l’articolo 2 del Codice di Condotta, ma non la presente Policy, attribuiscono una specifica definizione, devono essere interpretati conformemente a quanto stabilito dal Regolamento e/o dal Codice di Condotta.
Oltre che sul Codice di Condotta e sul Regolamento interno, la presente Policy è basata, inter alia, sulle seguenti fonti:
Ai sensi dell’articolo 12, comma 6, del Codice di Condotta, fra i compiti attribuiti all’Organismo vi è anche quello di gestire i reclami eventualmente insorti fra Fornitori ed Interessati relativamente alle violazioni del Codice di Condotta.
Ne consegue che qualunque reclamo, sia pure presentato da chi sia legittimato a farlo (cfr. paragrafo 6) e nel rispetto delle forme e secondo le modalità richieste (paragrafo 8), che non risponda ai suddetti requisiti oggettivi sarà dichiarato improcedibile dall’Organismo, il quale ne darà comunicazione al reclamante fornendo altresì al medesimo una sintetica descrizione delle ragioni poste a fondamento della decisione assunta.
Potrà presentare un reclamo, secondo quanto disposto dall’articolo 12, comma 6, del Codice di Condotta:
(di seguito, congiuntamente, i ‘Legittimati’).
Il reclamo, così come l’eventuale documentazione a corredo del medesimo, dovrà essere presentato, nel caso in cui il reclamante sia una persona fisica, personalmente da quest’ultimo ovvero anche per il tramite di una diversa persona che sia stata da questi espressamente delegata a farlo, mentre nel caso di persone giuridiche, associazioni, enti o altri organismi, il reclamo e la relativa documentazione dovranno essere presentati a firma dal legale rappresentante o da un diverso soggetto munito dei necessari poteri di rappresentanza.
Qualora il reclamante, in sede di presentazione del reclamo, non fornisca una sufficiente prova della propria qualità di Legittimato e, nel caso di delega o rappresentanza, anche del valido conferimento del relativo potere, l’Organismo dichiarerà l’improcedibilità del reclamo, dandone comunicazione al reclamante assieme ad una sintetica descrizione delle ragioni poste a fondamento della decisione assunta. Resta comunque salva la possibilità, da parte dell’OdM, di assegnare al reclamante un termine entro cui fornire dette prove.
Come disposto dall’articolo 12, comma 6, del Codice di Condotta e dall’articolo 10.1 del Regolamento interno, è fatto salvo il diritto degli interessati di presentare un reclamo al Garante o di fare ricorso all’autorità giudiziaria, ai sensi degli articoli 77 e 79 del GDPR e degli articoli 140-bis e ss. del Codice Privacy.
Nondimeno, la presentazione di un reclamo al Garante preclude l’avvio, o determina l’improcedibilità, qualsiasi sia lo stato di svolgimento, di una procedura avente il medesimo oggetto o comunque attinente alle medesime questioni dinanzi all’Organismo. In tali ipotesi, l’OdM ne dà comunicazione al reclamante con contestuale sintetica indicazione delle ragioni poste alla base della decisione assunta.
In ossequio a quanto previsto dall’articolo 12, comma 6, del Codice di Condotta e dall’articolo 10.2 del Regolamento interno, il reclamo deve essere presentato dai soggetti legittimati (cfr. paragrafo 6) inviando all’Organismo una specifica istanza scritta, per via telematica, all’indirizzo di posta elettronica certificata odminformazionicommerciali@odm.timpec.it, ovvero, in formato cartaceo, mediante raccomandata A/R inviata all’attenzione della Segreteria Generale dell’Organismo di Monitoraggio del Codice di Condotta delle Informazioni Commerciali, all’indirizzo Corso Venezia 51, (20121) Milano, o con consegna a mano presso il medesimo recapito.
Tale istanza, ai sensi delle norme appena richiamate, deve contenere una breve descrizione dei fatti e del pregiudizio lamentato. In particolare, oltre a tale imprescindibile requisito, ogni ricorso dovrà contenere almeno:
Laddove manchino uno o più degli elementi sopra elencati ne verrà data comunicazione al reclamante con contestuale assegnazione di un termine entro cui provvedere alla relativa regolarizzazione. Spirato tale termine senza che il reclamante vi abbia provveduto, e verificata da parte dell’Organismo l’impossibilità di procedere anche in assenza delle integrazioni richieste, il ricorso verrà dichiarato improcedibile. Di tale decisione l’OdM darà comunicazione al reclamante con contestuale e sintetica esposizione delle ragioni poste alla base della decisione assunta.
A seguito del ricevimento di un reclamo, presentato nelle forme e secondo le modalità descritte sopra, il Segretario Generale provvede immediatamente e senza indebito ritardo a mettere i Componenti dell’Organismo nella condizione di disporre di una copia (digitale e/o cartacea) del reclamo e di tutta la documentazione ad esso allegata.
Ai sensi di quanto previsto dall’articolo 12, comma 7, del Codice di Condotta e dall’articolo 10.4 del Regolamento interno, entro cinque (5) giorni lavorativi dal ricevimento del reclamo, l’Organismo deve darne notizia al Fornitore aderente coinvolto, affinché quest’ultimo possa, entro i successivi trenta (30) giorni lavorativi, presentare le proprie memorie e fornire i necessari chiarimenti.
Tale comunicazione, a cui dovrà provvedere il Segretario Generale, dietro istruzioni dell’Organismo, avverrà mediante i recapiti messi a disposizione da ciascun Fornitore in sede di adesione al Codice di Condotta.
In caso di ricorso incompleto o carente (cfr. paragrafo 8), il decorso dei termini suindicati avverrà con riferimento al ricevimento delle integrazioni richieste dall’Organismo (salvo ovviamente il caso in cui l’OdM abbia valutato di poter procedere anche in assenza di regolarizzazione da parte del reclamante). Restano in ogni caso fermi i termini indicati nei successivi paragrafi 10 e 11.
Principi cardine da rispettare e garantire nel corso di ogni fase della procedura sono quelli della pienezza del contraddittorio e della totale imparzialità (come sancito dall’articolo 12, comma 7, del Codice di Condotta e dall’articolo 10.4 del Regolamento interno).
La trattazione del reclamo, a seconda delle circostanze del caso concreto, potrà avvenire nei modi di seguito indicati:
Nel caso in cui venga disposta un’audizione, la medesima avrà luogo presso la sede dell’Organismo e nella data fissata dal medesimo. Dell’audizione verrà redatto un sintetico verbale da parte del Segretario Generale. In sede di audizione è altresì consentita la partecipazione delle parti con l’assistenza di un avvocato o di altro consulente.
Come previsto dall’articolo 12, comma 7, del Codice di Condotta e dall’articolo 10.5 del Regolamento interno, all’esito della procedura sopra descritta, l’Organismo può stabilire di applicare al Fornitore aderente, fornendo adeguata motivazione, in dipendenza della gravità della violazione eventualmente riscontrata, una o più delle seguenti misure:
L’Organismo deve trasmettere all’Interessato o altro soggetto reclamante la decisione assunta, adeguatamente motivata, soprattutto riguardo all’eventuale applicazione delle misure sopra richiamate, entro novanta (90) giorni lavorativi dalla data di presentazione del reclamo. Resta inoltre fermo che, ai sensi di quanto stabilito all’articolo 8.11 del Regolamento interno, l’OdM deve trasmettere al Garante, entro tre (3) giorni dalla loro adozione, le decisioni mediante le quali vengano applicate misure di sospensione temporanea o di revoca dell’adesione del Fornitore aderente al Codice di Condotta.
Tali attività di trasmissione verranno materialmente eseguite dal Segretario Generale, previa indicazione e secondo le istruzioni dell’Organismo.
A ciò deve aggiungersi che, in ossequio a quanto disposto dall’articolo 12, comma 9, del Codice di Condotta ed in aggiunta alle ipotesi di richiamo di cui alla precedente lettera b), le decisioni adottate dall’Organismo all’esito della definizione di procedure di reclamo devono essere pubblicate, anche in forma sintetica, previo oscuramento dei dati personali eventualmente presenti, in apposita sezione del sito web dell’Organismo, raggiungibile all’indirizzo www.odminformazionicommerciali.it, qualora dalle stesse sia derivata l’applicazione nei confronti del Fornitore di misure di sospensione temporanea o di revoca dell’adesione al Codice di Condotta. Inoltre, secondo quanto precisato dall’articolo 10.7 del Regolamento interno, nel caso di pubblicazione di informazioni di sintesi, le stesse devono comprendere almeno i seguenti elementi:
Di tale attività sarà incaricato il Segretario Generale, il quale, nelle operazioni di oscuramento sopra menzionate, dovrà tenere conto della nozione di ‘dato personale’ prevista dal GDPR.
Secondo quanto dettato dall’articolo 10.6 del Regolamento interno, l’Organismo, nella persona del Segretario Generale, annota nel registro previsto dalla presente Policy il dettaglio di tutti i reclami ricevuti e le decisioni adottate, anche in riferimento alle misure correttive o sanzionatorie eventualmente applicate. Detto registro, in formato elettronico è custodito a cura del Segretario Generale presso la sede dell’OdM e dovrà essere costantemente aggiornato dal personale preposto e al medesimo potrà accedere in qualsiasi momento il Garante.
Inoltre, ai sensi di quanto previsto dall’articolo 12, comma 10, del Codice di Condotta e dall’articolo 10.8 del Regolamento interno, alla scadenza di ogni semestre, l’Organismo deve inviare all’Autorità e al Consiglio Direttivo di ANCIC un resoconto riassuntivo dei controlli e delle verifiche effettuate, delle procedure di reclamo definite e delle misure eventualmente adottate ai sensi degli articoli 2.10, 8.10 e 10.5 del Regolamento interno.
Detto resoconto dovrà essere redatto dal Segretario Generale.
La presente Policy è valida e vincolante per tutti i Destinatari.
Una copia di questo documento verrà messa a disposizione di ciascun Destinatario tramite Posta Elettronica Certificata e sarà pubblicata, sempre a cura del Segretario Generale, sul sito web dell’Organismo.
La presente Policy potrà essere modificata, integrata o integralmente sostituita in ogni momento, previa approvazione da parte dei membri dell’Organismo, per garantire i necessari adeguamenti a nuove norme di legge e/o a provvedimenti dell’Autorità, oltre che alle migliori best practices di settore.
Tutti i Destinatari sono tenuti a prenderne visione e a tenere in debita considerazione gli aggiornamenti che verranno apportati alla stessa e notificati di volta in volta. Nessun Destinatario potrà giustificare la propria condotta adducendo la mancata conoscenza del presente documento.
La presente policy (di seguito, la ‘Policy’) stabilisce le regole e le procedure applicabili alla gestione dei conflitti di interessi nell’ambito delle attività poste in essere dall’Organismo di Monitoraggio (di seguito, ‘OdM’ o ‘Organismo’) costituito, ai sensi dell’articolo 41 del Regolamento (UE) 2016/679 (di seguito, ‘GDPR’ o ‘Regolamento’), al fine di garantire il rispetto del ‘Codice di condotta per il trattamento dei dati personali in materia di informazioni commerciali’ adottato dall’Autorità Garante per la protezione dei dati personali con deliberazione del 12 giugno 2019 e da ultimo approvato con il provvedimento n. 181 del 29 aprile 2021 (di seguito, il ‘Codice di Condotta’), da parte dei Fornitori allo stesso aderenti.
Più specificamente, al fine di dare attuazione e garantire il rispetto di quanto previsto dal Codice di Condotta e dal Regolamento interno sul funzionamento dell’organismo di monitoraggio del ‘Codice di condotta per il trattamento dei dati personali in materia di informazioni commerciali’ (di seguito, ‘Regolamento interno’), adottato in data 5 ottobre 2021, l’OdM ha ritenuto opportuno redigere il presente documento al fine di:
Affinché l’Organismo possa adempiere al fondamentale compito di monitoraggio e controllo attribuito al medesimo dal Codice di Condotta, risulta assolutamente prioritario che i suoi Componenti garantiscano massima imparzialità e totale indipendenza.
Ciò significa anche evitare che possano insorgere delle situazioni di conflitto di interessi, reale o anche soltanto potenziale, che coinvolgano i Componenti dell’OdM, così come gli eventuali Terzi Fornitori a cui l’Organismo abbia delegato o intenda delegare lo svolgimento di specifiche attività di controllo e monitoraggio.
Per questa ragione, per mezzo della presente Policy si identificano regole e strumenti volte ad assicurare la costante prevenzione e la corretta gestione di eventuali conflitti di interessi che potrebbero pregiudicare e compromettere l’imparzialità e l’indipendenza dell’operato dei Componenti dell’Organismo e dei Terzi Fornitori a cui quest’ultimo si affidi.
L’individuazione di procedure e modelli vuole inoltre rendere lineare e trasparente la gestione di dette situazioni conflittuali, ponendosi al tempo stesso quale strumento in grado di dimostrare il corretto recepimento di quanto previsto e richiesto dal Codice di Condotta e dal Regolamento interno.
In merito alla struttura del corrente documento, dopo averne circoscritto il campo di applicazione, ed elencate, in via preliminare, talune direttive terminologiche, la Policy fornirà dapprima le regole da applicarsi per la corretta individuazione di un conflitto di interessi. Verranno quindi e successivamente presentate le misure da adottarsi per la prevenzione e la gestione di tali situazioni, a seconda che ad essere coinvolto sia un Componente dell’Organismo o un Terzo Fornitore e in base al momento in cui tali misure dovranno essere attuate. Tale sforzo di procedimentalizzazione si completa con l’impiego dei modelli e dei formulari raccolti negli allegati alla presente Policy.
Il perimetro applicativo del presente documento deve essere definito sia in riferimento alla natura delle attività disciplinate (ambito oggettivo), sia alle categorie di destinatari interessati (ambito soggettivo).
La presente Policy si applica alle situazioni di conflitto di interessi (secondo la definizione fornita al successivo paragrafo 5), reale o anche solo potenziale, che possono venire in rilievo nel corso e nell’ambito dell’espletamento delle funzioni di controllo e monitoraggio affidate all’Organismo ai sensi del Codice di Condotta e come specificate nel Regolamento interno.
Prendendo in considerazione i soggetti interessati da quanto previsto nel presente documento, questa Policy si applica:
Ai termini elencati di seguito, anche quando utilizzati senza la lettera maiuscola e/o declinati al plurale, dovrà attribuirsi il significato qui sotto descritto:
I termini a cui l’articolo 4 del GDPR e/o l’articolo 2 del Codice di Condotta, ma non la presente Policy, attribuiscono una specifica definizione, devono essere interpretati conformemente a quanto stabilito dal Regolamento e/o dal Codice di Condotta.
Oltre che sul Codice di Condotta e sul Regolamento interno, la presente Policy è basata, inter alia, sulle seguenti fonti:
Ai fini dell’applicazione di quanto previsto nella presente Policy, per ‘conflitto di interessi’ deve intendersi qualsiasi circostanza di fatto o di diritto, preesistente o sopravvenuta rispetto alla designazione quale Componente dell’Organismo o del conferimento dell’incarico quale Terzo Fornitore, in ragione della quale un interesse privato possa interferire, direttamente o indirettamente, con il corretto ed imparziale svolgimento dell’incarico conferito e, più in generale, delle attività di controllo demandate all’Organismo ai sensi del Codice di Condotta.
Si tratta pertanto di tutte quelle situazioni in presenza delle quali non sia possibile garantire la piena indipendenza, autonomia e terzietà dell’operato del singolo Componente, in seno all’OdM, o del Terzo Fornitore in conflitto di interessi.
A titolo meramente esemplificativo, una situazione rilevante ai sensi della presente Policy può presentarsi ogniqualvolta un Componente, o un Terzo Fornitore, vanti interessi personali (es. rapporti di parentela con un amministratore di un Fornitore aderente), professionali (es. essendo membro del collegio sindacale di una società che eserciti il controllo sul Fornitore aderente) o economici (es. agendo in qualità di consulente in favore di un Fornitore aderente) idonei a dar luogo a qualsiasi forma di interferenza o condizionamento nello svolgimento del proprio incarico in piena autonomia e indipendenza.
In attuazione di quanto previsto dal Codice di Condotta e dal Regolamento interno, con la presente Policy vengono definite una serie di misure da adottarsi al fine di escludere – e se del caso gestire – ogni rischio o situazione di conflitto di interessi o di indebita interferenza, ingerenza o condizionamento, diretti o indiretti, nei lavori e nelle mansioni dell’Organismo.
Dette misure possono essere classificate a seconda:
Secondo quanto previsto dall’articolo 12, comma 3, del Codice di Condotta, tutti i Componenti dell’Organismo devono costantemente garantire la massima imparzialità ed indipendenza anche evitando ogni situazione di conflitto di interessi, reale o anche solo potenziale, sia per sé stessi che avuto riguardo a propri parenti, affini entro il terzo grado, coniugi o conviventi.
Ai requisiti elencati dalla norma appena citata si devono ulteriormente aggiungere quelli enunciati all’articolo 2.5 del Regolamento interno. Ai sensi di tale ultima disposizione, non potranno in nessun caso essere designati quali Componenti coloro che:
Tanto le prerogative stabilite dall’articolo 12, comma 3, del Codice di Condotta, quanto quelle di cui all’articolo 2.5 del Regolamento interno (i c.d. ‘Requisiti Aggiuntivi’) devono essere possedute dal ciascun Componente dell’Organismo, Presidente compreso, al momento della designazione e successivamente mantenute per l’intera durata della propria carica.
Come disposto dall’articolo 12, comma 3, del Codice di Condotta, ogni Componente dovrà inderogabilmente dichiarare, senza alcun ingiustificato ritardo, preliminarmente alla formalizzazione della propria nomina ed in qualunque momento nel corso dell’esecuzione dei propri compiti, qualsiasi circostanza in grado di configurare o comunque determinare un conflitto di interessi, conseguentemente astenendosi dal prendere parte a qualsiasi processo decisionale e dal compiere qualsivoglia attività in seno all’Organismo per cui rilevi il conflitto di interessi che lo vede coinvolto.
Ciò dovrà avvenire attenendosi alle procedure e seguendo le formalità descritte nei paragrafi che seguono.
Secondo quanto disposto dall’articolo 3.2 del Regolamento interno, all’atto dell’assegnazione dell’incarico ogni Componente deve dichiarare per iscritto, ai sensi dell’articolo 47 del D.P.R. 445/2000, l’assenza di qualsiasi conflitto d’interessi, garantendo la propria indipendenza ed imparzialità ed informando il Consiglio Direttivo di ANCIC riguardo a qualsiasi circostanza in grado di configurare o comunque determinare un conflitto di interessi, sia esso reale o potenziale, dovendo altresì dichiarare che nessun proprio parente o affine entro il terzo grado, né coniuge o convivente, versi in alcuna delle condizioni di cui all’articolo 2.5 del medesimo Regolamento interno.
Tale dichiarazione dovrà essere resa da ciascun Componente, Presidente compreso, mediante la compilazione di apposito modulo che, debitamente sottoscritto e completo di tutti gli allegati ivi richiesti, dovrà essere consegnato a mano o inviato tramite email a segreteria@odmbi.com.
Secondo quanto previsto dall’articolo 3.3 del Regolamento interno, nei casi in cui, nel corso dello svolgimento del proprio mandato, emergano situazioni di conflitto di interessi che non siano state precedentemente dichiarate nei modi stabiliti dal precedente articolo 3.2 del medesimo Regolamento interno, il Componente interessato deve darne informazione all’Organismo senza alcun ritardo e comunque non oltre quarantotto ore successive alla conoscenza dei fatti rilevanti.
Tale comunicazione dovrà essere resa dal Componente interessato mediante la compilazione di apposito formulario che, debitamente sottoscritto e completo di tutti gli allegati ivi richiesti, dovrà essere consegnato a mano o inviato tramite e-mail a segreteria@odmbi.com.
Come previsto dall’articolo 3.4 del Regolamento interno, in qualunque situazione di acclarato conflitto di interessi, anche solo potenziale – manifestato nelle forme e secondo le modalità descritte nei precedenti paragrafi della presente Policy – il Componente cui lo stesso è riferito è obbligato ad astenersi dal prendere parte a qualsiasi processo decisionale e dal compiere qualsivoglia attività in seno all’Organismo per cui rilevi il conflitto di interessi che lo vede coinvolto.
Inoltre, ai sensi dell’articolo 3.5 del Regolamento interno, l’Organismo, nella persona del Segretario Generale, riporta nel registro previsto dalla presente Policy tutte le situazioni in cui sia stato notificato, sollevato o anche solo eccepito un conflitto di interessi, dandone una descrizione dettagliata ed illustrando le decisioni assunte a riguardo ai sensi degli articoli 3.4 e 3.5 del medesimo Regolamento interno. Detto registro, che sarà in formato elettronico e sarà custodito presso la sede dell’OdM, dovrà essere costantemente aggiornato dal personale preposto.
Infine, l’articolo 2.10 del Regolamento interno dispone che l’OdM può in qualsiasi momento deliberare, a maggioranza dei propri Componenti, la revoca di uno o più di essi per giusta causa, informandone entro due giorni il Garante ed il Consiglio Direttivo di ANCIC, quando si verifica:
L’articolo 12, comma 2 del Codice di Condotta permette all’Organismo, laddove lo stesso avesse necessità di personale di supporto ai fini di un efficiente svolgimento dei propri compiti, ad eccezione di quelli che determinino o presuppongano l’esercizio di poteri decisionali, di affidare il relativo incarico anche a collaboratori o fornitori esterni di servizi.
Tali Terzi Fornitori, secondo il dettato dell’articolo 6.3 del Regolamento interno, devono – inter alia – assumere obblighi di indipendenza ed imparzialità, trasparenza operativa ed assenza di conflitti di interessi.
Detti obblighi devono essere espressamente assunti dai Terzi Fornitori nei Contratti dai medesimi sottoscritti, attenendosi e dando attuazione a quanto disposto dal Codice di Condotta, dal Regolamento interno e, più in generale, dalla normativa di volta in volta applicabile. Nel medesimo regolamento contrattuale devono altresì essere previsti e regolati gli obblighi, anche informativi, in capo ai Terzi Fornitori per i casi di sopravvenienza di un conflitto di interessi.
La presente Policy è valida e vincolante per tutti i Destinatari.
Una copia di questo documento verrà messa a disposizione di ciascun Destinatario tramite Posta Elettronica Certificata e sarà pubblicata, sempre a cura del Segretario Generale, sul sito web dell’Organismo.
La presente Policy potrà essere modificata, integrata o integralmente sostituita in ogni momento, previa approvazione da parte dei membri dell’Organismo, per garantire i necessari adeguamenti a nuove norme di legge e/o a provvedimenti dell’Autorità, oltre che alle migliori best practices di settore.
Tutti i Destinatari sono tenuti a prenderne visione e a tenere in debita considerazione gli aggiornamenti che verranno apportati alla stessa e notificati di volta in volta. Nessun Destinatario potrà giustificare la propria condotta adducendo la mancata conoscenza del presente documento.
La presente policy (di seguito, la ‘Policy’) stabilisce le regole e le procedure applicabili alla selezione e alla gestione dei fornitori esterni da parte dell’Organismo di monitoraggio (di seguito, l’‘OdM’ o l’‘Organismo’) costituito, ai sensi dell’articolo 41 del Regolamento (UE) 2016/679 (di seguito, il ‘GDPR’ o il ‘Regolamento’), al fine di garantire il rispetto del ‘Codice di condotta per il trattamento dei dati personali in materia di informazioni commerciali’, adottato dall’Autorità Garante per la protezione dei dati personali con deliberazione del 12 giugno 2019 e da ultimo approvato con il provvedimento n. 181 del 29 aprile 2021 (di seguito, il ‘Codice di Condotta’), da parte dei Fornitori allo stesso aderenti.
Conformemente a quanto stabilito dall’art. 6 del Regolamento interno sul funzionamento dell’organismo di monitoraggio del ‘codice di condotta per il trattamento dei dati personali in materia di informazioni commerciali’ (di seguito, il ‘Regolamento interno’), adottato in data 5 ottobre 2021, l’OdM ha ritenuto opportuno redigere il presente documento al fine di:
La particolare attenzione che occorre prestare sin dalle prime fasi di instaurazione del rapporto contrattuale con una terza parte risulta direttamente collegata al compito fondamentale di monitoraggio e controllo attribuito all’OdM ai sensi del Codice di Condotta, con riferimento ai trattamenti di dati personali posti in essere nel settore delle informazioni commerciali da parte dei Fornitori aderenti.
La presente Policy offre, dunque, un primo strumento di verifica ed analisi utile ad affidare incarichi esterni solamente a collaboratori e/o terzi fornitori che assicurino esperienza ed affidabilità elevate per eseguire con puntualità e competenza le attività delegate, nel rispetto dei principi sanciti dalla normativa in materia di protezione dei dati personali e del Codice di Condotta.
In merito alla struttura della presente Policy, si evidenzia che verrà fornita, in via preliminare, una breve descrizione dei ruoli privacy che l’Organismo potrebbe rivestire ai sensi della normativa in materia di protezione dei dati personali. Successivamente, si forniranno degli strumenti per identificare il possibile ruolo dei Terzi Fornitori (come di seguito definiti) rispetto ai servizi esternalizzati che implichino un trattamento dei dati personali, conformemente al quadro normativo di riferimento. A seguire si introdurranno degli strumenti per garantire, su base continuativa, il mantenimento dei requisiti di garanzia e affidabilità previsti dal GDPR, dal Codice di Condotta, nonché dal Regolamento interno.
Il perimetro applicativo del presente documento deve essere definito sia in riferimento alla natura delle attività in esso disciplinate (ambito oggettivo), sia alle categorie di destinatari interessati (ambito soggettivo).
La presente Policy si applica al processo di selezione dei Terzi Fornitori cui l’Organismo può delegare lo svolgimento di una o più attività di controllo e monitoraggio di cui al Codice di Condotta, ad eccezione di quelle che determinano o presuppongono l’esercizio di poteri decisionali, quando dalle stesse derivi l’esigenza per i Terzi Fornitori selezionati ed appositamente incaricati di trattare dati personali per conto dell’OdM in conformità alla normativa in materia di protezione dei dati personali, con particolare ma non limitato riferimento al Codice di Condotta, oltre che al Regolamento interno.
I soggetti destinatari cui deve applicarsi la presente Policy sono:
(di seguito, congiuntamente, i ‘Destinatari’).
Ai termini elencati di seguito, anche quando utilizzati senza la lettera maiuscola e/o declinati al plurale, dovrà attribuirsi il corrispondente significato:
I termini a cui l’art. 4 GDPR e/o l’art. 2 del Codice di Condotta, ma non la presente Policy, attribuiscono una specifica definizione, devono essere interpretati conformemente a quanto stabilito dal Regolamento e/o dal Codice di Condotta.
Oltre che sul Codice di Condotta e sul Regolamento interno, la presente Policy sono basate, inter alia, sulle seguenti fonti:
Ai sensi dell’art. 4 del Regolamento, il Titolare del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.
Il ‘Responsabile’, invece, indica una persona fisica o giuridica, un’autorità pubblica, agenzia o altro ente che tratta i dati personali esclusivamente per conto del Titolare. L’essenza di tale figura è quindi quella di un delegato che agisce quale longa manus operativa su incarico e nell’interesse del Titolare.
Sebbene le responsabilità di compliance siano primariamente attribuite al Titolare, la funzione esecutiva del Responsabile non mina la sua indipendenza nell’adempimento dei compiti specifici che gli sono assegnati da parte del Titolare. Il Responsabile può infatti godere di un considerevole grado di autonomia nel fornire i suoi servizi, potendo anche identificare taluni elementi non essenziali dell’operazione di trattamento, inclusi i dettagli dei mezzi operativi e tecnici del trattamento.
Fermo quanto sopra premesso, si comprende quindi che le terze parti che interagiscono con l’Organismo in relazione all’esecuzione di un determinato Contratto, potrebbero qualificarsi come Responsabili del trattamento. Ad ogni modo, in alcune limitate – e piuttosto rare –circostanze le terze parti potrebbero anche qualificarsi come Titolari autonomi del trattamento dei dati messi a disposizione da parte dell’OdM.
Tenuto conto di quanto specificato sopra, sono principalmente due le circostanze in cui un Terzo Fornitore potrebbe essere qualificato quale Titolare del trattamento:
Esempio
Al Terzo Fornitore viene chiesto da parte delle autorità giudiziarie di esibire documenti dai quali si evince un trattamento di dati personali svolto per conto dell’Organismo. In tale caso, la messa a disposizione dei documenti (che si configura come comunicazione di dati personali dal responsabile ad un nuovo titolare del trattamento – appunto l’autorità giudiziaria) fa sì che il ruolo privacy del Terzo Fornitore cambi, diventando a sua volta, in automatico, titolare del trattamento dei dati personali comunicati la cui titolarità originaria è dell’OdM.
Tenuto conto di quanto stabilito dall’articolo 28 del GDPR[1], il Titolare del trattamento deve valutare se le garanzie offerte dal Terzo Fornitore siano sufficienti, prima di procedere con quest’ultimo alla stipula dell’atto di nomina quale Responsabile del trattamento. Alla luce del principio di accountability, il Titolare deve infatti essere in grado di provare di aver tenuto in debita considerazione ogni elemento previsto dal GDPR.
D’altro canto, il Responsabile deve sempre essere in grado di dimostrare per tabulas di poter garantire l’implementazione di misure tecniche ed organizzative adeguate ad adempiere agli obblighi stabiliti dal GDPR.
A seguito della verifica dei requisiti, una volta individuato il Responsabile idoneo, è necessario redigere un Accordo contenente le istruzioni sulle attività di trattamento da sottoscrivere con il Responsabile.
1° FASE – Verifica dei requisiti
Verificare il possesso da parte del Responsabile delle garanzie necessarie attraverso la richiesta e valutazione della documentazione privacy pertinente alle attività di trattamento.
2° FASE – Stipula dell’Accordo
Definire le istruzioni specifiche relative alle operazioni di trattamento da delegare in un Accordo o altro atto giuridico vincolante (DPA), separato o allegato al Contratto.
Ai fini del rispetto del Regolamento, non risulta essenziale che la bozza di Accordo sia unilateralmente redatta da parte del Titolare (si prenda il caso di importanti fornitori di servizi digitali che, pur agendo come responsabili del trattamento, tendono a fornire set documentali in forma standard che includono anche i DPA). La parte proponente non è rilevante fintantoché risulti possibile per il Titolare esercitare il proprio potere decisionale attraverso la proposta di modifiche ed aggiustamenti del testo contrattuale. In tal senso, non risulterebbero accettabili modifiche unilaterali del DPA che non siano adeguatamente portate a conoscenza del Titolare e da questi esplicitamente accettate.
Se la maggior parte delle risposte alle seguenti affermazioni è “SI”, il Terzo Fornitore è con tutta probabilità un responsabile del trattamento.
Se invece la valorizzazione dei campi propenderà per il “NO”, è probabile che il Terzo Fornitore agirà quale autonomo Titolare del trattamento.
Salvo casi eccezionali e al momento non prevedibili, non si ritiene che l’Organismo possa agire, congiuntamente ad un Terzo Fornitore, in qualità di Contitolare del trattamento.
Una volta definito il ruolo del Terzo Fornitore eventualmente coinvolto nell’operazione di trattamento ed appurato che lo stesso agirà quale Responsabile, occorre che l’Organismo verifichi – e sia quindi in grado di dimostrare in un secondo momento – la sussistenza delle garanzie indicate dall’art. 28, comma 1, del GDPR, al fine di definire il DPA tra l’OdM e il Responsabile del trattamento (cfr. paragrafo 5.2).
Resta inteso che, anche laddove il Terzo Fornitore agisse quale Titolare autonomo del trattamento, quest’ultimo dovrà assicurare di possedere una serie di requisiti, in linea con quanto disciplinato dall’art. 6 del Regolamento interno dell’OdM (si veda più avanti il paragrafo 7).
Nella scelta del Responsabile per una data operazione di trattamento rilevano, come sopra anticipato, diversi fattori. Tra questi, dovrebbero essere presi in considerazione dall’ OdM, al fine di valutare la sufficienza delle garanzie da parte del Responsabile:
Inoltre, l’Organismo è chiamato a valutare se il Terzo Fornitore consente di esercitare un sufficiente grado di controllo, tenuto conto della natura, dell’ambito, del contesto e delle finalità del trattamento, nonché dei possibili rischi per gli Interessati. Nella prassi, potrebbe risultare complesso negoziare gli aspetti dell’Accordo con fornitori di servizi informatici operanti su scala globale. Anche nei casi in cui sia evidente uno squilibrio di potere negoziale tra le parti, tale circostanza non dovrebbe essere considerata una giustificazione per l’Organismo ad accettare clausole dell’Accordo che non siano in compliance con la normativa in materia di protezione dei dati, né tale disparità può condurre a una esautorazione degli obblighi dell’Organismo come deducibili dal Regolamento interno e dal GDPR[2].
Alla luce di ciò, la scelta di un Terzo Fornitore che sia in grado di dimostrare elevati livelli di compliance e che possa fornire prova documentale dell’implementazione di misure idonee agli obblighi imposti dal GDPR dovrebbe essere preferita ad altre meno data protection-oriented.
Per rispondere a tale esigenza, è stato redatta la Checklist per la selezione dei Terzi Fornitori contenente un elenco di adempimenti normativi in materia di protezione dei dati personali rispetto ai quali sono state individuate una o più misure che il Responsabile prescelto dovrebbe aver implementato. A tali controlli è inoltre attribuito un livello di presidio, utile a comprendere l’essenzialità della misura e, dunque, a valutare le attività da porre in essere in caso di relativa assenza (i controlli essenziali o, comunque, altamente raccomandati sono identificati con il livello 1, mentre i controlli riferibili ai livelli 2 descrivono tutele più avanzate).
Se si escludono i Terzi Fornitori che abbiano aderito ad un codice di condotta approvato ai sensi dell’articolo 40 del GDPR o a un meccanismo di certificazione approvato ai sensi dell’articolo 42 del Regolamento, circostanze considerate ex lege idonee a dimostrare le garanzie sufficienti richieste dall’articolo 28, comma 1, del GDPR, la Checklist può rappresentare un utile strumento di compliance da utilizzare durante le fasi di selezione dei potenziali Responsabili del trattamento.
A ciò si aggiunga che la verifica proposta mediante la Checklist potrebbe essere parimenti effettuata anche per valutare, su base continuativa, il mantenimento dei requisiti e la corretta implementazione delle garanzie sufficienti. Indipendentemente dalla durata dell’operazione di trattamento delegata al Terzo Fornitore, l’Organismo dovrebbe infatti assicurarsi che tali garanzie permangano per tutto il periodo in cui i dati personali sono oggetto di trattamento.
Risulta chiaro, però, che in caso di operazioni di trattamento effettuate per un limitato periodo di tempo, la verifica continuativa potrebbe essere superflua o non percorribile (ad esempio in caso di un evento organizzato dall’OdM, l’incarico del Terzo Fornitore in merito all’assistenza e alla gestione dei partecipanti in loco avrà un’estensione temporale piuttosto ridotta). Diversamente, nel caso in cui le attività affidate perdurassero per un lasso di tempo più lungo (si pensi, ad esempio, all’attribuzione della manutenzione del sistema informativo utilizzato per l’espletamento delle funzioni istituzionali ad una terza parte su base annuale), l’Organismo dovrebbe poter verificare – ed essere sempre in grado di dimostrare – il rispetto delle rilevanti disposizioni in connessione al trattamento dei dati personali degli Interessati per tutto il periodo di delega.
A prescindere dalla qualifica del Terzo Fornitore quale Titolare o Responsabile del trattamento ai sensi del GDPR in connessione alle attività di controllo delegate da parte dell’OdM, il Terzo Fornitore è comunque tenuto ad uniformarsi a quanto previsto dal Regolamento interno, nonché dalle ulteriori Linee guida e/o Policy adottate da parte dell’OdM.
In particolare, conformemente a quanto indicato nell’art. 6 del Regolamento interno, il Terzo Fornitore dovrà:
Al fine di vincolare adeguatamente il Terzo Fornitore al rispetto delle istruzioni e delle misure qui sopra identificate, i membri dell’OdM e/o il personale operante sotto l’autorità dello stesso dovranno inviare, prima di concludere le pratiche connesse all’affidamento dell’incarico – ossia prima della sottoscrizione del Contratto (e dell’eventuale accordo di nomina ex art. 28 GDPR) – e ricevere sottoscritta da parte del Terzo Fornitore, un’apposita Dichiarazione di accettazione.
La presente Policy è valida e vincolante per tutti i Destinatari.
Una copia del presente documento sarà messa a disposizione di ciascun Destinatario tramite Posta Elettronica Certificata e sarà pubblicata, sempre a cura del Segretario Generale, sul sito web dell’Organismo.
Questa Policy potrà essere modificata, integrata o integralmente sostituita in ogni momento, previa approvazione da parte dell’Organismo, per garantire i necessari adeguamenti a nuove norme di legge e/o a provvedimenti dell’Autorità, oltre che alle migliori best practices di settore.
Tutti i Destinatari sono tenuti a prenderne visione e a tenere in debita considerazione gli aggiornamenti che verranno apportati alle stesse, come di volta in volta notificati. Nessun Destinatario potrà giustificare la propria condotta adducendo la mancata conoscenza del presente documento.
[1] Articolo 28, comma 1, del Regolamento: “Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”.
[2] Cfr. EDPB, Linee guida 7/2020, pp. 30-32.