Archivi Portfolio

PolicyPolicy sull’esecuzione di attività di controllo e verifica nei confronti dei fornitori

1. Finalità e struttura della Policy

La presente policy (di seguito, la ‘Policy’) stabilisce le regole e le procedure applicabili allo svolgimento di controlli ed ispezioni da parte dell’Organismo di monitoraggio (di seguito, l’‘OdM’ o l’‘Organismo’) costituito, ai sensi dell’articolo 41 del Regolamento (UE) 2016/679 (di seguito, il ‘GDPR’ o il ‘Regolamento’), al fine di garantire il rispetto del ‘Codice di condotta per il trattamento dei dati personali in materia di informazioni commerciali’ adottato dall’Autorità Garante per la protezione dei dati personali con deliberazione del 12 giugno 2019 e da ultimo approvato con il provvedimento n. 181 del 29 aprile 2021 (di seguito, il ‘Codice di Condotta’).

Al fine di dare attuazione e garantire il rispetto di quanto previsto dal Codice di Condotta e dal Regolamento interno sul funzionamento dell’organismo di monitoraggio del ‘Codice di condotta per il trattamento dei dati personali in materia di informazioni commerciali’ (di seguito, il ‘Regolamento interno’), adottato in data 5 ottobre 2021, l’OdM ha ritenuto opportuno redigere il presente documento al fine di:

definire il metodo e l’iter di svolgimento delle attività di controllo e verifica previste dal Codice di Condotta nei confronti dei soggetti ad esso aderenti, siano essi associati o meno all’Associazione Nazionale tra le Imprese di Informazioni Commerciali e di Gestione del Credito (di seguito, ‘ANCIC’);
identificare puntualmente le diverse fasi del procedimento e, per ciascuna di esse, le specifiche attività da espletarsi;
dotarsi di uno strumento operativo in grado di favorire la corretta attuazione di quanto previsto dal Codice di Condotta e dal Regolamento interno.

La funzione di monitoraggio e controllo attribuita all’Organismo dal Codice di Condotta si esplica, oltre che nella gestione dei reclami che possono insorgere fra i Fornitori e gli Interessati (entrambi di seguito definiti), per cui è stata adottata una specifica policy, in particolare nello svolgimento di attività di verifica del concreto e costante rispetto, da parte dei Fornitori, di tutte le prescrizioni del Codice di Condotta e, più in generale, della normativa applicabile in materia di protezione dei dati personali.

La rilevanza pubblica di alcune delle decisioni che possono essere assunte all’esito delle attività di verifica, così come gli obblighi informativi nei confronti del Garante, rendono ancora più evidente l’importanza di disporre di strumenti, come questa Policy, utili ad assicurare il rispetto di quanto previsto dal Codice di Condotta e dal Regolamento interno.

Tramite questo documento si vogliono quindi stabilire, in maniera chiara e puntuale, le regole connesse all’esecuzione delle procedure di verifica, ivi incluse le ispezioni, che l’OdM è tenuto a svolgere ai sensi dell’articolo 12, comma 5, del Codice di Condotta.

In merito alla struttura della Policy, dopo averne circoscritto il campo di applicazione ed aver delineato alcune definizioni basilari, si fornirà una descrizione della metodologia e delle fasi del procedimento di verifica e controllo previsto nei confronti dei Fornitori.

2. Ambito di applicazione della Policy

Il perimetro applicativo del presente documento deve essere definito sia in riferimento alla natura delle attività in esso disciplinate (ambito oggettivo), sia alle categorie di destinatari interessati (ambito soggettivo).

2.1 Ambito oggettivo

La Policy si applica a qualsiasi attività di controllo svolta da parte dell’Organismo, a prescindere dalla forma di volta in volta prescelta (es. audit da remoto, ispezione in loco, richiesta di informazioni o chiarimenti, compilazione di questionari) per verificare la corretta attuazione del Codice di Condotta ed il puntuale adempimento di tutti gli obblighi stabiliti dalla normativa vigente in materia di protezione dei dati personali da parte dei Fornitori.

2.2 Ambito soggettivo

I soggetti destinatari cui deve applicarsi questa Policy sono:

i Componenti dell’Organismo, attuali e futuri, chiamati ad eseguire i controlli richiesti dal Codice di Condotta e dal Regolamento interno;
i Fornitori oggetto di verifica ai sensi del Codice di Condotta;
le eventuali società terze agenti, ai fini dell’esecuzione dei controlli oggetto della presente Policy, per conto e su incarico specifico dell’OdM;
il personale amministrativo, incluso il Segretario Generale, operante in favore dell’Organismo, qualora coinvolto in alcuna delle attività descritte nella presente Policy.

(di seguito, congiuntamente, i ‘Destinatari’).

3. Definizioni

Ai termini elencati di seguito, anche quando utilizzati senza la lettera maiuscola e/o declinati al plurale, dovrà attribuirsi il significato qui sotto descritto:

Componenti: i cinque membri dell’Organismo designati secondo le regole dettate dal Codice di Condotta e dal Regolamento interno;

Dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile. L’identificazione della persona fisica può avvenire sia direttamente (es. nome e cognome, indirizzo e-mail nominativo, codice fiscale) che indirettamente (es. indirizzi IP, IMEI cellulare, MAC Address), tramite dati quali: nome, un numero di identificazione, dati relativi all’ubicazione, elementi caratteristici dell’identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
EDPB (European Data Protection Board): il Comitato Europeo per la Protezione dei Dati;
Fornitore: il soggetto privato aderente al Codice di Condotta che, in base all’articolo 134 del T.U.L.P.S. e s.m.i. e al D.M. n. 269/2010, svolge nei confronti di uno o più committenti servizi di informazione commerciale;
Garante o Autorità: l’Autorità Garante per la protezione dei dati personali.
Organismo di Monitoraggio: l’organismo accreditato da parte del Garante ai sensi dell’articolo 41 del GDPR e preposto al controllo della conformità alle disposizioni del Codice di Condotta da parte di tutti i fornitori ad esso aderenti;
Soggetto censito o Interessato: il soggetto cui si riferiscono il servizio di informazione commerciale o il rapporto informativo richiesti al Fornitore da parte del committente;
Società esterne: qualsiasi soggetto terzo rispetto all’organizzazione dell’Organismo, di ANCIC o di un qualsiasi Fornitore, a cui venga affidato da parte dell’OdM lo svolgimento di specifiche attività di controllo e verifica, ad eccezione di quelle che presuppongono o determinano l’esercizio di poteri decisionali;
Trattamento: qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione l’adattamento o la modifica, l’estrazione, la consulenza, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.

I termini a cui l’articolo 4 del GDPR e/o l’articolo 2 del Codice di Condotta, ma non la presente Policy, attribuiscono una specifica definizione, devono essere interpretati conformemente a quanto stabilito dal Regolamento e/o dal Codice di Condotta.

4. Fonti di riferimento

Oltre che sul Codice di Condotta e sul Regolamento interno, la presente Policy è basata, inter alia, sulle seguenti fonti:

il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE;
il D.lgs. 30 giugno 2003, n. 196, recante il ‘Codice in materia di protezione dei dati personali’, come modificato ed integrato dal D.lgs. 10 agosto 2018, n. 101, recante ‘Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679’ (di seguito, il ‘Codice Privacy’);
le ‘Linee guida 4/2018 relative all’accreditamento degli organismi di certificazione a norma dell’articolo 43 del Regolamento generale sulla protezione dei dati’ adottate in via definitiva dall’EDPB il 4 giugno 2019;
le ‘Linee guida 1/2019 sui codici di condotta e sugli organismi di monitoraggio a norma del Regolamento (UE) 2016/679’ adottate dall’EDPB il 4 giugno 2019;
il provvedimento n. 98 del 10 giugno 2020, con il quale il Garante, ai sensi dell’articolo 57, paragrafo 1, lettera p), del Regolamento, ha approvato i requisiti per l’accreditamento dell’OdM, tenendo conto delle osservazioni rese dall’EDPB nel parere adottato il 25 maggio 2020;
il provvedimento n. 59 dell’11 febbraio 2021, con il quale il Garante, ai sensi dell’articolo 57, paragrafo 1, lettera q) del Regolamento, all’esito dell’esame della richiesta di accreditamento e della relativa documentazione presentata da ANCIC il 17 dicembre 2020, ha accreditato l’OdM preposto alla verifica del rispetto del Codice di Condotta.

5. Casi di controllo

Fermo restando il potere dell’OdM di svolgere, in qualsiasi momento e senza necessità di preavviso, tutte le verifiche di volta in volta ritenute opportune per accertare il pieno rispetto, da parte dei Fornitori, degli obblighi stabiliti dal Codice di Condotta, le attività di controllo avverranno in particolare nei seguenti casi (di seguito, i ‘Controlli occasionali’):

sulla base di segnalazioni specifiche pervenute da parte di Interessati;
sulla base della particolare frequenza e/o gravità dei reclami ricevuti o delle violazioni rilevate direttamente da parte dell’OdM o fatte valere da parte degli Interessati.

A prescindere da quanto sopra e quindi eventualmente in aggiunta ai Controlli occasionali scaturiti dalle circostanze descritte ai precedenti punti 1 e 2, l’Organismo svolgerà annualmente verifiche di conformità al Codice di Condotta (di seguito, i ‘Controlli routinari’) nei confronti di un numero di Fornitori, scelti per estrazione a sorte, pari almeno al 10% del totale degli aderenti al 1° gennaio di ciascun anno.

I criteri di selezione dei Fornitori da sottoporre ai Controlli routinari sono definiti da parte dell’Organismo, anche tenendo conto di decisioni, linee guida, piani ispettivi o provvedimenti di particolare rilievo eventualmente adottati dal Garante o dall’EDBP nei mesi precedenti, entro la fine di gennaio di ogni anno e possono essere integrati o rivisti nel corso dell’anno, previa apposita delibera dell’OdM stesso.

Qualora nel corso dello svolgimento di un Controllo routinario dovesse emergere l’esigenza di eseguire un Controllo occasionale sul medesimo Fornitore, l’Organismo potrà decidere, a propria esclusiva discrezione ed eventualmente sentito il Fornitore coinvolto, se sospendere o meno le attività di Controllo routinario per l’intera o parte della durata del Controllo occasionale.

6. Tipologia di controlli eseguibili

In conformità a quanto stabilito dal Codice di Condotta (articolo 12, comma 5), l’Organismo può assolvere ai propri compiti di monitoraggio eseguendo tutte le verifiche ritenute opportune per accertare il puntuale rispetto, da parte del Fornitore coinvolto, di tutte o solo di specifiche prescrizioni del Codice di Condotta.

Tali verifiche possono essere svolte, anche in ragione dei profili che l’Organismo intende specificamente appurare, mediante gli strumenti di controllo che quest’ultimo considera più idonei al raggiungimento degli obiettivi di volta in volta identificati. L’OdM può quindi esercitare tutti i poteri ispettivi necessari ad assicurare una puntuale ed efficiente vigilanza sull’osservanza del Codice di Condotta, tra cui a titolo esemplificativo:

svolgere audit ed effettuare tutte le verifiche e le ispezioni ritenute opportune ai fini del corretto espletamento dei propri compiti, sia direttamente nei locali aziendali del Fornitore che da remoto;
avere libero accesso presso tutte le funzioni, gli archivi, i documenti, le infrastrutture e gli impianti del Fornitore, senza alcun consenso preventivo o necessità di autorizzazione, al fine di ottenere ogni informazione, dato o evidenza documentale ritenuta necessaria;
disporre, ove occorra, l’audizione di dipendenti, amministratori e dirigenti del Fornitore, al fine di raccogliere informazioni o chiarimenti utili, concordando preventivamente gli impegni, sempre che non vi ostino ragioni d’urgenza;
inviare richieste di informazione e di chiarimento e chiedere la compilazione di appositi questionari.

Fermo quanto sopra, le attività di controllo vengono di norma eseguite da parte dell’OdM da remoto, anche mediante sottoposizione al Fornitore, di una checklist contenente almeno gli elementi di cui all’Allegato 1 della presente Policy e successivo invio, da parte del Fornitore, di tutta la documentazione richiesta o, in aggiunta, comunque ritenuta utile a dimostrare, in ottica di accountability, la piena conformità al Codice di Condotta dei trattamenti svolti nell’ambito della fornitura di servizi di informazione commerciale. Tra la documentazione oggetto di verifica, l’OdM può richiedere anche ogni genere di evidenza informatica rilevante, quali a titolo meramente esemplificativo, estratti o copie di schermate video rilevanti, file di log e metadati, ticket di accesso a sistemi e database.

Come stabilito dal Codice di Condotta, l’Organismo può anche svolgere ispezioni presso la sede, gli uffici ed i locali rilevanti (es. CED e data center) dei Fornitori, o dei loro responsabili del trattamento, al verificarsi delle circostanze che richiedono l’esecuzione di Controlli occasionali ai sensi del precedente paragrafo 5, o in caso di gravi mancanze o acclarate criticità emerse dalla checklist o dalla successiva analisi documentale.

7. Modalità e fasi di esecuzione dei controlli

L’esecuzione di attività di verifica da parte dell’OdM richiede un preavviso nei confronti del Fornitore non superiore alle 48 ore dall’invio della checklist (Allegato 1), da parte dell’OdM, o della richiesta di informazioni o di chiarimenti, o di qualsiasi altra documentazione rilevante, oppure dell’inizio dello svolgimento di un’ispezione in loco.

I Fornitori sono tenuti a prestare la massima collaborazione nei confronti dell’OdM, o dei soggetti da esso appositamente delegati, ai fini del proficuo svolgimento di tutte le attività di controllo di cui al precedente paragrafo 6. L’eventuale mancato adempimento di tale obbligo deve essere valutato da parte dell’Organismo, insieme ad ogni altro elemento utile, in sede di decisione finale, all’esito delle attività di controllo, sul livello di conformità del Fornitore al Codice di Condotta e alla normativa in materia di protezione dei dati personali.

In conformità a quanto previsto dall’articolo 12, comma 2, del Codice di Condotta e nel rispetto dei requisiti stabiliti dall’articolo 6 del Regolamento interno, l’OdM può affidare a Società terze o consulenti l’esecuzione di qualsiasi genere di attività di controllo e verifica, ad eccezione di quelle che presuppongono o determinano l’esercizio di poteri decisionali. Gli obblighi di cooperazione applicabili al Fornitore, descritti al paragrafo che precede, restano ovviamente immutati in tutte le ipotesi di controlli svolti da parte di Società terze su incarico e per conto dell’Organismo.

Tutte le attività di monitoraggio e controllo svolte da parte dell’OdM ai sensi del Codice di Condotta ed in conformità alla presente Policy devono essere documentate in apposito verbale, da inviarsi al Fornitore coinvolto entro 10 (dieci) giorni dalla chiusura delle relative operazioni. Gli addebiti eventualmente mossi nei confronti del Fornitore devono essere motivati e circostanziati in una nota di accompagnamento al verbale, così che quest’ultimo possa, nei 15 (quindici) giorni lavorativi successivi, fornire chiarimenti a riguardo e presentare le proprie note di replica.

Qualora l’Organismo, sulla base degli elementi acquisiti, ritenga di essere già in condizione di valutare compiutamente la questione, adotterà la propria decisione entro i 60 (sessanta) giorni lavorativi successivi. In caso contrario, l’OdM potrà richiedere al Fornitore ulteriori precisazioni, così come l’acquisizione di altri documenti o lo svolgimento di audizioni, raccogliendo in ogni caso tutti gli elementi necessari alla miglior definizione del procedimento.

Nel caso in cui venga disposta un’audizione, di cui deve essere redatto un sintetico verbale da inviare al Fornitore entro i 5 (cinque) giorni successivi, la stessa avrà luogo presso la sede dell’Organismo e nella data fissata da quest’ultimo. In sede di audizione il Fornitore potrà farsi assistere da un avvocato o da altro consulente.

La decisione finale da parte dell’Organismo, all’esito del procedimento di valutazione dei risultati delle attività ispettive e di controllo, secondo quanto stabilito al successivo paragrafo 8, non potrà essere assunta oltre 90 (novanta) giorni lavorativi successivi alla data di conclusione delle stesse, come riportata sull’apposito verbale.

8. Decisioni derivanti dai controlli

Al termine della procedura descritta al precedente paragrafo 7, svolte le necessarie discussioni riguardo ai risultati delle attività di verifica eseguite, l’OdM può stabilire di applicare al Fornitore, motivando adeguatamente la decisione, tenuto conto della gravità della violazione riscontrata, una o più delle seguenti misure:

un richiamo formale indirizzato esclusivamente al Fornitore coinvolto;
un richiamo da pubblicarsi in apposita sezione del sito web dell’Organismo;
la sospensione temporanea dell’adesione del Fornitore al Codice di Condotta;
la revoca dell’adesione del Fornitore al Codice di Condotta.

Le decisioni mediante cui vengano applicate misure di sospensione temporanea o di revoca dell’adesione del Fornitore aderente al Codice di Condotta, devono essere trasmesse al Garante entro tre (3) giorni dalla loro adozione e, sempre ad opera del Segretario Generale dell’OdM, essere pubblicate, anche in forma sintetica, previo oscuramento dei dati personali eventualmente presenti, in apposita sezione del sito web dell’Organismo, raggiungibile all’indirizzo www.odminformazionicommerciali.it.

9. Vigenza e modifiche alla presente Policy

La presente Policy è valida e vincolante per tutti i Destinatari.

Una copia di questo documento verrà messa a disposizione di ciascun Destinatario tramite Posta Elettronica Certificata e sarà pubblicata, sempre a cura del Segretario Generale, sul sito web dell’Organismo.

La presente Policy potrà essere modificata, integrata o integralmente sostituita in ogni momento, previa approvazione da parte della maggioranza dei Componenti, per garantire i necessari adeguamenti a nuove norme di legge e/o a provvedimenti dell’Autorità, oltre che alle migliori best practices di settore.

Tutti i Destinatari sono tenuti a prenderne visione e a tenere in debita considerazione gli aggiornamenti che verranno apportati alla stessa, come di volta in volta notificati. Nessun Destinatario potrà giustificare la propria condotta adducendo la mancata conoscenza del presente documento.

Allegato 1 – Checklist per l’esecuzione di verifiche presso i fornitori aderenti al Codice di Condotta

La checklist è visibile scaricando il pdf allegato.

1. Finalità e struttura della Policy

La presente policy (di seguito, la ‘Policy’) stabilisce le regole e le procedure applicabili alla gestione, da parte dell’Organismo di Monitoraggio (di seguito, l’‘OdM’ o l’‘Organismo’) costituito, ai sensi dell’articolo 41 del Regolamento (UE) 2016/679 (di seguito, il ‘GDPR’ o il ‘Regolamento’), al fine di garantire il rispetto del ‘Codice di condotta per il trattamento dei dati personali in materia di informazioni commerciali’ adottato dall’Autorità Garante per la protezione dei dati personali con deliberazione del 12 giugno 2019 e da ultimo approvato con il provvedimento n. 181 del 29 aprile 2021 (di seguito, il ‘Codice di Condotta’), dei reclami presentati da parte degli interessati ai sensi dell’Art. 12, par. 6, del Codice di Condotta.

Più specificamente, al fine di dare attuazione e garantire il rispetto di quanto previsto dal Codice di Condotta e dal Regolamento interno sul funzionamento dell’organismo di monitoraggio del ‘Codice di condotta per il trattamento dei dati personali in materia di informazioni commerciali’ (di seguito, il ‘Regolamento interno’), adottato in data 5 ottobre 2021, l’OdM ha ritenuto opportuno redigere il presente documento al fine di:

definire la procedura da seguire per la gestione dei reclami presentati ai sensi del Codice di Condotta;
identificare puntualmente le diverse fasi del procedimento e, per ciascuna di esse, le specifiche attività da espletarsi;
dotarsi di uno strumento operativo in grado di favorire la corretta e costante attuazione di quanto previsto dal Codice di Condotta e dal Regolamento interno.

La funzione di monitoraggio e controllo attribuita all’Organismo dal Codice di Condotta include anche il compito di gestire gli eventuali reclami che possono insorgere fra i Fornitori (come di seguito definiti) e gli Interessati (come di seguito definiti) relativamente alle violazioni del Codice di Condotta. Tale attività deve essere espletata dall’OdM nel rispetto di fondamentali principi, quali la pienezza del contraddittorio e la totale imparzialità, e secondo precise regole che disciplinano ogni fase del procedimento. La rilevanza pubblica di alcune delle decisioni assunte, così come gli obblighi informativi nei confronti del Garante, rendono ancora più evidente l’importanza di disporre di strumenti utili ad assicurare il rispetto di quanto previsto nel Codice di Condotta e nel Regolamento interno.

La presente Policy si propone dunque di descrivere, in maniera chiara e puntuale, i principi e le regole che governano ogni fase del procedimento relativo alla gestione, da parte dell’OdM, dei reclami insorti tra Fornitori ed Interessati. Ciò tenendo altresì conto delle attività ‘a rilevanza esterna’ a ciò collegate.

In merito alla struttura del corrente documento, dopo averne circoscritto il campo di applicazione, ed elencate, in via preliminare, talune direttive terminologiche, la Policy fornirà una dettagliata descrizione del procedimento di gestione dei reclami da parte dell’Organismo. Verrà quindi presa in considerazione ciascuna fase della procedura, con la descrizione precisa delle attività di volta in volta da espletarsi. Saranno inoltre descritte le operazioni di pubblicazione e rendicontazione cui è tenuto l’Organismo, fornendo, ove possibile, gli strumenti operativi necessari a provvedervi.

2. Ambito di applicazione della Policy

2.1 Ambito oggettivo

La Policy si applica al procedimento di gestione degli eventuali reclami insorti fra i Fornitori e gli Interessati relativamente alle violazioni del Codice di Condotta, in attuazione di quanto previsto dal medesimo Codice e dal Regolamento interno.

2.2 Ambito soggettivo

Prendendo in considerazione i soggetti interessati da quanto previsto nel presente documento, questa Policy si applica:

ai componenti dell’Organismo, attuali e futuri, chiamati alla gestione dei reclami (di seguito, i ‘Componenti’);
alle parti coinvolte nel procedimento, vale a dire Fornitori, Interessati ed eventuali soggetti agenti per loro conto (cfr. paragrafo 6);
al personale amministrativo, incluso il Segretario Generale, operante in favore dell’Organismo e presso la sede del medesimo, qualora coinvolto in alcuna delle attività descritte all’interno della presente Policy (a tal proposito, l’articolo 5.2 del Regolamento interno include, tra le attività materiali affidate al Segretario Generale, anche la gestione delle formalità connesse alle procedure di cui all’articolo 10 del medesimo Regolamento, vale a dire la gestione dei reclami)(di seguito, congiuntamente, i ‘Destinatari’).

3. Definizioni

Ai termini elencati di seguito, anche quando utilizzati senza la lettera maiuscola e/o declinati al plurale, dovrà attribuirsi il corrispondente significato:

Componenti: i cinque membri dell’Organismo designati secondo le regole dettate dal Codice di Condotta e dal Regolamento interno;
Committente: il soggetto privato o pubblico che richiede al Fornitore un servizio di informazione commerciale;

Dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile. L’identificazione della persona fisica può avvenire sia direttamente (es. nome e cognome, indirizzo e-mail nominativo, codice fiscale) che indirettamente (es. indirizzi IP, IMEI cellulare, MAC Address), tramite dati quali: nome, un numero di identificazione, dati relativi all’ubicazione, elementi caratteristici dell’identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
EDPB (European Data Protection Board): il Comitato Europeo per la Protezione dei Dati;
Fornitore: il soggetto privato aderente al Codice di Condotta che, in base all’articolo 134 del T.U.L.P.S. e s.m.i. e al D.M. n. 269/2010, svolge nei confronti di uno o più committenti servizi di informazione commerciale;
Garante o Autorità: l’Autorità Garante per la protezione dei dati personali.
Organismo di Monitoraggio: l’organismo accreditato da parte del Garante ai sensi dell’articolo 41 del GDPR e preposto al controllo della conformità alle disposizioni del Codice di Condotta da parte di tutti i fornitori ad esso aderenti;
Soggetto censito o Interessato: il soggetto cui si riferiscono il servizio di informazione commerciale o il rapporto informativo richiesti al Fornitore da parte del committente;
Terzi Fornitori: qualsiasi soggetto terzo rispetto all’organizzazione dell’Organismo, dell’Associazione Nazionale tra le Imprese di Informazioni Commerciali e di Gestione del Credito (di seguito, ‘ANCIC’) o di qualsiasi Fornitore, con cui l’OdM concluda un contratto avente ad oggetto l’affidamento dello svolgimento di specifiche attività di controllo e monitoraggio, ad eccezione di quelle che presuppongono o determinano l’esercizio di poteri decisionali;
Trattamento: qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione l’adattamento o la modifica, l’estrazione, la consulenza, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.

4 Fonti di riferimento

Oltre che sul Codice di Condotta e sul Regolamento interno, la presente Policy è basata, inter alia, sulle seguenti fonti:

il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE;
il D.lgs. 30 giugno 2003, n. 196, recante il ‘Codice in materia di protezione dei dati personali’, come modificato ed integrato dal D.lgs. 10 agosto 2018, n. 101, recante ‘Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679’ (di seguito, il ‘Codice Privacy’);

le ‘Linee guida 4/2018 relative all’accreditamento degli organismi di certificazione a norma dell’articolo 43 del Regolamento generale sulla protezione dei dati’ adottate in via definitiva dall’EDPB il 4 giugno 2019;

le ‘Linee guida 1/2019 sui codici di condotta e sugli organismi di monitoraggio a norma del Regolamento (UE) 2016/679’ adottate dall’EDPB il 4 giugno 2019;
il provvedimento n. 98 del 10 giugno 2020, con il quale il Garante, ai sensi dell’articolo 57, paragrafo 1, lettera p), del Regolamento, ha approvato i requisiti per l’accreditamento dell’OdM, tenendo conto delle osservazioni rese dall’EDPB nel parere adottato il 25 maggio 2020;
il provvedimento n. 59 dell’11 febbraio 2021, con il quale il Garante, ai sensi dell’articolo 57, paragrafo 1, lettera q) del Regolamento, all’esito dell’esame della richiesta di accreditamento e della relativa documentazione presentata da ANCIC il 17 dicembre 2020, ha provveduto all’accreditamento dell’OdM.

5. Oggetto del reclamo

Ai sensi dell’articolo 12, comma 6, del Codice di Condotta, fra i compiti attribuiti all’Organismo vi è anche quello di gestire i reclami eventualmente insorti fra Fornitori ed Interessati relativamente alle violazioni del Codice di Condotta.

Ne consegue che qualunque reclamo, sia pure presentato da chi sia legittimato a farlo (cfr. paragrafo 6) e nel rispetto delle forme e secondo le modalità richieste (paragrafo 8), che non risponda ai suddetti requisiti oggettivi sarà dichiarato improcedibile dall’Organismo, il quale ne darà comunicazione al reclamante fornendo altresì al medesimo una sintetica descrizione delle ragioni poste a fondamento della decisione assunta.

6. Soggetti legittimati a presentare un reclamo

Potrà presentare un reclamo, secondo quanto disposto dall’articolo 12, comma 6, del Codice di Condotta:

ogni Soggetto censito che ritenga che i propri diritti e le proprie libertà siano stati lesi da uno o più trattamenti posti in essere da un Fornitore aderente al Codice di Condotta;
ogni organismo, organizzazione o associazione rappresentativa o attiva nel settore della protezione dei dati personali

(di seguito, congiuntamente, i ‘Legittimati’).

Il reclamo, così come l’eventuale documentazione a corredo del medesimo, dovrà essere presentato, nel caso in cui il reclamante sia una persona fisica, personalmente da quest’ultimo ovvero anche per il tramite di una diversa persona che sia stata da questi espressamente delegata a farlo, mentre nel caso di persone giuridiche, associazioni, enti o altri organismi, il reclamo e la relativa documentazione dovranno essere presentati a firma dal legale rappresentante o da un diverso soggetto munito dei necessari poteri di rappresentanza.

Qualora il reclamante, in sede di presentazione del reclamo, non fornisca una sufficiente prova della propria qualità di Legittimato e, nel caso di delega o rappresentanza, anche del valido conferimento del relativo potere, l’Organismo dichiarerà l’improcedibilità del reclamo, dandone comunicazione al reclamante assieme ad una sintetica descrizione delle ragioni poste a fondamento della decisione assunta. Resta comunque salva la possibilità, da parte dell’OdM, di assegnare al reclamante un termine entro cui fornire dette prove.

7. Rapporti con altri rimedi

Come disposto dall’articolo 12, comma 6, del Codice di Condotta e dall’articolo 10.1 del Regolamento interno, è fatto salvo il diritto degli interessati di presentare un reclamo al Garante o di fare ricorso all’autorità giudiziaria, ai sensi degli articoli 77 e 79 del GDPR e degli articoli 140-bis e ss. del Codice Privacy.

Nondimeno, la presentazione di un reclamo al Garante preclude l’avvio, o determina l’improcedibilità, qualsiasi sia lo stato di svolgimento, di una procedura avente il medesimo oggetto o comunque attinente alle medesime questioni dinanzi all’Organismo. In tali ipotesi, l’OdM ne dà comunicazione al reclamante con contestuale sintetica indicazione delle ragioni poste alla base della decisione assunta.

8. Forma e modalità di presentazione di un reclamo

In ossequio a quanto previsto dall’articolo 12, comma 6, del Codice di Condotta e dall’articolo 10.2 del Regolamento interno, il reclamo deve essere presentato dai soggetti legittimati (cfr. paragrafo 6) inviando all’Organismo una specifica istanza scritta, per via telematica, all’indirizzo di posta elettronica certificata odminformazionicommerciali@odm.timpec.it, ovvero, in formato cartaceo, mediante raccomandata A/R inviata all’attenzione della Segreteria Generale dell’Organismo di Monitoraggio del Codice di Condotta delle Informazioni Commerciali, all’indirizzo Corso Venezia 51, (20121) Milano, o con consegna a mano presso il medesimo recapito.

Tale istanza, ai sensi delle norme appena richiamate, deve contenere una breve descrizione dei fatti e del pregiudizio lamentato. In particolare, oltre a tale imprescindibile requisito, ogni ricorso dovrà contenere almeno:

gli estremi identificativi del reclamante, compresi quelli dell’eventuale soggetto agente per suo conto (cfr. paragrafo 6);
l’indicazione di uno o più recapiti per l’invio di comunicazioni inerenti al procedimento da parte dell’Organismo (posta elettronica, telefax o telefono);
gli elementi sufficienti a dimostrare la propria qualità di Legittimato;
l’indicazione circa l’eventuale presentazione di un reclamo al Garante o l’eventuale proposizione di un ricorso all’autorità giudiziaria, ai sensi degli articoli 77 e 79 del GDPR e degli articoli 140-bis e ss. del Codice Privacy, avente il medesimo oggetto o comunque attinente alle medesime questioni oggetto del reclamo;
gli estremi identificativi del Fornitore interessato dal reclamo;
gli estremi identificativi del Committente che ha fornito evidenza del rapporto informativo e/o delle informazioni valutative elaborate da parte del Fornitore nei cui confronti è presentato il reclamo;
l’eventuale documentazione utile ai fini della valutazione del reclamo da parte dell’Organismo;
la sottoscrizione del reclamante, ovvero di chi agisca per suo conto (in tale ultimo caso il reclamo dovrà essere corredato anche dalla relativa procura): il reclamo (e l’eventuale procura) dovranno essere sottoscritti con firma autenticata, ovvero con firma digitale o autografa (in tale ultimo caso, il reclamo dovrà essere corredato anche dalla copia di un documento di riconoscimento del reclamante in corso di validità).

Laddove manchino uno o più degli elementi sopra elencati ne verrà data comunicazione al reclamante con contestuale assegnazione di un termine entro cui provvedere alla relativa regolarizzazione. Spirato tale termine senza che il reclamante vi abbia provveduto, e verificata da parte dell’Organismo l’impossibilità di procedere anche in assenza delle integrazioni richieste, il ricorso verrà dichiarato improcedibile. Di tale decisione l’OdM darà comunicazione al reclamante con contestuale e sintetica esposizione delle ragioni poste alla base della decisione assunta.

A seguito del ricevimento di un reclamo, presentato nelle forme e secondo le modalità descritte sopra, il Segretario Generale provvede immediatamente e senza indebito ritardo a mettere i Componenti dell’Organismo nella condizione di disporre di una copia (digitale e/o cartacea) del reclamo e di tutta la documentazione ad esso allegata.

9. Coinvolgimento del Fornitore

Ai sensi di quanto previsto dall’articolo 12, comma 7, del Codice di Condotta e dall’articolo 10.4 del Regolamento interno, entro cinque (5) giorni lavorativi dal ricevimento del reclamo, l’Organismo deve darne notizia al Fornitore aderente coinvolto, affinché quest’ultimo possa, entro i successivi trenta (30) giorni lavorativi, presentare le proprie memorie e fornire i necessari chiarimenti.

Tale comunicazione, a cui dovrà provvedere il Segretario Generale, dietro istruzioni dell’Organismo, avverrà mediante i recapiti messi a disposizione da ciascun Fornitore in sede di adesione al Codice di Condotta.

In caso di ricorso incompleto o carente (cfr. paragrafo 8), il decorso dei termini suindicati avverrà con riferimento al ricevimento delle integrazioni richieste dall’Organismo (salvo ovviamente il caso in cui l’OdM abbia valutato di poter procedere anche in assenza di regolarizzazione da parte del reclamante). Restano in ogni caso fermi i termini indicati nei successivi paragrafi 10 e 11.

10. Trattazione del reclamo

Principi cardine da rispettare e garantire nel corso di ogni fase della procedura sono quelli della pienezza del contraddittorio e della totale imparzialità (come sancito dall’articolo 12, comma 7, del Codice di Condotta e dall’articolo 10.4 del Regolamento interno).

La trattazione del reclamo, a seconda delle circostanze del caso concreto, potrà avvenire nei modi di seguito indicati:

nel caso in cui gli elementi acquisiti durante la fase di coinvolgimento del Fornitore (cfr. paragrafo 9) già consentano di definire la controversia, l’Organismo deve adottare la propria decisione entro quarantacinque (45) giorni lavorativi dalla data di deposito delle memorie da parte del Fornitore;
diversamente, l’OdM potrà richiedere ad entrambe le parti ulteriori precisazioni, così come l’acquisizione di documenti o lo svolgimento di audizioni, raccogliendo in ogni caso tutti gli elementi necessari alla definizione del reclamo, la quale non potrà avvenire oltre novanta (90) giorni lavorativi successivi alla data di presentazione dello stesso da parte dell’interessato.

Nel caso in cui venga disposta un’audizione, la medesima avrà luogo presso la sede dell’Organismo e nella data fissata dal medesimo. Dell’audizione verrà redatto un sintetico verbale da parte del Segretario Generale. In sede di audizione è altresì consentita la partecipazione delle parti con l’assistenza di un avvocato o di altro consulente.

11. Esito del procedimento e pubblicazione delle decisioni adottate

Come previsto dall’articolo 12, comma 7, del Codice di Condotta e dall’articolo 10.5 del Regolamento interno, all’esito della procedura sopra descritta, l’Organismo può stabilire di applicare al Fornitore aderente, fornendo adeguata motivazione, in dipendenza della gravità della violazione eventualmente riscontrata, una o più delle seguenti misure:

un richiamo formale indirizzato esclusivamente al Fornitore aderente;
un richiamo da pubblicarsi in apposita sezione del sito web dell’Organismo, raggiungibile all’indirizzo www.odminformazionicommerciali.it;
la sospensione temporanea della sua adesione al Codice di Condotta;
la revoca della sua adesione al Codice di Condotta.

L’Organismo deve trasmettere all’Interessato o altro soggetto reclamante la decisione assunta, adeguatamente motivata, soprattutto riguardo all’eventuale applicazione delle misure sopra richiamate, entro novanta (90) giorni lavorativi dalla data di presentazione del reclamo. Resta inoltre fermo che, ai sensi di quanto stabilito all’articolo 8.11 del Regolamento interno, l’OdM deve trasmettere al Garante, entro tre (3) giorni dalla loro adozione, le decisioni mediante le quali vengano applicate misure di sospensione temporanea o di revoca dell’adesione del Fornitore aderente al Codice di Condotta.

Tali attività di trasmissione verranno materialmente eseguite dal Segretario Generale, previa indicazione e secondo le istruzioni dell’Organismo.

A ciò deve aggiungersi che, in ossequio a quanto disposto dall’articolo 12, comma 9, del Codice di Condotta ed in aggiunta alle ipotesi di richiamo di cui alla precedente lettera b), le decisioni adottate dall’Organismo all’esito della definizione di procedure di reclamo devono essere pubblicate, anche in forma sintetica, previo oscuramento dei dati personali eventualmente presenti, in apposita sezione del sito web dell’Organismo, raggiungibile all’indirizzo www.odminformazionicommerciali.it, qualora dalle stesse sia derivata l’applicazione nei confronti del Fornitore di misure di sospensione temporanea o di revoca dell’adesione al Codice di Condotta. Inoltre, secondo quanto precisato dall’articolo 10.7 del Regolamento interno, nel caso di pubblicazione di informazioni di sintesi, le stesse devono comprendere almeno i seguenti elementi:

i dati necessari ad identificare le violazioni riscontrate;
il numero e l’oggetto dei reclami ricevuti;
la natura delle misure applicate ai sensi dell’articolo 10.5 del Regolamento interno (e riportate sopra);
i Fornitori aderenti destinatari delle medesime.

Di tale attività sarà incaricato il Segretario Generale, il quale, nelle operazioni di oscuramento sopra menzionate, dovrà tenere conto della nozione di ‘dato personale’ prevista dal GDPR.

12. Registro dei reclami e resoconto semestrale

Secondo quanto dettato dall’articolo 10.6 del Regolamento interno, l’Organismo, nella persona del Segretario Generale, annota nel registro previsto dalla presente Policy il dettaglio di tutti i reclami ricevuti e le decisioni adottate, anche in riferimento alle misure correttive o sanzionatorie eventualmente applicate. Detto registro, in formato elettronico è custodito a cura del Segretario Generale presso la sede dell’OdM e dovrà essere costantemente aggiornato dal personale preposto e al medesimo potrà accedere in qualsiasi momento il Garante.

Inoltre, ai sensi di quanto previsto dall’articolo 12, comma 10, del Codice di Condotta e dall’articolo 10.8 del Regolamento interno, alla scadenza di ogni semestre, l’Organismo deve inviare all’Autorità e al Consiglio Direttivo di ANCIC un resoconto riassuntivo dei controlli e delle verifiche effettuate, delle procedure di reclamo definite e delle misure eventualmente adottate ai sensi degli articoli 2.10, 8.10 e 10.5 del Regolamento interno.

Detto resoconto dovrà essere redatto dal Segretario Generale.

13. Vigenza e modifiche alla presente Policy

La presente Policy è valida e vincolante per tutti i Destinatari.

La presente Policy potrà essere modificata, integrata o integralmente sostituita in ogni momento, previa approvazione da parte dei membri dell’Organismo, per garantire i necessari adeguamenti a nuove norme di legge e/o a provvedimenti dell’Autorità, oltre che alle migliori best practices di settore.

Tutti i Destinatari sono tenuti a prenderne visione e a tenere in debita considerazione gli aggiornamenti che verranno apportati alla stessa e notificati di volta in volta. Nessun Destinatario potrà giustificare la propria condotta adducendo la mancata conoscenza del presente documento.

1. Finalità e struttura della Policy

La presente policy (di seguito, la ‘Policy’) stabilisce le regole e le procedure applicabili alla gestione dei conflitti di interessi nell’ambito delle attività poste in essere dall’Organismo di Monitoraggio (di seguito, ‘OdM’ o ‘Organismo’) costituito, ai sensi dell’articolo 41 del Regolamento (UE) 2016/679 (di seguito, ‘GDPR’ o ‘Regolamento’), al fine di garantire il rispetto del ‘Codice di condotta per il trattamento dei dati personali in materia di informazioni commerciali’ adottato dall’Autorità Garante per la protezione dei dati personali con deliberazione del 12 giugno 2019 e da ultimo approvato con il provvedimento n. 181 del 29 aprile 2021 (di seguito, il ‘Codice di Condotta’), da parte dei Fornitori allo stesso aderenti.

Più specificamente, al fine di dare attuazione e garantire il rispetto di quanto previsto dal Codice di Condotta e dal Regolamento interno sul funzionamento dell’organismo di monitoraggio del ‘Codice di condotta per il trattamento dei dati personali in materia di informazioni commerciali’ (di seguito, ‘Regolamento interno’), adottato in data 5 ottobre 2021, l’OdM ha ritenuto opportuno redigere il presente documento al fine di:

definire le regole per l’individuazione di un conflitto di interessi nell’ambito delle attività svolte dall’Organismo ai sensi del Codice di Condotta;
identificare delle misure e delle procedure per la prevenzione e la gestione di un conflitto di interessi che coinvolga un Componente (come di seguito definito) o un Terzo Fornitore (come di seguito definito) dell’OdM;
dotarsi di un set di strumenti operativi in grado di favorire la corretta e costante attuazione di quanto previsto dal Codice di Condotta e dal Regolamento interno.

Affinché l’Organismo possa adempiere al fondamentale compito di monitoraggio e controllo attribuito al medesimo dal Codice di Condotta, risulta assolutamente prioritario che i suoi Componenti garantiscano massima imparzialità e totale indipendenza.

Ciò significa anche evitare che possano insorgere delle situazioni di conflitto di interessi, reale o anche soltanto potenziale, che coinvolgano i Componenti dell’OdM, così come gli eventuali Terzi Fornitori a cui l’Organismo abbia delegato o intenda delegare lo svolgimento di specifiche attività di controllo e monitoraggio.

Per questa ragione, per mezzo della presente Policy si identificano regole e strumenti volte ad assicurare la costante prevenzione e la corretta gestione di eventuali conflitti di interessi che potrebbero pregiudicare e compromettere l’imparzialità e l’indipendenza dell’operato dei Componenti dell’Organismo e dei Terzi Fornitori a cui quest’ultimo si affidi.

L’individuazione di procedure e modelli vuole inoltre rendere lineare e trasparente la gestione di dette situazioni conflittuali, ponendosi al tempo stesso quale strumento in grado di dimostrare il corretto recepimento di quanto previsto e richiesto dal Codice di Condotta e dal Regolamento interno.

In merito alla struttura del corrente documento, dopo averne circoscritto il campo di applicazione, ed elencate, in via preliminare, talune direttive terminologiche, la Policy fornirà dapprima le regole da applicarsi per la corretta individuazione di un conflitto di interessi. Verranno quindi e successivamente presentate le misure da adottarsi per la prevenzione e la gestione di tali situazioni, a seconda che ad essere coinvolto sia un Componente dell’Organismo o un Terzo Fornitore e in base al momento in cui tali misure dovranno essere attuate. Tale sforzo di procedimentalizzazione si completa con l’impiego dei modelli e dei formulari raccolti negli allegati alla presente Policy.

2. Ambito di applicazione della Policy

Il perimetro applicativo del presente documento deve essere definito sia in riferimento alla natura delle attività disciplinate (ambito oggettivo), sia alle categorie di destinatari interessati (ambito soggettivo).

2.1 Ambito oggettivo

La presente Policy si applica alle situazioni di conflitto di interessi (secondo la definizione fornita al successivo paragrafo 5), reale o anche solo potenziale, che possono venire in rilievo nel corso e nell’ambito dell’espletamento delle funzioni di controllo e monitoraggio affidate all’Organismo ai sensi del Codice di Condotta e come specificate nel Regolamento interno.

2.2 Ambito soggettivo

Prendendo in considerazione i soggetti interessati da quanto previsto nel presente documento, questa Policy si applica:

ai componenti dell’Organismo, attuali e futuri (di seguito, i ‘Componenti’);
ai terzi fornitori di servizi a cui l’Organismo abbia delegato o intenda delegare lo svolgimento di specifiche attività di controllo e monitoraggio (di seguito, i ‘Terzi Fornitori’ e, assieme ai Componenti, i ‘Destinatari’).

3. Definizioni

Ai termini elencati di seguito, anche quando utilizzati senza la lettera maiuscola e/o declinati al plurale, dovrà attribuirsi il significato qui sotto descritto:

Componenti: i cinque membri dell’Organismo designati secondo le regole dettate dal Codice di Condotta e dal Regolamento interno;

Contratto: si intende qualsiasi rapporto contrattuale concluso mediante atto formale e/o sottoscrizione di ordini di acquisto con Terzi Fornitori;
Dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile. L’identificazione della persona fisica può avvenire sia direttamente (es. nome e cognome, indirizzo e-mail nominativo, codice fiscale) che indirettamente (es. indirizzi IP, IMEI cellulare, MAC Address), tramite dati quali: nome, un numero di identificazione, dati relativi all’ubicazione, elementi caratteristici dell’identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
EDPB (European Data Protection Board): il Comitato Europeo per la Protezione dei Dati;

Fornitore: il soggetto privato aderente al Codice di Condotta che, in base all’articolo 134 del T.U.L.P.S. e s.m.i. e al D.M. n. 269/2010, svolge nei confronti di uno o più committenti servizi di informazione commerciale;

Garante o Autorità: l’Autorità Garante per la protezione dei dati personali.
Interessato: la persona fisica a cui si riferiscono i dati personali;
Organismo di Monitoraggio: l’organismo accreditato da parte del Garante ai sensi dell’articolo 41 del GDPR e preposto al controllo della conformità alle disposizioni del Codice di Condotta da parte di tutti i fornitori ad esso aderenti;
Terzi Fornitori: qualsiasi soggetto terzo rispetto all’organizzazione dell’Organismo, dell’Associazione Nazionale tra le Imprese di Informazioni Commerciali e di Gestione del Credito (di seguito, ‘ANCIC’) o di qualsiasi Fornitore, con cui l’OdM concluda un Contratto avente ad oggetto l’affidamento dello svolgimento di specifiche attività di controllo e monitoraggio, ad eccezione di quelle che presuppongono o determinano l’esercizio di poteri decisionali;
Trattamento: qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione l’adattamento o la modifica, l’estrazione, la consulenza, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.

4. Fonti di riferimento

Oltre che sul Codice di Condotta e sul Regolamento interno, la presente Policy è basata, inter alia, sulle seguenti fonti:

il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE;
il D.lgs. 30 giugno 2003, n. 196, recante il ‘Codice in materia di protezione dei dati personali’, come modificato ed integrato dal D.lgs. 10 agosto 2018, n. 101, recante ‘Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679’ (di seguito, il ‘Codice Privacy’);

le ‘Linee guida 4/2018 relative all’accreditamento degli organismi di certificazione a norma dell’articolo 43 del Regolamento generale sulla protezione dei dati’ adottate in via definitiva dall’EDPB il 4 giugno 2019;

le ‘Linee guida 1/2019 sui codici di condotta e sugli organismi di monitoraggio a norma del Regolamento (UE) 2016/679’ adottate dall’EDPB il 4 giugno 2019;
il provvedimento n. 98 del 10 giugno 2020, con cui il Garante, ai sensi dell’articolo 57, paragrafo 1, lettera p), del Regolamento, ha approvato i requisiti per l’accreditamento dell’OdM, tenendo conto delle osservazioni rese dall’EDPB nel parere adottato il 25 maggio 2020;
il provvedimento n. 59 dell’11 febbraio 2021, con cui il Garante, ai sensi dell’articolo 57, paragrafo 1, lettera q) del Regolamento, all’esito dell’esame della richiesta di accreditamento e della relativa documentazione presentata da ANCIC il 17 dicembre 2020, ha provveduto all’accreditamento dell’OdM.

5. Individuazione di un conflitto di interessi

Ai fini dell’applicazione di quanto previsto nella presente Policy, per ‘conflitto di interessi’ deve intendersi qualsiasi circostanza di fatto o di diritto, preesistente o sopravvenuta rispetto alla designazione quale Componente dell’Organismo o del conferimento dell’incarico quale Terzo Fornitore, in ragione della quale un interesse privato possa interferire, direttamente o indirettamente, con il corretto ed imparziale svolgimento dell’incarico conferito e, più in generale, delle attività di controllo demandate all’Organismo ai sensi del Codice di Condotta.

Si tratta pertanto di tutte quelle situazioni in presenza delle quali non sia possibile garantire la piena indipendenza, autonomia e terzietà dell’operato del singolo Componente, in seno all’OdM, o del Terzo Fornitore in conflitto di interessi.

A titolo meramente esemplificativo, una situazione rilevante ai sensi della presente Policy può presentarsi ogniqualvolta un Componente, o un Terzo Fornitore, vanti interessi personali (es. rapporti di parentela con un amministratore di un Fornitore aderente), professionali (es. essendo membro del collegio sindacale di una società che eserciti il controllo sul Fornitore aderente) o economici (es. agendo in qualità di consulente in favore di un Fornitore aderente) idonei a dar luogo a qualsiasi forma di interferenza o condizionamento nello svolgimento del proprio incarico in piena autonomia e indipendenza.

6. Misure per la prevenzione e la gestione di un conflitto di interessi

In attuazione di quanto previsto dal Codice di Condotta e dal Regolamento interno, con la presente Policy vengono definite una serie di misure da adottarsi al fine di escludere – e se del caso gestire – ogni rischio o situazione di conflitto di interessi o di indebita interferenza, ingerenza o condizionamento, diretti o indiretti, nei lavori e nelle mansioni dell’Organismo.

Dette misure possono essere classificate a seconda:

della categoria di Destinatari coinvolta, potendo riguardare un Componente o un Terzo Fornitore;
del momento in cui operano, potendo tali misure trovare applicazione tanto in occasione della designazione di un Componente/affidamento di un’attività di controllo e monitoraggio ad un Terzo Fornitore (misure ex ante) quanto nel corso dell’esecuzione del relativo incarico/contratto (misure ex post).

6.1 Conflitti di interessi che riguardano un Componente dell’OdM

Secondo quanto previsto dall’articolo 12, comma 3, del Codice di Condotta, tutti i Componenti dell’Organismo devono costantemente garantire la massima imparzialità ed indipendenza anche evitando ogni situazione di conflitto di interessi, reale o anche solo potenziale, sia per sé stessi che avuto riguardo a propri parenti, affini entro il terzo grado, coniugi o conviventi.

Ai requisiti elencati dalla norma appena citata si devono ulteriormente aggiungere quelli enunciati all’articolo 2.5 del Regolamento interno. Ai sensi di tale ultima disposizione, non potranno in nessun caso essere designati quali Componenti coloro che:

intrattengano, o abbiano intrattenuto in passato, qualsiasi genere di rapporto di lavoro con ANCIC o con un qualunque fornitore aderente;
siano stati a qualunque titolo coinvolti nei lavori di redazione del Codice di Condotta;
abbiano direttamente o indirettamente, nei cinque anni precedenti, anche attraverso società, enti o organismi di cui siano o siano stati soci o amministratori, o in cui siano titolari di partecipazioni azionarie di entità tale da permettere di esercitare una notevole influenza sulla società stessa, reso servizi o fornito prodotti di qualsiasi genere ad ANCIC o ad un qualunque fornitore aderente o a società dallo stesso controllate, che possano compromettere l’imparzialità o l’indipendenza di tale soggetto nell’esercizio dei compiti di controllo previsti dal Codice di Condotta;
abbiano relazioni di parentela, coniugio o affinità entro il terzo grado con membri dell’Assemblea di ANCIC o con amministratori, soci, dirigenti e dipendenti di un qualsiasi fornitore aderente.

Tanto le prerogative stabilite dall’articolo 12, comma 3, del Codice di Condotta, quanto quelle di cui all’articolo 2.5 del Regolamento interno (i c.d. ‘Requisiti Aggiuntivi’) devono essere possedute dal ciascun Componente dell’Organismo, Presidente compreso, al momento della designazione e successivamente mantenute per l’intera durata della propria carica.

Come disposto dall’articolo 12, comma 3, del Codice di Condotta, ogni Componente dovrà inderogabilmente dichiarare, senza alcun ingiustificato ritardo, preliminarmente alla formalizzazione della propria nomina ed in qualunque momento nel corso dell’esecuzione dei propri compiti, qualsiasi circostanza in grado di configurare o comunque determinare un conflitto di interessi, conseguentemente astenendosi dal prendere parte a qualsiasi processo decisionale e dal compiere qualsivoglia attività in seno all’Organismo per cui rilevi il conflitto di interessi che lo vede coinvolto.

Ciò dovrà avvenire attenendosi alle procedure e seguendo le formalità descritte nei paragrafi che seguono.

6.1.1 Misure per i conflitti di interessi ex ante

Secondo quanto disposto dall’articolo 3.2 del Regolamento interno, all’atto dell’assegnazione dell’incarico ogni Componente deve dichiarare per iscritto, ai sensi dell’articolo 47 del D.P.R. 445/2000, l’assenza di qualsiasi conflitto d’interessi, garantendo la propria indipendenza ed imparzialità ed informando il Consiglio Direttivo di ANCIC riguardo a qualsiasi circostanza in grado di configurare o comunque determinare un conflitto di interessi, sia esso reale o potenziale, dovendo altresì dichiarare che nessun proprio parente o affine entro il terzo grado, né coniuge o convivente, versi in alcuna delle condizioni di cui all’articolo 2.5 del medesimo Regolamento interno.

Tale dichiarazione dovrà essere resa da ciascun Componente, Presidente compreso, mediante la compilazione di apposito modulo che, debitamente sottoscritto e completo di tutti gli allegati ivi richiesti, dovrà essere consegnato a mano o inviato tramite email a segreteria@odmbi.com.

6.1.2 Misure per i conflitti di interessi ex post

Secondo quanto previsto dall’articolo 3.3 del Regolamento interno, nei casi in cui, nel corso dello svolgimento del proprio mandato, emergano situazioni di conflitto di interessi che non siano state precedentemente dichiarate nei modi stabiliti dal precedente articolo 3.2 del medesimo Regolamento interno, il Componente interessato deve darne informazione all’Organismo senza alcun ritardo e comunque non oltre quarantotto ore successive alla conoscenza dei fatti rilevanti.

Tale comunicazione dovrà essere resa dal Componente interessato mediante la compilazione di apposito formulario che, debitamente sottoscritto e completo di tutti gli allegati ivi richiesti, dovrà essere consegnato a mano o inviato tramite e-mail a segreteria@odmbi.com.

6.1.3 Misure comuni

Come previsto dall’articolo 3.4 del Regolamento interno, in qualunque situazione di acclarato conflitto di interessi, anche solo potenziale – manifestato nelle forme e secondo le modalità descritte nei precedenti paragrafi della presente Policy – il Componente cui lo stesso è riferito è obbligato ad astenersi dal prendere parte a qualsiasi processo decisionale e dal compiere qualsivoglia attività in seno all’Organismo per cui rilevi il conflitto di interessi che lo vede coinvolto.

Inoltre, ai sensi dell’articolo 3.5 del Regolamento interno, l’Organismo, nella persona del Segretario Generale, riporta nel registro previsto dalla presente Policy tutte le situazioni in cui sia stato notificato, sollevato o anche solo eccepito un conflitto di interessi, dandone una descrizione dettagliata ed illustrando le decisioni assunte a riguardo ai sensi degli articoli 3.4 e 3.5 del medesimo Regolamento interno. Detto registro, che sarà in formato elettronico e sarà custodito presso la sede dell’OdM, dovrà essere costantemente aggiornato dal personale preposto.

Infine, l’articolo 2.10 del Regolamento interno dispone che l’OdM può in qualsiasi momento deliberare, a maggioranza dei propri Componenti, la revoca di uno o più di essi per giusta causa, informandone entro due giorni il Garante ed il Consiglio Direttivo di ANCIC, quando si verifica:

una grave e ripetuta negligenza nell’assolvimento dei compiti connessi all’incarico ricevuto;
il venir meno di anche uno solo dei requisiti prescritti dal Codice di Condotta o dei c.d. Requisiti Aggiuntivi;
qualsiasi circostanza che possa pregiudicare, direttamente o indirettamente, l’autonomia e/o l’indipendenza del Componente.

6.2 Conflitti di interessi che riguardano un Terzo Fornitore

L’articolo 12, comma 2 del Codice di Condotta permette all’Organismo, laddove lo stesso avesse necessità di personale di supporto ai fini di un efficiente svolgimento dei propri compiti, ad eccezione di quelli che determinino o presuppongano l’esercizio di poteri decisionali, di affidare il relativo incarico anche a collaboratori o fornitori esterni di servizi.

Tali Terzi Fornitori, secondo il dettato dell’articolo 6.3 del Regolamento interno, devono – inter alia – assumere obblighi di indipendenza ed imparzialità, trasparenza operativa ed assenza di conflitti di interessi.

Detti obblighi devono essere espressamente assunti dai Terzi Fornitori nei Contratti dai medesimi sottoscritti, attenendosi e dando attuazione a quanto disposto dal Codice di Condotta, dal Regolamento interno e, più in generale, dalla normativa di volta in volta applicabile. Nel medesimo regolamento contrattuale devono altresì essere previsti e regolati gli obblighi, anche informativi, in capo ai Terzi Fornitori per i casi di sopravvenienza di un conflitto di interessi.

7. Vigenza e modifiche alla presente Policy

La presente Policy è valida e vincolante per tutti i Destinatari.

1. Finalità e struttura della Policy

La presente policy (di seguito, la ‘Policy’) stabilisce le regole e le procedure applicabili alla selezione e alla gestione dei fornitori esterni da parte dell’Organismo di monitoraggio (di seguito, l’‘OdM’ o l’‘Organismo’) costituito, ai sensi dell’articolo 41 del Regolamento (UE) 2016/679 (di seguito, il ‘GDPR’ o il ‘Regolamento’), al fine di garantire il rispetto del ‘Codice di condotta per il trattamento dei dati personali in materia di informazioni commerciali’, adottato dall’Autorità Garante per la protezione dei dati personali con deliberazione del 12 giugno 2019 e da ultimo approvato con il provvedimento n. 181 del 29 aprile 2021 (di seguito, il ‘Codice di Condotta’), da parte dei Fornitori allo stesso aderenti.

Conformemente a quanto stabilito dall’art. 6 del Regolamento interno sul funzionamento dell’organismo di monitoraggio del ‘codice di condotta per il trattamento dei dati personali in materia di informazioni commerciali’ (di seguito, il ‘Regolamento interno’), adottato in data 5 ottobre 2021, l’OdM ha ritenuto opportuno redigere il presente documento al fine di:

definire quali azioni sia necessario intraprendere ogniqualvolta sia necessario avvalersi di fornitori esterni nell’espletamento delle funzioni e dei compiti attribuiti all’OdM;
allocare correttamente i ruoli privacy e le derivanti responsabilità dei soggetti coinvolti;

dotarsi di uno strumento operativo che possa dimostrare la conformità continuativa al dettato normativo in materia di protezione dei dati personali.

La particolare attenzione che occorre prestare sin dalle prime fasi di instaurazione del rapporto contrattuale con una terza parte risulta direttamente collegata al compito fondamentale di monitoraggio e controllo attribuito all’OdM ai sensi del Codice di Condotta, con riferimento ai trattamenti di dati personali posti in essere nel settore delle informazioni commerciali da parte dei Fornitori aderenti.

La presente Policy offre, dunque, un primo strumento di verifica ed analisi utile ad affidare incarichi esterni solamente a collaboratori e/o terzi fornitori che assicurino esperienza ed affidabilità elevate per eseguire con puntualità e competenza le attività delegate, nel rispetto dei principi sanciti dalla normativa in materia di protezione dei dati personali e del Codice di Condotta.

In merito alla struttura della presente Policy, si evidenzia che verrà fornita, in via preliminare, una breve descrizione dei ruoli privacy che l’Organismo potrebbe rivestire ai sensi della normativa in materia di protezione dei dati personali. Successivamente, si forniranno degli strumenti per identificare il possibile ruolo dei Terzi Fornitori (come di seguito definiti) rispetto ai servizi esternalizzati che implichino un trattamento dei dati personali, conformemente al quadro normativo di riferimento. A seguire si introdurranno degli strumenti per garantire, su base continuativa, il mantenimento dei requisiti di garanzia e affidabilità previsti dal GDPR, dal Codice di Condotta, nonché dal Regolamento interno.

2. Ambito di applicazione della Policy

2.1 Ambito oggettivo

La presente Policy si applica al processo di selezione dei Terzi Fornitori cui l’Organismo può delegare lo svolgimento di una o più attività di controllo e monitoraggio di cui al Codice di Condotta, ad eccezione di quelle che determinano o presuppongono l’esercizio di poteri decisionali, quando dalle stesse derivi l’esigenza per i Terzi Fornitori selezionati ed appositamente incaricati di trattare dati personali per conto dell’OdM in conformità alla normativa in materia di protezione dei dati personali, con particolare ma non limitato riferimento al Codice di Condotta, oltre che al Regolamento interno.

2.2 Ambito soggettivo

I soggetti destinatari cui deve applicarsi la presente Policy sono:

i Componenti dell’Organismo, attuali e futuri, chiamati a selezionare e gestire i Terzi Fornitori come previsto dal Codice di Condotta e dal Regolamento interno;
il personale amministrativo, incluso il Segretario Generale, operante in favore dell’OdM, e presso la sede dell’Organismo, qualora coinvolto in una o più delle attività descritte nella presente Policy;
i Terzi Fornitori che, nell’espletamento dei compiti ad essi delegati da parte dell’OdM, trattino dati personali, in qualità di titolari o responsabili, ai sensi della vigente normativa in materia e del Codice di Condotta;

(di seguito, congiuntamente, i ‘Destinatari’).

3. Definizioni

Ai termini elencati di seguito, anche quando utilizzati senza la lettera maiuscola e/o declinati al plurale, dovrà attribuirsi il corrispondente significato:

Componenti: i cinque membri dell’Organismo designati secondo le regole dettate dal Codice di Condotta e dal Regolamento interno;
Committente: il soggetto privato o pubblico che richiede al Fornitore un servizio di informazione commerciale;

Contratto: si intende qualsiasi rapporto contrattuale concluso mediante atto formale e/o sottoscrizione di ordini di acquisto da parte dell’Organismo con Terzi Fornitori;
Dati sensibili o dati appartenenti a categorie particolari: dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona;
Dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile. L’identificazione della persona fisica può avvenire sia direttamente (es. nome e cognome, indirizzo e-mail nominativo, codice fiscale) che indirettamente (es. indirizzi IP, IMEI cellulare, MAC Address), tramite dati quali: nome, un numero di identificazione, dati relativi all’ubicazione, elementi caratteristici dell’identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
DPA (Data Processing Agreement): l’accordo vincolante attraverso il quale vengono disciplinati, da parte del titolare del trattamento, gli obblighi e i compiti del responsabile relativi ad uno o più trattamenti collegati all’esecuzione di un Contratto da parte di un terzo Fornitore;
EDPB (European Data Protection Board): il Comitato Europeo per la Protezione dei Dati;
Fornitore: il soggetto privato aderente al Codice di Condotta che, in base all’articolo 134 del T.U.L.P.S. e s.m.i. e al D.M. n. 269/2010, svolge nei confronti di uno o più Committenti servizi di informazione commerciale;
Garante o Autorità: l’Autorità Garante per la protezione dei dati personali.
Organismo di Monitoraggio: l’organismo accreditato da parte del Garante ai sensi dell’art. 41 del GDPR e preposto al controllo della conformità alle disposizioni del Codice di Condotta da parte di tutti i fornitori ad esso aderenti. Il funzionamento dell’OdM è disciplinato dal Regolamento interno;
Responsabile del trattamento: la persona (fisica o giuridica), l’autorità pubblica, il servizio o qualsiasi altro organismo che tratta dati personali per conto e su istruzione scritta del titolare del trattamento;
Soggetto censito o Interessato: il soggetto cui si riferiscono il servizio di informazione commerciale o il rapporto informativo richiesti al Fornitore da parte del Committente;
Società esterne o Terzi Fornitori: qualsiasi soggetto terzo rispetto all’organizzazione dell’Organismo, dell’Associazione Nazionale tra le Imprese di Informazioni Commerciali e di Gestione del Credito (di seguito, ‘ANCIC’) o di un Fornitore, a cui venga affidato, mediante Contratto, da parte dell’OdM lo svolgimento di specifiche attività di controllo e verifica, ad eccezione di quelle che presuppongono o determinano l’esercizio di poteri decisionali;
Titolare del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri (in tale veste, definito ‘Contitolare del trattamento’), determina le finalità e i mezzi del trattamento dei dati personali;
Trattamento: qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione l’adattamento o la modifica, l’estrazione, la consulenza, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;

I termini a cui l’art. 4 GDPR e/o l’art. 2 del Codice di Condotta, ma non la presente Policy, attribuiscono una specifica definizione, devono essere interpretati conformemente a quanto stabilito dal Regolamento e/o dal Codice di Condotta.

4. Fonti di riferimento

Oltre che sul Codice di Condotta e sul Regolamento interno, la presente Policy sono basate, inter alia, sulle seguenti fonti:

il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE;
il D.lgs. 30 giugno 2003, n. 196, recante il ‘Codice in materia di protezione dei dati personali’, come modificato ed integrato dal D.lgs. 10 agosto 2018, n. 101, recante ‘Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679’ (di seguito, il ‘Codice Privacy’);
le ‘Linee guida 4/2018 relative all’accreditamento degli organismi di certificazione a norma dell’articolo 43 del Regolamento generale sulla protezione dei dati’ adottate in via definitiva dall’EDPB il 4 giugno 2019;
le ‘Linee guida 1/2019 sui codici di condotta e sugli organismi di monitoraggio a norma del Regolamento (UE) 2016/679’ adottate dall’EDPB il 4 giugno 2019;
il provvedimento n. 98 del 10 giugno 2020, con il quale il Garante, ai sensi dell’articolo 57, paragrafo 1, lettera p), del Regolamento, ha approvato i requisiti per l’accreditamento dell’OdM, tenendo conto delle osservazioni rese dall’EDPB nel parere adottato il 25 maggio 2020;
il provvedimento n. 59 dell’11 febbraio 2021, con il quale il Garante, ai sensi dell’articolo 57, paragrafo 1, lettera q) del Regolamento, all’esito dell’esame della richiesta di accreditamento e della relativa documentazione presentata da ANCIC il 17 dicembre 2020, ha accreditato l’OdM preposto alla verifica del rispetto del Codice di Condotta.

5. Il ruolo del Terzo Fornitore

Ai sensi dell’art. 4 del Regolamento, il Titolare del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.

Il ‘Responsabile’, invece, indica una persona fisica o giuridica, un’autorità pubblica, agenzia o altro ente che tratta i dati personali esclusivamente per conto del Titolare. L’essenza di tale figura è quindi quella di un delegato che agisce quale longa manus operativa su incarico e nell’interesse del Titolare.

Sebbene le responsabilità di compliance siano primariamente attribuite al Titolare, la funzione esecutiva del Responsabile non mina la sua indipendenza nell’adempimento dei compiti specifici che gli sono assegnati da parte del Titolare. Il Responsabile può infatti godere di un considerevole grado di autonomia nel fornire i suoi servizi, potendo anche identificare taluni elementi non essenziali dell’operazione di trattamento, inclusi i dettagli dei mezzi operativi e tecnici del trattamento.

5.1 Qualificazione del Terzo Fornitore come Titolare

Fermo quanto sopra premesso, si comprende quindi che le terze parti che interagiscono con l’Organismo in relazione all’esecuzione di un determinato Contratto, potrebbero qualificarsi come Responsabili del trattamento. Ad ogni modo, in alcune limitate – e piuttosto rare –circostanze le terze parti potrebbero anche qualificarsi come Titolari autonomi del trattamento dei dati messi a disposizione da parte dell’OdM.

Tenuto conto di quanto specificato sopra, sono principalmente due le circostanze in cui un Terzo Fornitore potrebbe essere qualificato quale Titolare del trattamento:

In primo luogo, quando in riferimento alle attività delegate da parte dell’OdM, il Terzo Fornitore sia nella condizione di poter assumere decisioni rilevanti circa le modalità ed i mezzi di esecuzione del trattamento in questione. Di norma, tale circostanza si verifica per due ragioni:
- da un lato, a causa della natura dell’attività delegata, vale a dire quando la delega operata da parte dell’OdM presupponga, da parte del Terzo Fornitore, un grado discrezionale particolarmente incisivo sul fronte dei mezzi del trattamento;
- dall’altra, qualora esistano delle norme nel sistema giuridico che attribuiscono a determinate categorie professionali vincoli o compiti specifici tali per cui queste figure si qualificano, ex lege, quali Titolari del trattamento (un es. tipico è quello dell’avvocato che offre servizi di consulenza giudiziale al cliente). In senso lato, rientrano in tale secondo gruppo anche quei casi in cui il ruolo privacy di un determinato fornitore coinvolto in specifiche attività di trattamento sia stato definito in via interpretativa dal Garante o dalle altre autorità di controllo europee (ad esempio, si veda il caso del consulente del lavoro – cfr. Risposta a un quesito relativo al ruolo del consulente del lavoro dopo la piena applicazione del Regolamento (UE) 679/2016 del 22 gennaio 2019 [doc web 9080970]);
in secondo luogo, laddove il Responsabile del trattamento agisca oltre il perimetro del mandato conferito dal Titolare, in violazione del ‘DPA’ sottoscritto con quest’ultimo, potendo incorrere, se le circostanze lo prevedono, anche in possibili sanzioni. Se una simile situazione si determina, la classificazione automatica del Responsabile quale titolare dipenderà inter alia dalla portata della deviazione rispetto alle istruzioni ricevute (es. non è censurabile la condotta del Responsabile che non adempia ad una direttiva del Titolare solo per assicurare la conformità ai principi di protezione dei dati).

Esempio

Al Terzo Fornitore viene chiesto da parte delle autorità giudiziarie di esibire documenti dai quali si evince un trattamento di dati personali svolto per conto dell’Organismo. In tale caso, la messa a disposizione dei documenti (che si configura come comunicazione di dati personali dal responsabile ad un nuovo titolare del trattamento – appunto l’autorità giudiziaria) fa sì che il ruolo privacy del Terzo Fornitore cambi, diventando a sua volta, in automatico, titolare del trattamento dei dati personali comunicati la cui titolarità originaria è dell’OdM.

5.2 Scelta del Responsabile e rispetto del principio di accountability

Tenuto conto di quanto stabilito dall’articolo 28 del GDPR[1], il Titolare del trattamento deve valutare se le garanzie offerte dal Terzo Fornitore siano sufficienti, prima di procedere con quest’ultimo alla stipula dell’atto di nomina quale Responsabile del trattamento. Alla luce del principio di accountability, il Titolare deve infatti essere in grado di provare di aver tenuto in debita considerazione ogni elemento previsto dal GDPR.

D’altro canto, il Responsabile deve sempre essere in grado di dimostrare per tabulas di poter garantire l’implementazione di misure tecniche ed organizzative adeguate ad adempiere agli obblighi stabiliti dal GDPR.

A seguito della verifica dei requisiti, una volta individuato il Responsabile idoneo, è necessario redigere un Accordo contenente le istruzioni sulle attività di trattamento da sottoscrivere con il Responsabile.

1° FASE – Verifica dei requisiti

Verificare il possesso da parte del Responsabile delle garanzie necessarie attraverso la richiesta e valutazione della documentazione privacy pertinente alle attività di trattamento.

2° FASE – Stipula dell’Accordo

Definire le istruzioni specifiche relative alle operazioni di trattamento da delegare in un Accordo o altro atto giuridico vincolante (DPA), separato o allegato al Contratto.

Ai fini del rispetto del Regolamento, non risulta essenziale che la bozza di Accordo sia unilateralmente redatta da parte del Titolare (si prenda il caso di importanti fornitori di servizi digitali che, pur agendo come responsabili del trattamento, tendono a fornire set documentali in forma standard che includono anche i DPA). La parte proponente non è rilevante fintantoché risulti possibile per il Titolare esercitare il proprio potere decisionale attraverso la proposta di modifiche ed aggiustamenti del testo contrattuale. In tal senso, non risulterebbero accettabili modifiche unilaterali del DPA che non siano adeguatamente portate a conoscenza del Titolare e da questi esplicitamente accettate.

5.3 Checklist per la determinazione del ruolo privacy del Terzo Fornitore

Se la maggior parte delle risposte alle seguenti affermazioni è “SI”, il Terzo Fornitore è con tutta probabilità un responsabile del trattamento.

Se invece la valorizzazione dei campi propenderà per il “NO”, è probabile che il Terzo Fornitore agirà quale autonomo Titolare del trattamento.

Salvo casi eccezionali e al momento non prevedibili, non si ritiene che l’Organismo possa agire, congiuntamente ad un Terzo Fornitore, in qualità di Contitolare del trattamento.

6. Valutazione dei requisiti richiesti dal GDPR

Una volta definito il ruolo del Terzo Fornitore eventualmente coinvolto nell’operazione di trattamento ed appurato che lo stesso agirà quale Responsabile, occorre che l’Organismo verifichi – e sia quindi in grado di dimostrare in un secondo momento – la sussistenza delle garanzie indicate dall’art. 28, comma 1, del GDPR, al fine di definire il DPA tra l’OdM e il Responsabile del trattamento (cfr. paragrafo 5.2).

Resta inteso che, anche laddove il Terzo Fornitore agisse quale Titolare autonomo del trattamento, quest’ultimo dovrà assicurare di possedere una serie di requisiti, in linea con quanto disciplinato dall’art. 6 del Regolamento interno dell’OdM (si veda più avanti il paragrafo 7).

Nella scelta del Responsabile per una data operazione di trattamento rilevano, come sopra anticipato, diversi fattori. Tra questi, dovrebbero essere presi in considerazione dall’ OdM, al fine di valutare la sufficienza delle garanzie da parte del Responsabile:

le conoscenze specialistiche, ad esempio l’expertise tecnologica con riguardo alle misure di sicurezza implementate a presidio dei dati da trattare per conto dell’Organismo, nonché, più in generale, di cui disporre in caso di verificazione di violazioni di dati personali (data breach) (ad es. accertata attraverso l’ottenimento della certificazione ISO 27001);
l’affidabilità, ad es. attraverso la conduzione di privacy risk assessment specifici per le operazioni di trattamento che si intende delegare, la nomina di un DPO anche in assenza dell’obbligo ai sensi di legge, o anche report finali di eventuali audit privacy, di prima o terza parte, effettuati sui processi e sui sistemi utilizzati dal Responsabile;
le risorse economiche (es. budget del DPO) e umane (es. l’organizzazione di training specifici o sessioni di formazione in materia di protezione dei dati personali a beneficio dei dipendenti) a disposizione per lo svolgimento delle operazioni di trattamento;
la reputazione sul mercato, ivi inclusi eventuali procedimenti aperti innanzi all’autorità di controllo o all’autorità giudiziaria riguardanti possibili illeciti in materia di protezione dei dati;
l’eventuale aderenza ad un codice di condotta (diverso da quello delle Informazioni Commerciali) ai sensi dell’articolo 40 del GDPR o a un meccanismo di certificazione a norma dell’art. 42 del Regolamento.

Inoltre, l’Organismo è chiamato a valutare se il Terzo Fornitore consente di esercitare un sufficiente grado di controllo, tenuto conto della natura, dell’ambito, del contesto e delle finalità del trattamento, nonché dei possibili rischi per gli Interessati. Nella prassi, potrebbe risultare complesso negoziare gli aspetti dell’Accordo con fornitori di servizi informatici operanti su scala globale. Anche nei casi in cui sia evidente uno squilibrio di potere negoziale tra le parti, tale circostanza non dovrebbe essere considerata una giustificazione per l’Organismo ad accettare clausole dell’Accordo che non siano in compliance con la normativa in materia di protezione dei dati, né tale disparità può condurre a una esautorazione degli obblighi dell’Organismo come deducibili dal Regolamento interno e dal GDPR[2].

Alla luce di ciò, la scelta di un Terzo Fornitore che sia in grado di dimostrare elevati livelli di compliance e che possa fornire prova documentale dell’implementazione di misure idonee agli obblighi imposti dal GDPR dovrebbe essere preferita ad altre meno data protection-oriented.

Per rispondere a tale esigenza, è stato redatta la Checklist per la selezione dei Terzi Fornitori contenente un elenco di adempimenti normativi in materia di protezione dei dati personali rispetto ai quali sono state individuate una o più misure che il Responsabile prescelto dovrebbe aver implementato. A tali controlli è inoltre attribuito un livello di presidio, utile a comprendere l’essenzialità della misura e, dunque, a valutare le attività da porre in essere in caso di relativa assenza (i controlli essenziali o, comunque, altamente raccomandati sono identificati con il livello 1, mentre i controlli riferibili ai livelli 2 descrivono tutele più avanzate).

Se si escludono i Terzi Fornitori che abbiano aderito ad un codice di condotta approvato ai sensi dell’articolo 40 del GDPR o a un meccanismo di certificazione approvato ai sensi dell’articolo 42 del Regolamento, circostanze considerate ex lege idonee a dimostrare le garanzie sufficienti richieste dall’articolo 28, comma 1, del GDPR, la Checklist può rappresentare un utile strumento di compliance da utilizzare durante le fasi di selezione dei potenziali Responsabili del trattamento.

A ciò si aggiunga che la verifica proposta mediante la Checklist potrebbe essere parimenti effettuata anche per valutare, su base continuativa, il mantenimento dei requisiti e la corretta implementazione delle garanzie sufficienti. Indipendentemente dalla durata dell’operazione di trattamento delegata al Terzo Fornitore, l’Organismo dovrebbe infatti assicurarsi che tali garanzie permangano per tutto il periodo in cui i dati personali sono oggetto di trattamento.

Risulta chiaro, però, che in caso di operazioni di trattamento effettuate per un limitato periodo di tempo, la verifica continuativa potrebbe essere superflua o non percorribile (ad esempio in caso di un evento organizzato dall’OdM, l’incarico del Terzo Fornitore in merito all’assistenza e alla gestione dei partecipanti in loco avrà un’estensione temporale piuttosto ridotta). Diversamente, nel caso in cui le attività affidate perdurassero per un lasso di tempo più lungo (si pensi, ad esempio, all’attribuzione della manutenzione del sistema informativo utilizzato per l’espletamento delle funzioni istituzionali ad una terza parte su base annuale), l’Organismo dovrebbe poter verificare – ed essere sempre in grado di dimostrare – il rispetto delle rilevanti disposizioni in connessione al trattamento dei dati personali degli Interessati per tutto il periodo di delega.

7. Valutazione dei requisiti richiesti dal Regolamento interno

A prescindere dalla qualifica del Terzo Fornitore quale Titolare o Responsabile del trattamento ai sensi del GDPR in connessione alle attività di controllo delegate da parte dell’OdM, il Terzo Fornitore è comunque tenuto ad uniformarsi a quanto previsto dal Regolamento interno, nonché dalle ulteriori Linee guida e/o Policy adottate da parte dell’OdM.

In particolare, conformemente a quanto indicato nell’art. 6 del Regolamento interno, il Terzo Fornitore dovrà:

garantire esperienza ed affidabilità al fine di eseguire con puntualità e competenza le attività delegate, nel rispetto dei principi sanciti dalla normativa in materia di protezione dei dati personali e del Codice di Condotta;
assumersi obblighi di indipendenza ed imparzialità, trasparenza operativa, assenza di conflitti di interesse e garantire esperienza e dimestichezza in materia di informazioni commerciali;

garantire la massima riservatezza riguardo alle notizie e/o alle informazioni di cui viene a conoscenza nel corso dell’esecuzione dell’incarico affidatogli da parte dell’Organismo;

fornire annualmente un resoconto scritto di tutte le operazioni svolte in favore dell’OdM, se richiesto.

Al fine di vincolare adeguatamente il Terzo Fornitore al rispetto delle istruzioni e delle misure qui sopra identificate, i membri dell’OdM e/o il personale operante sotto l’autorità dello stesso dovranno inviare, prima di concludere le pratiche connesse all’affidamento dell’incarico – ossia prima della sottoscrizione del Contratto (e dell’eventuale accordo di nomina ex art. 28 GDPR) – e ricevere sottoscritta da parte del Terzo Fornitore, un’apposita Dichiarazione di accettazione.

8. Vigenza e modifiche alla presente Policy

La presente Policy è valida e vincolante per tutti i Destinatari.

Una copia del presente documento sarà messa a disposizione di ciascun Destinatario tramite Posta Elettronica Certificata e sarà pubblicata, sempre a cura del Segretario Generale, sul sito web dell’Organismo.

Questa Policy potrà essere modificata, integrata o integralmente sostituita in ogni momento, previa approvazione da parte dell’Organismo, per garantire i necessari adeguamenti a nuove norme di legge e/o a provvedimenti dell’Autorità, oltre che alle migliori best practices di settore.

Tutti i Destinatari sono tenuti a prenderne visione e a tenere in debita considerazione gli aggiornamenti che verranno apportati alle stesse, come di volta in volta notificati. Nessun Destinatario potrà giustificare la propria condotta adducendo la mancata conoscenza del presente documento.

[1] Articolo 28, comma 1, del Regolamento: “Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”.

[2] Cfr. EDPB, Linee guida 7/2020, pp. 30-32.