Policy sull’esecuzione di attività di controllo e verifica nei confronti dei fornitori

Sommario

1. Finalità e struttura della Policy

La presente policy (di seguito, la ‘Policy’) stabilisce le regole e le procedure applicabili allo svolgimento di controlli ed ispezioni da parte dell’Organismo di monitoraggio (di seguito, l’‘OdM’ o l’‘Organismo’) costituito, ai sensi dell’articolo 41 del Regolamento (UE) 2016/679 (di seguito, il ‘GDPR’ o il ‘Regolamento’), al fine di garantire il rispetto del ‘Codice di condotta per il trattamento dei dati personali in materia di informazioni commerciali’ adottato dall’Autorità Garante per la protezione dei dati personali con deliberazione del 12 giugno 2019 e da ultimo approvato con il provvedimento n. 181 del 29 aprile 2021 (di seguito, il ‘Codice di Condotta’).

Al fine di dare attuazione e garantire il rispetto di quanto previsto dal Codice di Condotta e dal Regolamento interno sul funzionamento dell’organismo di monitoraggio del ‘Codice di condotta per il trattamento dei dati personali in materia di informazioni commerciali’ (di seguito, il ‘Regolamento interno’), adottato in data 5 ottobre 2021, l’OdM ha ritenuto opportuno redigere il presente documento al fine di:

  1. definire il metodo e l’iter di svolgimento delle attività di controllo e verifica previste dal Codice di Condotta nei confronti dei soggetti ad esso aderenti, siano essi associati o meno all’Associazione Nazionale tra le Imprese di Informazioni Commerciali e di Gestione del Credito (di seguito, ‘ANCIC’);
  2. identificare puntualmente le diverse fasi del procedimento e, per ciascuna di esse, le specifiche attività da espletarsi;
  3. dotarsi di uno strumento operativo in grado di favorire la corretta attuazione di quanto previsto dal Codice di Condotta e dal Regolamento interno.

La funzione di monitoraggio e controllo attribuita all’Organismo dal Codice di Condotta si esplica, oltre che nella gestione dei reclami che possono insorgere fra i Fornitori e gli Interessati (entrambi di seguito definiti), per cui è stata adottata una specifica policy, in particolare nello svolgimento di attività di verifica del concreto e costante rispetto, da parte dei Fornitori, di tutte le prescrizioni del Codice di Condotta e, più in generale, della normativa applicabile in materia di protezione dei dati personali.

La rilevanza pubblica di alcune delle decisioni che possono essere assunte all’esito delle attività di verifica, così come gli obblighi informativi nei confronti del Garante, rendono ancora più evidente l’importanza di disporre di strumenti, come questa Policy, utili ad assicurare il rispetto di quanto previsto dal Codice di Condotta e dal Regolamento interno.

Tramite questo documento si vogliono quindi stabilire, in maniera chiara e puntuale, le regole connesse all’esecuzione delle procedure di verifica, ivi incluse le ispezioni, che l’OdM è tenuto a svolgere ai sensi dell’articolo 12, comma 5, del Codice di Condotta.

In merito alla struttura della Policy, dopo averne circoscritto il campo di applicazione ed aver delineato alcune definizioni basilari, si fornirà una descrizione della metodologia e delle fasi del procedimento di verifica e controllo previsto nei confronti dei Fornitori.

 

 

2. Ambito di applicazione della Policy

Il perimetro applicativo del presente documento deve essere definito sia in riferimento alla natura delle attività in esso disciplinate (ambito oggettivo), sia alle categorie di destinatari interessati (ambito soggettivo).

 

2.1 Ambito oggettivo

La Policy si applica a qualsiasi attività di controllo svolta da parte dell’Organismo, a prescindere dalla forma di volta in volta prescelta (es. audit da remoto, ispezione in loco, richiesta di informazioni o chiarimenti, compilazione di questionari) per verificare la corretta attuazione del Codice di Condotta ed il puntuale adempimento di tutti gli obblighi stabiliti dalla normativa vigente in materia di protezione dei dati personali da parte dei Fornitori.

 

2.2 Ambito soggettivo

I soggetti destinatari cui deve applicarsi questa Policy sono:

  • i Componenti dell’Organismo, attuali e futuri, chiamati ad eseguire i controlli richiesti dal Codice di Condotta e dal Regolamento interno;
  • i Fornitori oggetto di verifica ai sensi del Codice di Condotta;
  • le eventuali società terze agenti, ai fini dell’esecuzione dei controlli oggetto della presente Policy, per conto e su incarico specifico dell’OdM;
  • il personale amministrativo, incluso il Segretario Generale, operante in favore dell’Organismo, qualora coinvolto in alcuna delle attività descritte nella presente Policy.

(di seguito, congiuntamente, i ‘Destinatari’).

 

 

 

3. Definizioni

Ai termini elencati di seguito, anche quando utilizzati senza la lettera maiuscola e/o declinati al plurale, dovrà attribuirsi il significato qui sotto descritto:

  • Componenti: i cinque membri dell’Organismo designati secondo le regole dettate dal Codice di Condotta e dal Regolamento interno;
  • Dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile. L’identificazione della persona fisica può avvenire sia direttamente (es. nome e cognome, indirizzo e-mail nominativo, codice fiscale) che indirettamente (es. indirizzi IP, IMEI cellulare, MAC Address), tramite dati quali: nome, un numero di identificazione, dati relativi all’ubicazione, elementi caratteristici dell’identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
  • EDPB (European Data Protection Board): il Comitato Europeo per la Protezione dei Dati;
  • Fornitore: il soggetto privato aderente al Codice di Condotta che, in base all’articolo 134 del T.U.L.P.S. e s.m.i. e al D.M. n. 269/2010, svolge nei confronti di uno o più committenti servizi di informazione commerciale;
  • Garante o Autorità: l’Autorità Garante per la protezione dei dati personali.
  • Organismo di Monitoraggio: l’organismo accreditato da parte del Garante ai sensi dell’articolo 41 del GDPR e preposto al controllo della conformità alle disposizioni del Codice di Condotta da parte di tutti i fornitori ad esso aderenti;
  • Soggetto censito o Interessato: il soggetto cui si riferiscono il servizio di informazione commerciale o il rapporto informativo richiesti al Fornitore da parte del committente;
  • Società esterne: qualsiasi soggetto terzo rispetto all’organizzazione dell’Organismo, di ANCIC o di un qualsiasi Fornitore, a cui venga affidato da parte dell’OdM lo svolgimento di specifiche attività di controllo e verifica, ad eccezione di quelle che presuppongono o determinano l’esercizio di poteri decisionali;
  • Trattamento: qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione l’adattamento o la modifica, l’estrazione, la consulenza, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.

I termini a cui l’articolo 4 del GDPR e/o l’articolo 2 del Codice di Condotta, ma non la presente Policy, attribuiscono una specifica definizione, devono essere interpretati conformemente a quanto stabilito dal Regolamento e/o dal Codice di Condotta.

 

 

4. Fonti di riferimento

Oltre che sul Codice di Condotta e sul Regolamento interno, la presente Policy è basata, inter alia, sulle seguenti fonti:

  • il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE;
  • il D.lgs. 30 giugno 2003, n. 196, recante il ‘Codice in materia di protezione dei dati personali’, come modificato ed integrato dal D.lgs. 10 agosto 2018, n. 101, recante ‘Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679’ (di seguito, il ‘Codice Privacy’);
  • le ‘Linee guida 4/2018 relative all’accreditamento degli organismi di certificazione a norma dell’articolo 43 del Regolamento generale sulla protezione dei dati’ adottate in via definitiva dall’EDPB il 4 giugno 2019;
  • le ‘Linee guida 1/2019 sui codici di condotta e sugli organismi di monitoraggio a norma del Regolamento (UE) 2016/679’ adottate dall’EDPB il 4 giugno 2019;
  • il provvedimento n. 98 del 10 giugno 2020, con il quale il Garante, ai sensi dell’articolo 57, paragrafo 1, lettera p), del Regolamento, ha approvato i requisiti per l’accreditamento dell’OdM, tenendo conto delle osservazioni rese dall’EDPB nel parere adottato il 25 maggio 2020;
  • il provvedimento n. 59 dell’11 febbraio 2021, con il quale il Garante, ai sensi dell’articolo 57, paragrafo 1, lettera q) del Regolamento, all’esito dell’esame della richiesta di accreditamento e della relativa documentazione presentata da ANCIC il 17 dicembre 2020, ha accreditato l’OdM preposto alla verifica del rispetto del Codice di Condotta.

 

 

 

5. Casi di controllo

Fermo restando il potere dell’OdM di svolgere, in qualsiasi momento e senza necessità di preavviso, tutte le verifiche di volta in volta ritenute opportune per accertare il pieno rispetto, da parte dei Fornitori, degli obblighi stabiliti dal Codice di Condotta, le attività di controllo avverranno in particolare nei seguenti casi (di seguito, i ‘Controlli occasionali’):

  1. sulla base di segnalazioni specifiche pervenute da parte di Interessati;
  2. sulla base della particolare frequenza e/o gravità dei reclami ricevuti o delle violazioni rilevate direttamente da parte dell’OdM o fatte valere da parte degli Interessati.

A prescindere da quanto sopra e quindi eventualmente in aggiunta ai Controlli occasionali scaturiti dalle circostanze descritte ai precedenti punti 1 e 2, l’Organismo svolgerà annualmente verifiche di conformità al Codice di Condotta (di seguito, i ‘Controlli routinari’) nei confronti di un numero di Fornitori, scelti per estrazione a sorte, pari almeno al 10% del totale degli aderenti al 1° gennaio di ciascun anno.

I criteri di selezione dei Fornitori da sottoporre ai Controlli routinari sono definiti da parte dell’Organismo, anche tenendo conto di decisioni, linee guida, piani ispettivi o provvedimenti di particolare rilievo eventualmente adottati dal Garante o dall’EDBP nei mesi precedenti, entro la fine di gennaio di ogni anno e possono essere integrati o rivisti nel corso dell’anno, previa apposita delibera dell’OdM stesso.

Qualora nel corso dello svolgimento di un Controllo routinario dovesse emergere l’esigenza di eseguire un Controllo occasionale sul medesimo Fornitore, l’Organismo potrà decidere, a propria esclusiva discrezione ed eventualmente sentito il Fornitore coinvolto, se sospendere o meno le attività di Controllo routinario per l’intera o parte della durata del Controllo occasionale.

 

 

6. Tipologia di controlli eseguibili

In conformità a quanto stabilito dal Codice di Condotta (articolo 12, comma 5), l’Organismo può assolvere ai propri compiti di monitoraggio eseguendo tutte le verifiche ritenute opportune per accertare il puntuale rispetto, da parte del Fornitore coinvolto, di tutte o solo di specifiche prescrizioni del Codice di Condotta.

Tali verifiche possono essere svolte, anche in ragione dei profili che l’Organismo intende specificamente appurare, mediante gli strumenti di controllo che quest’ultimo considera più idonei al raggiungimento degli obiettivi di volta in volta identificati. L’OdM può quindi esercitare tutti i poteri ispettivi necessari ad assicurare una puntuale ed efficiente vigilanza sull’osservanza del Codice di Condotta, tra cui a titolo esemplificativo:

  • svolgere audit ed effettuare tutte le verifiche e le ispezioni ritenute opportune ai fini del corretto espletamento dei propri compiti, sia direttamente nei locali aziendali del Fornitore che da remoto;
  • avere libero accesso presso tutte le funzioni, gli archivi, i documenti, le infrastrutture e gli impianti del Fornitore, senza alcun consenso preventivo o necessità di autorizzazione, al fine di ottenere ogni informazione, dato o evidenza documentale ritenuta necessaria;
  • disporre, ove occorra, l’audizione di dipendenti, amministratori e dirigenti del Fornitore, al fine di raccogliere informazioni o chiarimenti utili, concordando preventivamente gli impegni, sempre che non vi ostino ragioni d’urgenza;
  • inviare richieste di informazione e di chiarimento e chiedere la compilazione di appositi questionari.

Fermo quanto sopra, le attività di controllo vengono di norma eseguite da parte dell’OdM da remoto, anche mediante sottoposizione al Fornitore, di una checklist contenente almeno gli elementi di cui all’Allegato 1 della presente Policy e successivo invio, da parte del Fornitore, di tutta la documentazione richiesta o, in aggiunta, comunque ritenuta utile a dimostrare, in ottica di accountability, la piena conformità al Codice di Condotta dei trattamenti svolti nell’ambito della fornitura di servizi di informazione commerciale. Tra la documentazione oggetto di verifica, l’OdM può richiedere anche ogni genere di evidenza informatica rilevante, quali a titolo meramente esemplificativo, estratti o copie di schermate video rilevanti, file di log e metadati, ticket di accesso a sistemi e database.

Come stabilito dal Codice di Condotta, l’Organismo può anche svolgere ispezioni presso la sede, gli uffici ed i locali rilevanti (es. CED e data center) dei Fornitori, o dei loro responsabili del trattamento, al verificarsi delle circostanze che richiedono l’esecuzione di Controlli occasionali ai sensi del precedente paragrafo 5, o in caso di gravi mancanze o acclarate criticità emerse dalla checklist o dalla successiva analisi documentale.

 

 

 

7. Modalità e fasi di esecuzione dei controlli

L’esecuzione di attività di verifica da parte dell’OdM richiede un preavviso nei confronti del Fornitore non superiore alle 48 ore dall’invio della checklist (Allegato 1), da parte dell’OdM, o della richiesta di informazioni o di chiarimenti, o di qualsiasi altra documentazione rilevante, oppure dell’inizio dello svolgimento di un’ispezione in loco.

I Fornitori sono tenuti a prestare la massima collaborazione nei confronti dell’OdM, o dei soggetti da esso appositamente delegati, ai fini del proficuo svolgimento di tutte le attività di controllo di cui al precedente paragrafo 6. L’eventuale mancato adempimento di tale obbligo deve essere valutato da parte dell’Organismo, insieme ad ogni altro elemento utile, in sede di decisione finale, all’esito delle attività di controllo, sul livello di conformità del Fornitore al Codice di Condotta e alla normativa in materia di protezione dei dati personali.

In conformità a quanto previsto dall’articolo 12, comma 2, del Codice di Condotta e nel rispetto dei requisiti stabiliti dall’articolo 6 del Regolamento interno, l’OdM può affidare a Società terze o consulenti l’esecuzione di qualsiasi genere di attività di controllo e verifica, ad eccezione di quelle che presuppongono o determinano l’esercizio di poteri decisionali. Gli obblighi di cooperazione applicabili al Fornitore, descritti al paragrafo che precede, restano ovviamente immutati in tutte le ipotesi di controlli svolti da parte di Società terze su incarico e per conto dell’Organismo.

Tutte le attività di monitoraggio e controllo svolte da parte dell’OdM ai sensi del Codice di Condotta ed in conformità alla presente Policy devono essere documentate in apposito verbale, da inviarsi al Fornitore coinvolto entro 10 (dieci) giorni dalla chiusura delle relative operazioni. Gli addebiti eventualmente mossi nei confronti del Fornitore devono essere motivati e circostanziati in una nota di accompagnamento al verbale, così che quest’ultimo possa, nei 15 (quindici) giorni lavorativi successivi, fornire chiarimenti a riguardo e presentare le proprie note di replica.

Qualora l’Organismo, sulla base degli elementi acquisiti, ritenga di essere già in condizione di valutare compiutamente la questione, adotterà la propria decisione entro i 60 (sessanta) giorni lavorativi successivi. In caso contrario, l’OdM potrà richiedere al Fornitore ulteriori precisazioni, così come l’acquisizione di altri documenti o lo svolgimento di audizioni, raccogliendo in ogni caso tutti gli elementi necessari alla miglior definizione del procedimento.

Nel caso in cui venga disposta un’audizione, di cui deve essere redatto un sintetico verbale da inviare al Fornitore entro i 5 (cinque) giorni successivi, la stessa avrà luogo presso la sede dell’Organismo e nella data fissata da quest’ultimo. In sede di audizione il Fornitore potrà farsi assistere da un avvocato o da altro consulente.

La decisione finale da parte dell’Organismo, all’esito del procedimento di valutazione dei risultati delle attività ispettive e di controllo, secondo quanto stabilito al successivo paragrafo 8, non potrà essere assunta oltre 90 (novanta) giorni lavorativi successivi alla data di conclusione delle stesse, come riportata sull’apposito verbale.

 

 

 

8. Decisioni derivanti dai controlli

Al termine della procedura descritta al precedente paragrafo 7, svolte le necessarie discussioni riguardo ai risultati delle attività di verifica eseguite, l’OdM può stabilire di applicare al Fornitore, motivando adeguatamente la decisione, tenuto conto della gravità della violazione riscontrata, una o più delle seguenti misure:

  1. un richiamo formale indirizzato esclusivamente al Fornitore coinvolto;
  2. un richiamo da pubblicarsi in apposita sezione del sito web dell’Organismo;
  3. la sospensione temporanea dell’adesione del Fornitore al Codice di Condotta;
  4. la revoca dell’adesione del Fornitore al Codice di Condotta.

Le decisioni mediante cui vengano applicate misure di sospensione temporanea o di revoca dell’adesione del Fornitore aderente al Codice di Condotta, devono essere trasmesse al Garante entro tre (3) giorni dalla loro adozione e, sempre ad opera del Segretario Generale dell’OdM, essere pubblicate, anche in forma sintetica, previo oscuramento dei dati personali eventualmente presenti, in apposita sezione del sito web dell’Organismo, raggiungibile all’indirizzo www.odminformazionicommerciali.it.

 

 

 

 

9. Vigenza e modifiche alla presente Policy

La presente Policy è valida e vincolante per tutti i Destinatari.

Una copia di questo documento verrà messa a disposizione di ciascun Destinatario tramite Posta Elettronica Certificata e sarà pubblicata, sempre a cura del Segretario Generale, sul sito web dell’Organismo.

La presente Policy potrà essere modificata, integrata o integralmente sostituita in ogni momento, previa approvazione da parte della maggioranza dei Componenti, per garantire i necessari adeguamenti a nuove norme di legge e/o a provvedimenti dell’Autorità, oltre che alle migliori best practices di settore.

Tutti i Destinatari sono tenuti a prenderne visione e a tenere in debita considerazione gli aggiornamenti che verranno apportati alla stessa, come di volta in volta notificati. Nessun Destinatario potrà giustificare la propria condotta adducendo la mancata conoscenza del presente documento.

nuove adesioni

Sei un’azienda?

Aderisci all’OdM per semplificare il tuo approccio in materia di Data Protection, minimizzando i tuoi rischi di compliance.