Codice di condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale

Provvedimento del 29 aprile 2021 - Approvazione del Codice di condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale

(Pubblicato sulla Gazzetta Ufficiale n. 124 del 26 maggio 2021)

Preambolo

L’Associazione Nazionale tra le Imprese di Informazioni Commerciali e di Gestione del Credito (di seguito “ANCIC”) sottoscrive, in qualità di associazione rappresentativa dei fornitori di servizi di informazione commerciale, il presente Codice di condotta, sottoposto all’approvazione del Garante per la protezione dei dati personali (di seguito il “Garante”) ai sensi dell’art. 40 del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (Regolamento Generale sulla Protezione dei Dati, di seguito il “Regolamento”) e nel rispetto della procedura stabilita dall’art. 20 del D.lgs. 101/2018, recante disposizioni di adeguamento del D.lgs. 196/2003, recante il Codice in materia di protezione dei dati personali (di seguito denominato “Codice”) alle norme del Regolamento, sulla base delle seguenti premesse:

1. i soggetti operanti nel settore relativo alle attività di informazione commerciale si impegnano al rispetto dei diritti, delle libertà fondamentali e della dignità delle persone interessate, in particolare del diritto alla protezione dei dati personali, del diritto alla riservatezza e del diritto all’identità personale;

2. nel presente Codice di condotta sono individuate le garanzie e le modalità adeguate di trattamento dei dati personali, a tutela dei diritti degli interessati, che dovranno essere rispettate in connessione all’esecuzione e alla realizzazione delle finalità di informazione commerciale per garantire, da un lato, la certezza e la trasparenza nei rapporti commerciali, nonché l’adeguata conoscenza e circolazione delle informazioni commerciali ed economiche e, dall’altro lato, la qualità, la pertinenza, l’esattezza e l’aggiornamento dei dati personali trattati. Obiettivo del presente Codice di condotta è anche precisare l’applicazione delle disposizioni del Regolamento nello specifico settore delle attività di informazione commerciale, per permettere ai soggetti operanti in tale ambito, quali titolari del trattamento, di far leva sull’adesione al presente Codice di condotta quale elemento per dimostrare il rispetto degli obblighi applicabili, ai sensi dell’art. 24, paragrafo 3, del Regolamento;

3. le disposizioni del presente Codice di condotta si applicano alle sole informazioni commerciali riferite a persone fisiche identificate o identificabili (rientranti nel concetto di “interessato” di cui all’art. 4, n. 1, del Regolamento) ed, in particolare, al trattamento di dati personali provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque o pubblicamente accessibili (c.d. fonti pubbliche), nonché al trattamento di dati personali forniti direttamente dagli interessati, quando effettuato, nel rispetto dei limiti e delle modalità che le normative vigenti stabiliscono per la conoscibilità, utilizzabilità e pubblicità di tali dati, da titolari che, ai sensi dell’art. 6, paragrafo 1, lett. f) del Regolamento, perseguono un interesse legittimo a trattare i suddetti dati personali per la prestazione a terzi di servizi di informazione commerciale. Tali trattamenti includono anche quelli che presuppongono l’elaborazione di informazioni commerciali, da parte dei fornitori, mediante processi statistici o modelli automatizzati, oppure tramite analisi e valutazioni effettuate da esperti, anche sulla base di classificazioni predefinite, allo scopo di formulare un giudizio sulla solidità, solvibilità ed affidabilità del soggetto censito, eventualmente espresso in termini predittivi, probabilistici o in forma di indicatori alfanumerici, codici o simboli, svolti in esecuzione di quanto previsto dal R.D. n. 773/1931 e successive modificazioni ed integrazioni, recante il Testo Unico delle Leggi di Pubblica Sicurezza (di seguito “T.U.L.P.S.”) e relativi Regolamenti di attuazione, e dal D.M. n. 269/2010;

4. non rientra nell’ambito di applicazione del presente Codice di condotta il trattamento dei dati personali effettuato nell’ambito dei sistemi informativi creditizi (c.d. SIC) in riferimento al quale sono previste norme specifiche, anche di natura deontologica;

5. resta escluso dall’ambito di applicazione del presente Codice di condotta anche il trattamento avente ad oggetto i dati personali raccolti presso soggetti privati diversi dall’interessato, che rimane comunque disciplinato dalle disposizioni del Regolamento;

6. tutti i soggetti che prestano a terzi servizi di informazione commerciale ai sensi dell’art. 134 del T.U.L.P.S. e del D.M. n. 269/2010, eventualmente non associati ad ANCIC, possono aderire al presente Codice di condotta, anche attraverso le rispettive associazioni di categoria, seguendo le procedure di seguito stabilite. L’associazione ad ANCIC comporta e sottintende per qualsiasi fornitore l’avvenuta adesione al presente Codice di condotta.

Art. 1 - Ambito di applicazione
Il presente Codice di condotta è riferito ad attività di trattamento limitate al territorio dello Stato Italiano ed è applicabile unicamente a livello nazionale. Per tale motivo, l’approvazione di cui all’art. 40 del Regolamento è richiesta al Garante in qualità di Autorità di controllo competente ai sensi dell’art. 55 del Regolamento.
Art. 2 - Definizioni

1. Ai fini del presente Codice di condotta, si applicano le definizioni previste dall’art. 4 del Regolamento.

2. Ai medesimi fini, si intende per:

a) “informazione commerciale”: il dato, anche valutativo, relativo ad aspetti patrimoniali, economici, finanziari, creditizi, aziendali, industriali, organizzativi, produttivi, imprenditoriali e professionali di una persona fisica;

b) “attività di informazione commerciale”: l’attività consistente nella fornitura di servizi di informazione commerciale, inclusi servizi informativi e/o valutativi che, anche tramite l’ausilio di processi automatizzati, comportano la ricerca, la raccolta, la registrazione, l’organizzazione, l’analisi, l’elaborazione, anche mediante stime e giudizi, oltre che la comunicazione, di informazioni commerciali;

c) “finalità di informazione commerciale”: la finalità di fornire informazioni ai committenti per verifiche sulla situazione economica, finanziaria e patrimoniale degli interessati, nonché sulla loro solidità, solvibilità ed affidabilità, in relazione a legittime esigenze connesse, in via esemplificativa e non esaustiva, all’analisi e alla definizione delle strategie e politiche di business, all’individuazione di soggetti per l’avvio di nuovi rapporti commerciali, all’instaurazione e gestione di rapporti, anche precontrattuali, alla fornitura di beni, prestazioni e servizi agli interessati e alle relative modalità e condizioni di pagamento, all’adempimento dei correlati obblighi normativi, anche in materia di antiriciclaggio, alla prevenzione e contrasto di frodi e alla tutela dei relativi diritti da parte dei committenti, anche in sede giudiziaria;

d) “servizio di informazione commerciale”: il servizio richiesto da terzi (committenti) concernente l’esecuzione di attività di ricerca, raccolta, registrazione, organizzazione, analisi, valutazione, elaborazione e comunicazione di informazioni provenienti da fonti pubbliche, da fonti pubblicamente e generalmente accessibili da chiunque, o altrimenti fornite direttamente dall’interessato, idonee a fornire una conoscenza aggiuntiva ai terzi committenti;

e) “committente”: il soggetto privato o pubblico che richiede al fornitore un servizio di informazione commerciale;

f) “fornitore”: il soggetto privato che, in base all’art. 134 del T.U.L.P.S. e relative modifiche e integrazioni ed al D.M. n. 269/2010, fornisce al committente un servizio di informazione commerciale;

g) “soggetto censito/interessato”: il soggetto cui si riferiscono il servizio di informazione commerciale o il rapporto informativo richiesti dal committente;

h) “rapporto informativo”: il documento cartaceo o elettronico (dossier o report) che, ove richiesto, può essere elaborato dal fornitore per il committente e che contiene la rappresentazione complessiva o selettiva, anche in forma unitaria, aggregata o sintetica, delle informazioni commerciali raccolte in relazione al soggetto censito;

i) “elaborazione di informazioni valutative”: attività volta alla formulazione di un giudizio, espresso anche in termini predittivi o probabilistici ed in forma di indicatori sintetici alfanumerici, codici o simboli, nonché di classificazione sulla solidità, solvibilità ed affidabilità o capacità economica del soggetto censito, risultante da un processo statistico o, altrimenti, da un modello prestabilito, automatizzato e impersonale di elaborazione delle informazioni, oppure emesso sulla base di analisi e valutazioni effettuate da esperti analisti, anche sulla base di una classificazione in categorie o classi predefinite, per legittime esigenze connesse a finalità di informazione commerciale.

j) “organismo di monitoraggio”: l’organismo accreditato da parte del Garante ai sensi dell’art. 41 del Regolamento e preposto al controllo della conformità alle disposizioni del Codice di condotta da parte di tutti i fornitori ad esso aderenti. Il funzionamento dell’organismo di monitoraggio (di seguito “OdM”) è disciplinato da apposito regolamento (di seguito il “Regolamento dell’OdM”).

Art. 3 - Individuazione dei requisiti dell’informazione commerciale

1.Il trattamento di dati personali effettuato nello svolgimento di attività di informazione commerciale si svolge nel rispetto dei principi di cui all’art. 5 del Regolamento e non può riguardare le categorie particolari di dati personali di cui all’art. 9, paragrafo 1, del Regolamento ed i dati relativi a condanne penali e reati di cui all’art. 10 del Regolamento, fatto salvo quanto previsto al successivo art. 4, comma 5, in riferimento ai soli dati relativi a condanne penali e reati provenienti da fonti pubbliche o da quelle pubblicamente e generalmente accessibili ivi indicate, trattati per il perseguimento di un legittimo interesse del titolare, nel rispetto dei limiti e delle modalità stabiliti dalla legge in ordine alla loro conoscibilità, utilizzabilità e pubblicità e nel rispetto delle garanzie appropriate per i diritti e le libertà degli interessati stabilite nel Decreto del Ministro della Giustizia di cui all’art. 2-octies del Codice.

2. I dati personali raccolti e trattati dal fornitore ai fini di informazione commerciale possono riguardare sia l’interessato quale soggetto censito, sia le persone fisiche o altri soggetti legati sul piano giuridico e/o economico al soggetto censito, anche se diversi da una persona fisica (come nel caso di una società).

3. Ai fini del presente Codice di condotta, deve ritenersi che sussista un legame sul piano giuridico e/o economico tra due o più interessati e tra un interessato ed un soggetto diverso da una persona fisica (es. una società) quando ricorra una o più delle seguenti situazioni:

a) partecipazione dell’interessato ad un’impresa o ad una società attraverso il possesso o controllo diretto od indiretto di una percentuale di quote o azioni, oppure di diritti di voto, pari o superiore alle soglie individuate al successivo art. 8;

b) esercizio, tramite la carica o qualifica ricoperta dall’interessato, di effettivi poteri di amministrazione, direzione, gestione e controllo di una impresa o società.

4. Al successivo art. 9 del presente Codice di condotta sono individuati i limiti, anche temporali, per associare al soggetto censito anche i dati personali relativi ai soggetti a quest’ultimo legati sul piano giuridico e/o economico, nei casi in cui tali dati riguardino eventi negativi quali, ad esempio, fallimenti o procedure concorsuali, ipoteche o pignoramenti, protesti.

Art. 4 - Fonti di provenienza e modalità di trattamento delle informazioni commerciali

1. Per finalità di informazione commerciale il fornitore può raccogliere dati personali presso il soggetto censito, presso fonti pubbliche, fonti pubblicamente e generalmente accessibili da chiunque o presso altri soggetti autorizzati dalla legge alla distribuzione e fornitura delle informazioni.

2. Quanto alle fonti pubbliche o alle fonti pubblicamente accessibili da chiunque di cui sopra, per maggior chiarezza, sono fonti utilizzabili dal fornitore:

a)
le fonti pubbliche, ossia i pubblici registri, gli elenchi, gli atti o i documenti conoscibili da chiunque in base alla vigente normativa di riferimento, nei limiti e con le modalità in essa stabiliti per la conoscibilità, l’utilizzabilità e la pubblicità dei dati ivi contenuti, tra cui rientrano, in via esemplificativa e non esaustiva:

1) registro delle imprese, bilanci ed elenchi dei soci, visure e/o atti camerali, atti ed eventi relativi a fallimenti o altre procedure concorsuali, nonché il registro informatico dei protesti presso le camere di commercio e la relativa società consortile InfoCamere;

2) atti immobiliari, atti pregiudizievoli ed ipocatastali (es. iscrizioni o cancellazioni di ipoteche, trascrizioni e cancellazioni di pignoramenti, o atti giudiziari e relativi annotamenti) tutti conservati nei registri gestiti dall’Agenzia delle Entrate (tra i quali rientrano le ex Conservatorie dei registri immobiliari e l’Ufficio del Catasto), nel Pubblico Registro Automobilistico e presso l’Anagrafe della popolazione residente.

b) Le fonti pubblicamente e generalmente accessibili da chiunque, sono costituite da:

1) quotidiani e testate giornalistiche in formato cartaceo, che risultino regolarmente registrate;

2) elenchi c.d. categorici ed elenchi telefonici;

3) siti Internet liberamente accessibili a chiunque appartenenti a:

3.1) soggetti censiti ed altri soggetti a loro connessi ai sensi del successivo art. 8;

3.2) enti pubblici, governativi, territoriali e locali, agenzie pubbliche, nonché autorità di vigilanza e controllo, relativamente ad elenchi, registri, albi di collegi e ordini, atti e documenti ivi diffusi e contenenti informazioni relative allo svolgimento di attività economiche, nei limiti eventualmente previsti dalla normativa vigente in Italia, in conformità all’art. 86 del Regolamento;

3.3)
associazioni di categoria ed ordini professionali, relativamente ad elenchi od albi di operatori economici e imprenditoriali, diffusi sui propri siti;

3.4) quotidiani e testate giornalistiche online che confermino, nel numero minimo di tre, le informazioni oggetto di comunicazione e che risultino regolarmente registrati. Sono escluse dal conteggio le testate giornalistiche online, per le quali sia già stata computata la corrispondente testata cartacea, nonché gli articoli che rappresentino una mera ripubblicazione dello stesso testo sotto diverse testate;

3.5) servizi online di elenchi telefonici e categorici.

3. Il fornitore raccoglie i dati personali provenienti dalle suddette fonti pubbliche o generalmente accessibili anche mediante l’ausilio di strumenti elettronici e per via telematica, in forma sia diretta che mediata, presso soggetti pubblici o presso altri fornitori privati, sulla base di appositi accordi con questi ultimi e, comunque, nel rispetto delle forme e dei limiti stabiliti dalle disposizioni normative che disciplinano la conoscibilità, utilizzabilità e pubblicità degli atti e dei dati in essi contenuti.

4. Nell’acquisire e registrare i dati personali provenienti da fonti pubbliche o da fonti pubblicamente e generalmente accessibili da chiunque, il fornitore adotta adeguate e preventive misure per assicurare che:

a) i dati estratti siano esatti e pertinenti rispetto al fine perseguito, nonché trattati in conformità al principio di proporzionalità e agli altri principi di cui all’art. 5 del Regolamento;

b) sia annotata la specifica fonte di provenienza dei dati;

c) sia effettuato l’aggiornamento dei medesimi dati alla data dei rapporti informativi.

5. Ai fini dell’erogazione del servizio di informazione commerciale è ammesso il trattamento anche di dati relativi a condanne penali e reati provenienti da fonti pubbliche; per quanto riguarda, invece, le fonti pubblicamente e generalmente accessibili di cui alla lettera b) del precedente comma 2, è consentito il trattamento dei soli dati relativi a condanne penali e reati diffusi negli ultimi sei mesi, a partire dalla data di ricezione della richiesta del servizio da parte del committente e senza alcuna possibilità per il fornitore di apportare modifiche al contenuto di tali informazioni – salvo l’eventuale loro aggiornamento – e di utilizzarle a fini dell’elaborazione di informazioni valutative.

Art. 5 - Informativa agli interessati

1. Per il trattamento delle informazioni provenienti dalle fonti di cui al precedente art. 4, considerato il rilevante numero di interessati e la peculiare natura delle stesse informazioni, tale da comportare un impiego di mezzi da ritenersi manifestamente sproporzionato rispetto al diritto tutelato, il fornitore rende l’informativa all’interessato, in forma non individuale, attraverso misure appropriate, in conformità a quanto disposto dall’art. 14, paragrafo 5, lett. b) del Regolamento ed, in particolare, attraverso l’informativa pubblicata sul portale Internet www.informativaprivacyancic.it costituito a tale specifico fine da ANCIC, in rappresentanza dei fornitori di informazioni commerciali.

2. L’informativa di cui al precedente comma contiene gli elementi previsti dall’art. 14, paragrafi 1 e 2, del Regolamento, indicati mediante una descrizione sintetica delle principali caratteristiche del trattamento effettuato dai fornitori, autonomi titolari, e deve recare obbligatoriamente indicazione, tra l’altro:

a) dei dati identificativi e di contatto di ciascun fornitore quale titolare e dei dati di contatto del rispettivo responsabile della protezione dei dati personali, anche al fine di ottenere il riscontro in caso di esercizio dei diritti di cui al Capo III del Regolamento;

b) dei destinatari o delle categorie di destinatari dei dati personali che, anche in qualità di responsabili del trattamento, possono venire a conoscenza dei dati;

c) di eventuali trasferimenti di dati personali da parte dei fornitori verso committenti ubicati in paesi terzi, da svolgersi nel rispetto delle condizioni di cui al Capo V del Regolamento;

d) delle categorie di dati trattati;

e) del legittimo interesse perseguito dal titolare, quale può essere il monitoraggio e la prevenzione di frodi, la garanzia della sicurezza e dell’affidabilità dei servizi forniti dai committenti, la solidità della gestione e la corretta esecuzione di rapporti commerciali ed attività economiche e finanziarie tra questi ultimi ed il soggetto censito, nonché alla tutela dei relativi diritti, secondo quanto disposto dall’art. 6, paragrafo 1, lett. f), del Regolamento;

f) del periodo di conservazione dei dati;

g) dei siti Internet o altre sedi dove sia agevolmente e gratuitamente consultabile la specifica e dettagliata informativa di ciascun fornitore;

h) di trattamenti automatizzati di dati che comportino la profilazione degli interessati;

i) l’indicazione delle modalità attraverso le quali è possibile esercitare i diritti citati alla precedente lett. a), oltre quello di proporre reclamo al Garante per la protezione dei dati personali, quale autorità di controllo.

3.I fornitori aventi un fatturato annuale per servizi di informazione commerciale non superiore a 300.000,00 (trecentomila) Euro, possono rendere l’informativa anche solo attraverso la relativa comunicazione sul proprio sito Internet.

Art. 6 - Presupposti di liceità del trattamento e legittimi interessi perseguiti
1. Il trattamento per finalità di informazione commerciale di dati personali provenienti dalle fonti di cui al precedente art. 4, anche quando finalizzato alla formulazione, grazie a processi automatizzati o ad analisi e valutazioni svolte da esperti, di un giudizio sulla solidità, solvibilità e affidabilità del soggetto censito o comunque volto all’elaborazione di informazioni valutative, non richiede il consenso dell’interessato, essendo necessario al perseguimento dei legittimi interessi dei fornitori che prestano i servizi di informazioni commerciali, ai sensi dell’art. 134 del T.U.L.P.S. e del D.M. 269/2010, nonché dei committenti che li richiedono per legittime verifiche e per le esigenze di cui al precedente art. 2, comma 2, lett. c), nonché dell’interesse comune alla lealtà delle transazioni commerciali e al buon funzionamento del mercato, purché tale trattamento sia effettuato nell’osservanza delle disposizioni del presente Codice di condotta, che fissano le garanzie ed i limiti entro cui i predetti interessi legittimi possono essere perseguiti dai fornitori nel rispetto degli interessi e dei diritti e libertà fondamentali dell’interessato, ai sensi dell’art. 6, paragrafo 1, lett. f), del Regolamento.
2. In nessun caso l’elaborazione di informazioni valutative da parte dei fornitori aderenti al presente Codice di condotta, anche quando basata su processi totalmente automatizzati di elaborazione delle informazioni commerciali, compresa la profilazione (es. scoring su solidità, solvibilità ed affidabilità o capacità economica dell’interessato), determina o implica l’adozione di una decisione, da parte dei fornitori stessi, che produca effetti giuridici o che in ogni caso incida significativamente in modo analogo sull’interessato. Ogni decisione che incida sui diritti e le libertà dell’interessato è infatti rimessa esclusivamente ai committenti ed è basata sull’insieme dei dati personali ed informazioni in loro possesso e non unicamente sulle informazioni valutative elaborate e comunicate dai fornitori, da considerarsi come strumentali e serventi rispetto alle complessive valutazioni effettuate dai medesimi committenti in ordine alle decisioni da adottare nei loro rapporti con gli interessati.
Art. 7 - Comunicazione delle informazioni

1. Le informazioni provenienti da fonti pubbliche di cui al precedente art. 4, trattate ai fini dell’erogazione dei servizi di informazione commerciale, sono comunicate dal fornitore, anche per via telematica, ai committenti secondo quanto previsto dalla normativa vigente in materia di pubblica sicurezza (T.U.L.P.S.) e successive modifiche e integrazioni.

Art. 8 - Associazione e utilizzazione delle informazioni commerciali

1. Ai fini dell’erogazione dei servizi di informazione commerciale, qualora le informazioni provenienti da fonti pubbliche siano riferite ad eventi negativi (es. fallimenti o procedure concorsuali, pregiudizievoli, ipoteche o pignoramenti, protesti), il fornitore:

a) utilizza solo le informazioni di cui sopra che riguardino direttamente l’interessato, quale soggetto censito;

b) utilizza – qualora il soggetto censito sia una persona fisica che non svolga o non abbia svolto alcuna attività d’impresa, non ricopra o non abbia ricoperto cariche sociali, o non detenga o non abbia detenuto partecipazioni rilevanti in un’impresa o società nei termini indicati ai successivi commi – soltanto le informazioni relative a protesti ed atti pregiudizievoli che lo riguardino direttamente, nonché i dati relativi a condanne penali e reati così come indicati e disciplinati dall’art. 4, comma 5;

c) indica, nel contesto del rapporto informativo, la sola circostanza dell’esistenza di altre informazioni e/o rapporti informativi relativi ad ulteriori interessati e/o soggetti diversi da persone fisiche, legati sul piano giuridico e/o economico al soggetto censito, senza che tali informazioni provenienti da fonti pubbliche e riguardanti eventi negativi, possano essere, in alcun modo, direttamente associate all’interessato quale soggetto censito, né tanto meno utilizzate per l’elaborazione di informazioni valutative riferite a quest’ultimo, fatto salvo quanto previsto dai successivi commi.

2. Con riferimento a quanto indicato al precedente comma 1, lett. c), viene fatta salva la facoltà per il fornitore, qualora il soggetto censito sia una persona fisica, ai fini dell’erogazione dei servizi di informazione commerciale, di associare direttamente all’interessato quale soggetto censito ed utilizzare per l’elaborazione di informazioni valutative riferite a quest’ultimo, anche le informazioni provenienti da fonti pubbliche che si riferiscono ad eventi negativi relativi ad imprese o società nelle quali lo stesso interessato (soggetto censito) rivesta o abbia rivestito, nei 12 mesi precedenti il verificarsi dell’evento negativo, le cariche o qualifiche qui sotto indicate:

a) professionista, anche nell’ambito di un’associazione o società tra professionisti, inteso quale operatore economico, vale a dire persona fisica che agisce per scopi riferibili all’attività economica o professionale svolta;

b) titolare di ditta individuale;

c) socio di società semplice e di società in nome collettivo;

d) socio accomandatario di società in accomandita semplice e socio accomandante con partecipazioni pari o superiori alla soglia del 25% o detentore della quota di maggioranza del capitale sociale, fatte salve, nel caso di società in accomandita semplice, le quote di controllo e partecipazioni del 10% in caso di quote paritarie tra i soci;

e) nelle società di capitali:

1) socio con partecipazioni pari o superiori alla soglia del 25% o in possesso del pacchetto di maggioranza del capitale sociale, fatte salve le partecipazioni del 10% in caso di quote paritarie tra i soci;

2) presidente o vice presidente del consiglio di amministrazione, consigliere od amministratore delegato, consigliere, amministratore, consigliere od amministratore con deleghe, amministratore unico o socio unico di società a responsabilità limitata e socio unico di società per azioni;

3) sindaco, revisore, institore, presidente del patto di sindacato, organi delle procedure concorsuali e soggetti con qualifica di procuratori e direttori, soltanto se il soggetto censito che ricopra tali ultime cariche o qualifiche abbia:

3.1) amministrato l’impresa o la società;

3.2) avuto fino ad un anno prima partecipazioni pari o superiori alla soglia del 25% o la quota di maggioranza del capitale sociale, fatte salve le quote di controllo e le partecipazioni con quote paritarie, per le quali i soci rilevano tutti, anche al di sotto della soglia predetta, con il limite della soglia minima del 10%.

3. Sempre con riferimento a quanto indicato al precedente comma 1, lett. c), viene inoltre fatta salva la facoltà per il fornitore, qualora il soggetto censito sia un soggetto diverso dalla persona fisica (es. una società), ai fini dell’erogazione dei servizi di informazione commerciale, di associare direttamente al soggetto censito ed utilizzare per l’elaborazione di informazioni valutative riferite a quest’ultimo, le informazioni provenienti da fonti pubbliche che si riferiscono ad eventi negativi riguardanti:

a) le persone fisiche che, nell’ambito del soggetto censito, ricoprono o hanno ricoperto nei 12 mesi precedenti la richiesta, le cariche o qualifiche di cui al precedente comma 2, ivi incluse quelle relative ad imprese o società connesse a tali persone fisiche secondo quanto previsto al medesimo comma;

b) le persone fisiche che detengono o hanno detenuto, nei 12 mesi precedenti la richiesta, partecipazioni al capitale del soggetto censito nella misura di cui al precedente comma 2, ivi incluse quelle su dati negativi relative ad imprese o società connesse a tali persone fisiche secondo quanto previsto al medesimo comma.

4. Fatti salvi i termini più restrittivi previsti da specifiche norme di legge e fermo quanto disposto al precedente art. 4, comma 5 in riferimento ai dati relativi a condanne penali e reati, le informazioni provenienti da fonti pubbliche ed attinenti ad eventi negativi oggetto di trattamento nei termini di cui ai precedenti commi 2 e 3, sono conservate dal fornitore, ai fini dell’erogazione dei servizi di informazione commerciale, nel rispetto dei seguenti limiti temporali:

a) le informazioni relative a fallimenti o procedure concorsuali per un periodo di tempo non superiore a 10 anni dalla data di apertura della procedura del fallimento; decorso tale periodo, le predette informazioni potranno essere ulteriormente utilizzate dal fornitore, solo quando risultino presenti altre informazioni relative ad un successivo fallimento o risulti avviata una nuova procedura fallimentare o concorsuale riferita al soggetto censito o ad altro soggetto connesso, nel qual caso, il trattamento può protrarsi per un periodo massimo di 10 anni dalle loro rispettive aperture;

b) le informazioni relative ad atti pregiudizievoli ed ipocatastali (ipoteche e pignoramenti) per un periodo di tempo non superiore a 10 anni dalla data della loro trascrizione o iscrizione, salva l’eventuale loro cancellazione prima di tale termine, nel qual caso verrà conservata per un periodo di 2 anni l’annotazione dell’avvenuta cancellazione.

5. I limiti temporali di cui al precedente comma 4, si applicano anche nei confronti delle informazioni provenienti da fonti pubbliche e relative ad eventi negativi riferiti direttamente a titolari di imprese individuali e professionisti.

Art. 9 - Conservazione delle informazioni

1. Fatto salvo quanto stabilito all’art. 8, comma 4, lett. a) e b), e comma 5, i dati personali provenienti dalle fonti di cui all’art. 4 possono essere conservati dal fornitore ai fini dell’erogazione ai committenti dei servizi di informazione commerciale per il periodo di tempo in cui rimangono conoscibili e/o pubblicati nelle fonti pubbliche da cui provengono, in conformità a quanto previsto dalle rispettive normative di riferimento.

2. Resta fermo l’obbligo del fornitore di adottare misure idonee a garantire l’aggiornamento delle informazioni commerciali erogate rispetto ai dati personali riportati nelle fonti pubbliche da cui sono state raccolte, nei limiti e con le modalità stabiliti dalle predette normative di riferimento per la conoscibilità, l’utilizzabilità e la pubblicità dei dati ivi contenuti e dei relativi aggiornamenti.

Art. 10 - Esercizio dei diritti da parte degli interessati

C

1. I fornitori adottano misure organizzative e tecniche idonee a garantire un riscontro telematico, tempestivo e completo, alle richieste di esercizio dei diritti avanzate dagli interessati ai sensi degli artt. 15, 16, 17, 18, 19 e 21 del Regolamento, ove applicabili. In conformità a quanto previsto dall’articolo 20 del Regolamento, l’esercizio del diritto alla portabilità dei dati nei confronti dei fornitori di servizi di informazione commerciale è limitato alle sole ipotesi nelle quali tali dati siano trattati con mezzi automatizzati, sulla base del consenso o per dare esecuzione a un contratto ai sensi di quanto previsto rispettivamente all’articolo 6, paragrafo 1, lettera a) e lettera b).

2. Il diritto di cui all’art. 22 del Regolamento a non essere sottoposti ad una decisione basata unicamente su un trattamento automatizzato, quando la stessa sia in grado di produrre effetti giuridici o comunque di incidere significativamente sulla persona, potrà essere esercitato, laddove applicabile, nei confronti dei committenti.

3. Tramite la specifica sezione a ciò dedicata del portale Internet www.informativaprivacyancic.it di cui al precedente art. 5, comma 1, gli interessati possono esercitare il diritto di ottenere conferma che sia o meno in corso un trattamento di dati che li riguardano presso un qualsiasi fornitore e, in caso di riscontro positivo, ottenere l’accesso ai propri dati personali, rivolgendosi direttamente al fornitore, titolare del trattamento di tali dati, presso cui possono essere esercitati gli ulteriori diritti di cui al precedente comma, a condizione che non siano applicabili limitazioni ai sensi degli artt. 2-undecies e 2-duodecies del Codice. Le tempistiche di evasione delle richieste di esercizio dei diritti, comprensive dell’iniziale gestione delle stesse attraverso il portale Internet www.informativaprivacyancic.it e del successivo concreto riscontro da parte del fornitore iscritto, non devono superare i limiti stabiliti dall’art. 12 del Regolamento.

4. Nella presentazione della richiesta di esercizio dei propri diritti l’interessato fornisce idonei elementi, o copia di documenti, al fine di permettere la verifica della propria identità, indicando altresì anche il proprio codice fiscale e/o partita Iva al fine di agevolare la ricerca dei dati che lo riguardano da parte del fornitore.

5. Il terzo al quale l’interessato conferisce per iscritto delega o procura, da esibire o allegare alla richiesta, può trattare i dati personali acquisiti presso un fornitore esclusivamente per finalità di tutela dei diritti dell’interessato, con esclusione di ogni altra finalità autonomamente perseguita dal terzo medesimo.

6. L’interessato può esercitare i propri diritti di cui al precedente comma 1 a condizione che la relativa richiesta non abbia ad oggetto la rettificazione o l’integrazione di dati personali di tipo valutativo elaborati dal fornitore e relativi a giudizi, opinioni o ad altri apprezzamenti di tipo soggettivo, o ad indicazioni di condotte da tenersi o di decisioni in via di assunzione da parte del fornitore stesso.

7. L’interessato può esercitare il proprio diritto di opposizione al trattamento di informazioni commerciali da parte dei fornitori qualora dimostri, ai sensi dell’art. 21, paragrafo 1, del Regolamento, che i propri interessi, diritti e libertà sono prevalenti rispetto al legittimo interesse del titolare di tutela degli interessi dei terzi committenti, di garanzia della certezza del diritto, della lealtà delle transazioni commerciali e di buon funzionamento del mercato interno.

Art. 11 - Sicurezza delle informazioni, misure organizzative e tecniche per la riservatezza e la sicurezza dell’informazione

1. Secondo un approccio basato sul rischio, i fornitori adottano misure tecniche, informatiche, procedurali, fisiche ed organizzative idonee ad assicurare ed essere in grado di dimostrare la conformità al Regolamento delle attività di trattamento svolte e l’osservanza dei criteri di protezione dei dati fin dalla progettazione e per impostazione predefinita, oltre che a garantire la sicurezza, l’integrità e la riservatezza delle informazioni commerciali oggetto di trattamento, così da prevenire o quantomeno minimizzare i rischi di distruzione, perdita, modifica e divulgazione non autorizzata o di accesso, in modo accidentale o illegale, a dati personali trattati.

2. Tali misure devono prevedere la pseudonimizzazione e, se del caso, la cifratura delle informazioni commerciali, a tutela della non diretta intelligibilità e/o riconducibilità delle stesse a specifici interessati, con particolare riferimento alla loro conservazione, nei casi in cui i dati personali in questione siano relativi a condanne penali, a reati o a connesse misure di sicurezza o consistano in informazioni valutative di tipo negativo risultato delle elaborazioni svolte; la capacità di assicurare costantemente l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento, tenendo conto delle minacce potenzialmente derivanti sia da eventi naturali che da azioni dolose di terzi e garantendo alta affidabilità, Disaster Recovery e Business Continuity; adozione di procedure per testare e valutare regolarmente l’efficacia delle misure implementate al fine di garantire la sicurezza dei dati, verificando sia i singoli componenti che l’intero sistema (ivi inclusi gli elementi ridondanti, se presenti).

3. I fornitori adottano misure organizzative e tecniche adeguate a garantire il puntuale adempimento dell’obbligo di notifica al Garante, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne vengono a conoscenza, di eventuali violazioni di dati personali riguardanti le attività o i servizi di informazione commerciale, qualora ritengano probabile che dalle stesse possano derivare rischi per i diritti e le libertà degli interessati. Inoltre, laddove tali rischi siano elevati, i fornitori dovranno dare notizia delle violazioni subite, senza ingiustificato ritardo, anche agli interessati coinvolti, secondo quanto disposto dall’art. 34 del Regolamento. Per l’adempimento di tali obblighi, i fornitori si impegnano ad osservare le linee guida, le raccomandazioni e le best practices adottate dal Comitato Europeo per la Protezione dei Dati o da altre autorità di settore competenti, ferma restando la possibilità di adottare propri standard e procedure, anche per il tramite di ANCIC.

4. Per la prestazione dei servizi di informazione commerciale, ogni fornitore può ricorrere ad eventuali responsabili del trattamento che presentino garanzie sufficienti ai sensi dell’art. 28 del Regolamento, vincolandoli contrattualmente anche al rispetto degli obblighi di cui al presente Codice di condotta, nei limiti in cui siano applicabili alle attività di trattamento svolte per conto del fornitore.

5. Ogni fornitore quale titolare, oltre a ciascun responsabile del trattamento da quest’ultimo eventualmente designato, deve individuare le persone fisiche autorizzate, ai sensi dell’art. 29 del Regolamento o 2-quaterdecies del Codice, all’accesso ed al trattamento dei dati personali per finalità relative alla realizzazione e all’erogazione dei servizi di informazione commerciale, vincolandole ad adeguati obblighi di riservatezza ed impartendo loro idonee istruzioni conformemente al presente Codice di condotta.

6. Per lo svolgimento delle attività o dei servizi di informazione commerciale di cui al presente Codice di condotta, ogni fornitore che integri le condizioni di cui all’art. 37, lett. b) o c) del Regolamento, provvederà a designare un responsabile della protezione dei dati personali.

7. I fornitori si impegnano a svolgere una valutazione di impatto sulla protezione dei dati ai sensi dell’art. 35 del Regolamento, prima di procedere ai trattamenti oggetto del presente Codice di condotta, in relazione ai servizi di informazione commerciale che comportino un trattamento di dati personali ad elevato rischio per i diritti degli interessati, soprattutto in caso di utilizzo di nuove tecnologie. Tale valutazione d’impatto sulla protezione dei dati potrà riguardare anche più categorie di trattamenti simili tra di loro, anche comprensivi di diverse tecniche di analisi, profilazione ed elaborazione di informazioni valutative, fermo restando l’obbligo del fornitore di consultare il Garante, ai sensi dell’art. 36 del Regolamento, nei casi in cui la suddetta valutazione d’impatto evidenzi come il trattamento in oggetto determini comunque un rischio elevato per i diritti e le libertà delle persone fisiche coinvolte, in assenza di ulteriori misure aggiuntive adottate per attenuare ulteriormente il rischio.

Art. 12 - Controllo sul rispetto del Codice di condotta ed organismo di monitoraggio
1. Fatti salvi i compiti e i poteri del Garante di cui agli articoli da 56 a 58 del Regolamento, il rispetto del presente Codice di condotta da parte dei fornitori aderenti è garantito da apposito organismo di monitoraggio, costituito e accreditato ai sensi dell’articolo 41 del Regolamento ed operante secondo regole di dettaglio stabilite, in aggiunta a quelle di cui al presente art. 12, in apposito Regolamento dell’OdM.
2. L’OdM sarà esterno all’organizzazione di ANCIC e sarà composto da un numero dispari di componenti, pari ad un massimo di cinque, designati sulla base delle candidature presentate da parte delle associazioni maggiormente rappresentative degli interessati a livello nazionale, ad eccezione di un solo componente scelto direttamente da ANCIC tra i nominativi proposti dai fornitori di servizi di informazione commerciale aderenti al presente Codice di condotta, a condizione che lo stesso non abbia partecipato ai relativi lavori di stesura e che rispetti, al pari di tutti gli altri componenti, tutti i requisiti di cui al successivo comma 3, oltre a quelli aggiuntivi eventualmente disposti dal Regolamento dell’OdM. L’OdM sarà presieduto da una persona di riconosciuta esperienza in materia di protezione dei dati personali, con particolare riguardo al settore delle informazioni commerciali, che svolgerà funzioni di supervisione e cura del coordinamento e dell’organizzazione delle attività dell’OdM. L’atto di nomina dei componenti dell’organismo sarà adottato dal Consiglio Direttivo di ANCIC ed il relativo incarico, non rinnovabile, avrà durata quinquennale. Con almeno tre mesi di anticipo rispetto alla scadenza del mandato dell’OdM, ANCIC provvederà a richiedere al Garante l’accreditamento dell’organismo nella nuova composizione. Laddove l’OdM avesse necessità di personale di supporto ai fini di un efficiente svolgimento dei propri compiti, ad eccezione di quelli che determinino o presuppongano l’esercizio di poteri decisionali, il relativo incarico potrà essere affidato anche a collaboratori o fornitori esterni di servizi.
3. Ciascuno dei componenti dell’OdM deve garantire e mantenere per l’intera durata dell’incarico i seguenti requisiti:
a. Onorabilità
Non potranno essere nominati coloro che:
• si trovino in una delle condizioni di ineleggibilità o decadenza previste dall’art. 2382 del codice civile;
• siano stati radiati da albi professionali per motivi disciplinari o per altri motivi;
• abbiano riportato condanna, anche se con pena condizionalmente sospesa, salvi gli effetti della riabilitazione, per uno dei delitti previsti dal R.D. 16 marzo 1942, n. 267 (legge fallimentare), o per uno dei delitti previsti dal titolo XI del Libro V del codice civile, o per un delitto non colposo, per un tempo non inferiore ad un anno; per un delitto contro la pubblica amministrazione, contro la fede pubblica, contro il patrimonio, contro l’economia pubblica;
• abbiano riportato una condanna, anche non definitiva, per uno dei reati previsti dal D.lgs. n. 231/2001 e s.m.i.;
• fermo quanto sopra disposto e salvi gli effetti della riabilitazione, siano stati sottoposti a misure di prevenzione disposte dall’autorità giudiziaria, ovvero siano stati condannati con sentenza irrevocabile per un qualsiasi reato.
b. Indipendenza e imparzialità
Al fine di garantire la piena indipendenza e imparzialità dei componenti dell’OdM, evitando qualsiasi forma di interferenza, condizionamento o conflitto di interessi, è previsto che, sia l’organismo nel proprio complesso che i singoli componenti dello stesso, non debbano subire alcuna ingerenza nell’esercizio delle proprie attività da parte di ANCIC e dei fornitori aderenti al presente Codice di condotta. Nello svolgimento delle proprie funzioni di controllo, inoltre, l’OdM non sarà soggetto, in via diretta o indiretta, ad alcuna forma di controllo, direzione o vigilanza da parte di ANCIC, dei fornitori aderenti o eventualmente riconducibili al settore delle informazioni commerciali. L’OdM adotterà le proprie decisioni senza che alcuno degli organi di ANCIC possa sindacarle.
c. Conflitto d’interessi
Ciascun componente dell’organismo deve costantemente garantire la massima imparzialità ed indipendenza anche evitando ogni situazione di conflitto di interessi, reale o anche solo potenziale, sia per sé stesso che in riferimento a propri parenti, affini entro il terzo grado, coniugi o conviventi. A tal fine, ogni componente dovrà inderogabilmente dichiarare senza alcun ingiustificato ritardo, preliminarmente alla formalizzazione della propria nomina ed in qualunque momento nel corso dell’esecuzione dei propri compiti di cui al presente Codice di condotta, qualsiasi circostanza in grado di configurare o comunque determinare un conflitto di interessi, conseguentemente astenendosi dal prendere parte a qualsiasi processo decisionale e dal compiere qualsivoglia attività in seno all’OdM per cui rilevi il conflitto di interessi che lo vede coinvolto.
d. Competenza
Ai fini di un corretto ed efficiente svolgimento dei propri compiti, è essenziale che ciascun componente dell’OdM garantisca un adeguato livello di competenza, da intendersi come l’insieme delle conoscenze, delle esperienze e degli strumenti necessari ad un efficiente svolgimento delle funzioni assegnate. Per tale ragione, i componenti dovranno avere, sia singolarmente che nel loro insieme come organismo, un’approfondita conoscenza e dimestichezza in materia di informazioni commerciali, con particolare riguardo ai profili di protezione dei dati personali.
4. Le attività dell’OdM, debitamente rendicontate, saranno finanziate da parte di ciascuno dei fornitori aderenti al presente Codice di condotta secondo le quote stabilite dal Regolamento dell’OdM, come eventualmente tempo per tempo aggiornate, sulla base del numero dei dipendenti di ciascun aderente, secondo quattro fasce predeterminate.
5. Ai fini del controllo del rispetto del presente Codice di condotta da parte di tutti i soggetti ad esso aderenti, associati o meno ad ANCIC, l’OdM potrà in ogni momento e senza necessità di preavviso svolgere – anche delegandole a terzi soggetti appositamente delegati – tutte le verifiche ritenute opportune, ivi incluse ispezioni, sia in remoto che presso la sede dei fornitori, i quali saranno tenuti a prestare la massima collaborazione ai fini del proficuo svolgimento di tali attività.
6. L’OdM sarà altresì chiamato a gestire i reclami eventualmente insorti tra fornitori ed interessati, relativamente a violazioni del presente Codice di condotta. Fatto salvo il diritto dell’interessato alla presentazione di un reclamo al Garante e/o all’avvio di procedure giudiziali di tutela dei propri diritti ai sensi degli artt. 77 e 79 del Regolamento, ogni soggetto censito che ritenga che i propri diritti e le proprie libertà siano stati lesi da uno o più trattamenti svolti da un fornitore aderente al presente Codice di condotta, così come ogni organismo, organizzazione o associazione rappresentativa o attiva nel settore della protezione dei dati personali, potrà proporre reclamo all’OdM, inviando apposita istanza scritta che dovrà contenere una breve descrizione dei fatti e del pregiudizio lamentato. La presentazione di un reclamo al Garante preclude l’avvio, o determina l’improcedibilità qualsiasi sia lo stato di svolgimento, di una procedura avente il medesimo oggetto o comunque attinente alle medesime questioni dinanzi all’OdM.
7. Entro cinque (5) giorni lavorativi dal ricevimento del reclamo da parte dell’interessato, l’OdM dovrà darne notizia al fornitore di servizi di informazione commerciale coinvolto, affinché quest’ultimo possa, entro i successivi trenta (30) giorni lavorativi, presentare le proprie memorie. Garantendo piena imparzialità e contraddittorio in ogni fase della procedura, qualora gli elementi acquisiti già consentano all’OdM di definire la controversia, quest’ultimo dovrà adottare la propria decisione entro quarantacinque (45) giorni lavorativi dalla data di deposito delle proprie memorie da parte del fornitore. Diversamente, l’OdM potrà richiedere ad entrambe le parti ulteriori precisazioni, così come l’acquisizione di documenti o lo svolgimento di audizioni, raccogliendo in ogni caso tutti gli elementi necessari alla definizione del reclamo, che non potrà avvenire oltre novanta (90) giorni lavorativi successivi alla data di presentazione dello stesso da parte dell’interessato.
8. In conseguenza dei controlli effettuati in esecuzione dei propri poteri, o delle decisioni adottate all’esito della procedura di reclamo di cui al precedente comma, l’OdM potrà decidere, fornendo adeguata motivazione, di applicare al fornitore, in dipendenza della gravità della violazione eventualmente riscontrata, una o più delle seguenti misure;
a. un richiamo formale indirizzato esclusivamente al fornitore;
b. un richiamo da pubblicarsi in apposita sezione del sito web dell’OdM;
c. la sospensione temporanea dall’adesione al presente Codice di condotta;
d. l’esclusione dal presente Codice di condotta del fornitore aderente.
9. Previo oscuramento dei dati personali eventualmente presenti, le decisioni adottate dall’OdM all’esito della definizione di procedure di reclamo di cui sopra devono essere pubblicate, anche in forma sintetica, in apposita sezione del sito web dell’Organismo, qualora dalle stesse sia derivata l’applicazione nei confronti del fornitore di misure di sospensione temporanea o di revoca dell’adesione al Codice di condotta.
10. Alla scadenza di ciascun semestre, l’OdM dovrà fornire al Garante un resoconto riassuntivo dei controlli e delle verifiche effettuate, delle procedure di reclamo definite e delle misure eventualmente adottate ai sensi del comma che precede.
11. Per ogni aspetto riguardante il funzionamento e i compiti dell’organismo che non sia specificamente disciplinato dal presente Codice di condotta, si applicherà il Regolamento dell’OdM.
Art. 13 – Modalità di adesione al Codice di condotta

1. Tutti i fornitori di servizi di informazione commerciale eventualmente non associati ad ANCIC possono aderire al presente Codice di condotta inviando formale richiesta alla Presidenza di ANCIC, corredata da una visura camerale aggiornata, dalla licenza ex art. 134 del T.U.L.P.S. e D.M. n. 269/2010 e dall’ultimo bilancio approvato. Entro i successivi tre (3) giorni il Presidente di ANCIC, inoltrerà la richiesta e la documentazione ricevuta all’OdM, affinché quest’ultimo possa verificare l’assenza, anche alla luce dello Statuto di ANCIC, di circostanze ostative all’adesione del fornitore richiedente.

2. Entro 30 (trenta) giorni dall’inoltro della richiesta di adesione da parte della Presidenza di ANCIC, l’OdM, accertato il possesso da parte del richiedente dei necessari requisiti, anche in riferimento agli obblighi di contribuzione di cui al precedente art. 12.4, provvederà a darne notizia al Consiglio Direttivo di ANCIC, affinché quest’ultimo possa deliberare formalmente la nuova adesione, dandone informazione al Garante entro i 5 (cinque) giorni successivi.

3. L’eventuale mancata accettazione della domanda di adesione al Codice di condotta regolarmente presentata da parte di un fornitore di servizi di informazione commerciale dovrà essere brevemente motivata da parte dell’OdM, fermo restando che tale diniego non preclude il successivo rinnovo della domanda di adesione. In quest’ultimo caso, tuttavia, il fornitore di servizi di informazione commerciale richiedente dovrà allegare alla nuova istanza una breve nota che illustri le misure adottate per superare le ragioni che avevano condotto al precedente diniego.

Art. 14 – Riesame del Codice di condotta

1. ANCIC può in ogni momento promuovere il riesame del presente Codice di Condotta, anche alla luce di novità normative, delle prassi applicative del Regolamento, del progresso tecnologico o dell’esperienza acquisita nella sua applicazione, sottoponendo le proposte di modifica all’approvazione del Garante ai sensi dell’art. 40 del Regolamento.

Art. 15 – Disposizioni finali

1. Il presente Codice di condotta viene approvato con le modifiche e le integrazioni rese necessarie dal completamento della procedura di accreditamento da parte del Garante ai sensi dell’art. 40 del Regolamento, alla cui definizione era subordinata l’efficacia del Codice di condotta approvato il 12 giugno 2019.

Art. 16 - Entrata in vigore

1. Il presente Codice di condotta, inserito nei registri di cui all’art. 40, paragrafi 6 e 11, del Regolamento, è pubblicato nella Gazzetta Ufficiale della Repubblica Italiana ed acquista efficacia il giorno successivo a quello della pubblicazione.

Il testo è consultabile anche sul sito ufficiale del Garante per la protezione dei dati personali raggiungibile cliccando qui.