IL GARANTE PER LA PROTEZIONE
DEI DATI PERSONALI
Nella riunione odierna alla quale hanno preso parte il prof.
Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni,
vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza,
componenti, e il cons. Fabio Mattei, segretario generale;
Visto il regolamento (UE) n. 2016/679 del Parlamento europeo e del
Consiglio del 27 aprile 2016, relativo alla protezione delle persone
fisiche con riguardo al trattamento dei dati personali, nonche' alla
libera circolazione di tali dati e che abroga la direttiva n.
95/46/CE (di seguito, «regolamento»);
Visto il decreto legislativo 30 giugno 2003, n. 196 (Codice in
materia di protezione dei dati personali, di seguito il «Codice»)
come novellato dal decreto legislativo 10 agosto 2018, n. 101 recante
«Disposizioni per l'adeguamento della normativa nazionale alle
disposizioni del regolamento (UE) n. 2016/679»;
Visto l'art. 40 del regolamento che prevede che le associazioni e
gli altri organismi rappresentanti le categorie di titolari del
trattamento o responsabili del trattamento possano elaborare
(modificare o prorogare) codici di condotta destinati a contribuire
alla corretta applicazione del regolamento in specifici settori di
attivita' e in funzione delle particolari esigenze delle micro,
piccole e medie imprese, e che tali codici devono essere approvati
dall'autorita' di controllo competente;
Visto il considerando 98 del regolamento che prevede che tali
codici possono calibrare gli obblighi del titolare del trattamento e
del responsabile del trattamento, tenuto conto dei potenziali rischi
del trattamento per i diritti e le liberta' degli interessati;
Viste le «Linee guida 1/2019 sui codici di condotta e sugli
organismi di monitoraggio a norma del regolamento (UE) n. 2016/679»
adottate dal Comitato europeo per la protezione di dati (di seguito
«Comitato») il 4 giugno 2019, all'esito della consultazione pubblica;
Considerato che l'art. 41, par. 3, del regolamento prevede che
l'autorita' di controllo presenti al Comitato uno schema di requisiti
per l'accreditamento dell'Odm, ai sensi del meccanismo di coerenza di
cui all'art. 63 del regolamento;
Visto il provvedimento del 10 giugno 2020, n. 98 - pubblicato nella
Gazzetta Ufficiale n. 173 dell'11 luglio 2020 (di seguito,
«provvedimento») con il quale il Garante, ai sensi dell'art. 57, par.
1, lettera p), del regolamento, ha approvato i requisiti per
l'accreditamento dell'Odm, tenendo conto delle osservazioni rese dal
Comitato nel parere adottato il 25 maggio 2020;
Considerato che l'adesione ad un codice di condotta puo' essere
utilizzata come elemento di responsabilizzazione (c.d.
accountability), in quanto consente di dimostrare la conformita' dei
trattamenti di dati, posti in essere dai titolari e/o dai
responsabili del trattamento che vi aderiscano, ad alcune
disposizioni o principi del regolamento, o al regolamento nel suo
insieme (cfr. cons. 77 e articoli 24, par. 3, e 28, par. 5, e 32,
par. 3 del regolamento);
Considerato che il Garante incoraggia lo sviluppo di codici di
condotta per le micro, piccole e medie imprese al fine di promuovere
un'attuazione effettiva del regolamento, aumentare la certezza del
diritto per titolari e responsabili del trattamento e rafforzare la
fiducia degli interessati in ordine alla correttezza dei trattamenti
di dati che li riguardano;
Considerato che l'art. 41, par. 1, del regolamento prevede che,
fatti salvi i compiti e i poteri dell'autorita' di controllo
competente, la verifica dell'osservanza delle disposizioni di un
codice di condotta, ai sensi dell'art. 40 del regolamento, e'
effettuata da un Organismo di monitoraggio (di seguito, «Odm») in
possesso dei requisiti fissati dall'art. 41, par. 2 del regolamento e
del necessario accreditamento rilasciato a tal fine dalla medesima
autorita', con la sola eccezione del trattamento effettuato da
autorita' pubbliche e da organismi pubblici per il quale non e'
necessaria l'istituzione di un Odm (art. 41, par. 6 del regolamento);
Rilevato, in tale contesto, che l'obbligo di affidare il
monitoraggio dei codici di condotta a un Odm accreditato non dovrebbe
costituire un ostacolo allo sviluppo di tali strumenti e che, quindi,
va riconosciuto un certo margine di flessibilita' ai promotori dei
codici di condotta nell'applicazione dei requisiti di accreditamento
fissati dal Garante al fine di definire il modello di Odm piu'
adeguato a controllarne l'osservanza, fermo restando il rispetto di
quanto previsto dal regolamento, dalle linee guida e dai pertinenti
pareri del Comitato;
Considerato che il regolamento e le linee guida del Comitato sopra
citate, fissano un quadro organico di riferimento per la definizione
dei requisiti che l'Odm deve soddisfare per ottenere
l'accreditamento;
Considerato che l'art. 57, par. 1, lettera q) del regolamento
prevede, in particolare, che ciascuna autorita' di controllo, sul
proprio territorio, effettua l'accreditamento dell'Odm, ai sensi
dell'art. 41;
Rilevato che, ai sensi del combinato disposto di cui agli articoli
55 del regolamento e art. 2-bis del Codice, il Garante e' l'autorita'
di controllo competente a definire e pubblicare i requisiti per
l'accreditamento dell'Odm, nonche' ad accreditare lo stesso Odm
nell'esercizio del potere conferitole ai sensi dell'art. 57, par. 1,
lettere p e q), del regolamento;
Rilevato che, ai sensi dell'art. 55 del regolamento, il Garante e'
l'autorita' di controllo competente ad approvare i codici di condotta
aventi validita' nazionale nell'esercizio del potere conferitole ai
sensi dell'art. 57, paragrafo 1, lettera m), del regolamento;
Rilevato altresi' che il Garante, nella procedura di accreditamento
volta a verificare che l'Odm soddisfi i predetti requisiti, tiene in
considerazione le specificita' dei trattamenti di dati personali
afferenti al/i settore/i a cui si applica il codice di condotta e, in
particolare, la natura e la dimensione del settore, la tipologia e il
numero (anche atteso) di soggetti aderenti, la peculiarita' e la
complessita' delle operazioni di trattamento oggetto del codice,
nonche' i rischi per gli interessati;
Visto il provvedimento del 9 marzo 2023, n. 70 con il quale il
Garante ha approvato il «Codice di condotta per le attivita' di
telemarketing e teleselling» (di seguito, «codice di condotta»)
presentato da diverse associazioni promotrici (Asseprim, AssoCall,
ASSOCONTACT, Assotelecomunicazioni, Confcommercio, Confindustria,
DMA - Data & Marketing Association Italia, OIC_- Osservatorio Imprese
Consumatori) (di seguito, «proponenti») in qualita' di associazioni
maggiormente rappresentative nel settore, subordinandone l'efficacia
all'accreditamento dell'Odm ai sensi dell'art. 41 del regolamento;
Visto che in data 13 ottobre 2023 le proponenti hanno presentato la
richiesta formale di accreditamento dell'Odm preposto alla verifica
del rispetto del codice di condotta, allegando la documentazione
utile a comprovare il possesso dei requisiti richiesti: il
regolamento sul funzionamento dell'Odm; i rispettivi atti
costitutivi; curriculum vitae e documenti di identita' dei
componenti; le dichiarazioni di assenza di conflitto di interessi e
di rispetto dei requisiti stabiliti dal codice di condotta,
sottoscritte dagli stessi candidati a componenti ai sensi dell'art.
47 del decreto del Presidente della Repubblica n. 445/2000;
Vista la nota del 4 dicembre 2023 con cui l'ufficio ha formulato
alcune osservazioni in ordine alla richiesta di accreditamento che e'
stata, pertanto, successivamente integrata dalle proponenti con nota
27 febbraio 2024;
Esaminata la richiesta di accreditamento cosi' integrata e la
relativa documentazione, risulta che l'Odm dimostra di possedere i
requisiti previsti dall'art. 41, par. 2 del regolamento e dal
Provvedimento, avendo comprovato, in particolare, un adeguato livello
di competenza per lo svolgimento dei propri compiti di verifica del
rispetto del codice di condotta, nonche' di poter assolvere alle
proprie funzioni con indipendenza e imparzialita', anche attraverso
specifiche misure, idonee ad individuare e mitigare il rischio di
eventuali conflitti di interesse;
Ritenuto pertanto, ai sensi dell'art. 57, par. 1, lettera q), del
regolamento, di accreditare l'Odm deputato alla verifica del rispetto
del sopra menzionato codice di condotta;
Preso atto che la durata del citato Odm, proposta in sede di prima
applicazione del codice e' di tre anni non rinnovabili, fermo
restando che il regolamento dell'Odm presentato per l'accreditamento
prevede che i mandati successivi al primo abbiano una durata di
cinque anni;
Ritenuto, pertanto, di approvare la versione definitiva del codice
di condotta che acquista la piena efficacia dal giorno successivo
alla sua pubblicazione nella Gazzetta Ufficiale della Repubblica
italiana e sara' inserito nei registri di cui all'art. 40, paragrafi
6 e 11 del regolamento;
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi
dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore il prof. Pasquale Stanzione;
Tutto cio' premesso il Garante:
a) ai sensi dell'art. 57, par. 1, lettera q), del regolamento
accredita l'Odm - preposto da Asseprim, AssoCall, ASSOCONTACT,
Assotelecomunicazioni, Confcommercio, Confindustria, DMA - Data &
Marketing Association Italia, OIC_- Osservatorio Imprese Consumatori
- alla verifica del rispetto del codice di condotta per la durata tre
anni non rinnovabili con riguardo al primo mandato e fermo restando
che il regolamento dell'Odm prevede che i mandati successivi abbiano
una durata di cinque anni;
b) ai sensi dell'art. 57, par. 1, lettera m), del regolamento
approva il codice di condotta riportato in allegato al presente
provvedimento del quale forma parte integrante;
c) invia copia della presente deliberazione all'Ufficio
pubblicazione leggi e decreti del Ministero della giustizia ai fini
della sua pubblicazione nella Gazzetta Ufficiale della Repubblica
italiana.
Roma, 7 marzo 2024
Il presidente e relatore: Stanzione
Il segretario generale: Mattei