 
                    IL GARANTE PER LA PROTEZIONE 
                         DEI DATI PERSONALI 
 
  Nella riunione odierna  alla  quale  hanno  preso  parte  il  prof.
Pasquale Stanzione, presidente, la prof.ssa Ginevra  Cerrina  Feroni,
vicepresidente, il dott. Agostino  Ghiglia  e  l'avv.  Guido  Scorza,
componenti, e il cons. Fabio Mattei, segretario generale; 
  Visto il regolamento (UE) n. 2016/679 del Parlamento europeo e  del
Consiglio del 27 aprile 2016, relativo alla protezione delle  persone
fisiche con riguardo al trattamento dei dati personali, nonche'  alla
libera circolazione di tali dati e che abroga la  direttiva  95/46/CE
(di seguito, «regolamento»); 
  Visto il decreto legislativo 30 giugno  2003,  n.  196  (Codice  in
materia di protezione dei dati personali,  di  seguito  il  «Codice»)
come novellato dal decreto legislativo 10 agosto 2018, n. 101 recante
«Disposizioni  per  l'adeguamento  della  normativa  nazionale   alle
disposizioni del regolamento (UE) 2016/679»; 
  Visto l'art. 40 del regolamento che prevede che le  associazioni  e
gli altri organismi  rappresentanti  le  categorie  di  titolari  del
trattamento  o  responsabili  del   trattamento   possano   elaborare
(modificare o prorogare) codici di condotta destinati  a  contribuire
alla corretta applicazione del regolamento in  specifici  settori  di
attivita' e in  funzione  delle  particolari  esigenze  delle  micro,
piccole e medie imprese, e che tali codici  devono  essere  approvati
dall'autorita' di controllo competente; 
  Visto il considerando 98  del  regolamento  che  prevede  che  tali
codici possono calibrare gli obblighi del titolare del trattamento  e
del responsabile del trattamento, tenuto conto dei potenziali  rischi
del trattamento per i diritti e le liberta' degli interessati; 
  Considerato in particolare che l'adesione ad un codice di  condotta
puo' essere utilizzata come elemento  di  responsabilizzazione  (c.d.
accountability), in quanto consente di dimostrare la conformita'  dei
trattamenti  di  dati,  posti  in  essere  dai   titolari   e/o   dai
responsabili  del  trattamento   che   vi   aderiscano,   ad   alcune
disposizioni o principi del regolamento, o  al  regolamento  nel  suo
insieme (cfr. cons. 77 e articoli 24, paragrafi 3, e 28, paragrafo 5,
e 32, paragrafo 3 del regolamento); 
  Rilevato che  il  Garante  incoraggia  lo  sviluppo  di  codici  di
condotta per le micro, piccole e medie imprese al fine di  promuovere
un'attuazione effettiva del regolamento, aumentare  la  certezza  del
diritto per titolari e responsabili del trattamento e  rafforzare  la
fiducia degli interessati in ordine alla correttezza dei  trattamenti
di dati che li riguardano; 
  Viste le «Linee  guida  1/2019  sui  codici  di  condotta  e  sugli
organismi di monitoraggio a  norma  del  regolamento  (UE)  2016/679»
adottate dal Comitato europeo per la protezione di dati  (di  seguito
«Comitato») il 4 giugno 2019, all'esito della consultazione pubblica; 
  Considerato che l'art. 41, paragrafo  1,  del  regolamento  prevede
che, fatti salvi i compiti e i  poteri  dell'autorita'  di  controllo
competente, la verifica  dell'osservanza  delle  disposizioni  di  un
codice di  condotta,  ai  sensi  dell'art.  40  del  regolamento,  e'
effettuata da un organismo di monitoraggio  (di  seguito,  «Odm»)  in
possesso  dei  requisiti  fissati  dall'art.  41,  paragrafo  2   del
regolamento e del necessario accreditamento  rilasciato  a  tal  fine
dalla medesima autorita',  con  la  sola  eccezione  del  trattamento
effettuato da autorita' pubbliche e  da  organismi  pubblici  per  il
quale non e' necessaria l'istituzione di un Odm (art. 41, paragrafo 6
del regolamento); 
  Considerato che il regolamento e le linee guida del Comitato  sopra
citate fissano un quadro organico di riferimento per  la  definizione
dei   requisiti   che   l'Odm   deve    soddisfare    per    ottenere
l'accreditamento; 
  Visto il provvedimento del 12 giugno 2019, n. 127 con il  quale  il
Garante ha approvato il «Codice di condotta per  il  trattamento  dei
dati personali in materia di informazioni commerciali»  (di  seguito,
«codice di condotta») presentato dall'Associazione nazionale  tra  le
imprese di informazioni commerciali e di  gestione  del  credito  (di
seguito,  «ANCIC»)   in   qualita'   di   associazione   maggiormente
rappresentativa nel settore, subordinando l'efficacia del  codice  di
condotta  all'accreditamento  dell'Odm  ai  sensi  dell'art.  41  del
regolamento,  in  attesa  della   definizione   dei   requisiti   per
l'accreditamento ai sensi dell'art. 41, paragrafo 3 del regolamento; 
  Visto  il  provvedimento  del  10  giugno  2020,  n.  98,  Gazzetta
Ufficiale n. 173 dell'11 luglio 2020 (di seguito, il «provvedimento»)
con il quale il Garante, ai sensi dell'art. 57, paragrafo 1,  lettera
p), del regolamento, ha approvato i  requisiti  per  l'accreditamento
dell'Odm, tenendo conto delle  osservazioni  rese  dal  Comitato  nel
parere adottato il 25 maggio 2020; 
  Visto il provvedimento dell'11 febbraio 2021, n. 59 con il quale il
Garante,  ai  sensi  dell'art.  57,  paragrafo  1,  lettera  q)   del
regolamento, all'esito dell'esame della richiesta di accreditamento e
della relativa documentazione presentata  da  ANCIC  il  17  dicembre
2020, ha accreditato  l'Odm  preposto  da  ANCIC  alla  verifica  del
rispetto  del  codice  di  condotta,  disponendo  altresi'   che   si
provvedesse all'approvazione di una versione definitiva del codice di
condotta aggiornata da ANCIC  anche  nelle  parti  relative  all'Odm;
cio',  considerato  che  all'atto  dell'approvazione  del  codice  di
condotta in data 12 giugno 2019 non era ancora  stato  approvato  dal
Garante il provvedimento contenente i requisiti per  l'accreditamento
dell'Odm; 
  Vista la nota del 12 marzo 2021 con la quale  ANCIC  ha  sottoposto
all'approvazione del Garante la versione  definitiva  del  codice  di
condotta contenente le modifiche e le integrazioni resesi  necessarie
a conclusione della procedura di accreditamento dell'OdM; 
  Vista la nota del 26 aprile 2021 con la quale  ANCIC  ha  convenuto
sulla proposta di modifica  dell'art.  10,  comma  1  del  codice  di
condotta suggerita dal Garante allo scopo di rendere il  testo  della
citata disposizione  piu'  aderente  al  disposto  dell'art.  20  del
regolamento relativo al «Diritto alla portabilita' dei dati»; 
  Rilevato che ai sensi dell'art. 55 del regolamento  il  Garante  e'
l'autorita' di controllo competente ad approvare i codici di condotta
aventi validita' nazionale nell'esercizio del potere  conferitole  ai
sensi dell'art. 57, paragrafo 1, lettera m) del regolamento; 
  Rilevato, all'esito dell'esame di questa Autorita', che  il  codice
di condotta presentato da ANCIC nella sua versione definitiva, offre,
in misura sufficiente, garanzie adeguate a tutela  degli  interessati
nel settore delle informazioni commerciali, come  previsto  dall'art.
40, paragrafo 5, del regolamento; 
  Ritenuto, pertanto, di approvare la versione definitiva del  codice
di condotta presentato da ANCIC  che  acquista  efficacia  il  giorno
successivo alla sua  pubblicazione  nella  Gazzetta  Ufficiale  della
Repubblica italiana e sara' inserito nei registri di cui all'art. 40,
paragrafi 6 e 11 del regolamento; 
  Vista la documentazione in atti; 
  Viste le osservazioni formulate dal segretario  generale  ai  sensi
dell'art. 15 del regolamento del Garante n. 1/2000; 
  Relatore il prof. Pasquale Stanzione; 
 
                   Tutto cio' premesso il Garante: 
 
  a. ai sensi dell'art. 57, paragrafo 1, lettera m), del  regolamento
approva il codice di  condotta  riportato  in  allegato  al  presente
provvedimento del quale forma parte integrante; 
  b.   invia   copia   della   presente   deliberazione   all'Ufficio
pubblicazione leggi e decreti del Ministero della giustizia  ai  fini
della sua pubblicazione nella  Gazzetta  Ufficiale  della  Repubblica
italiana. 
    Roma, 29 aprile 2021 
 
                                  Il presidente e relatore: Stanzione 
Il segretario generale: Mattei