(Allegato-art. 11) 
                              Art. 11. 
         Sicurezza delle informazioni, misure organizzative 
   e tecniche per la riservatezza e la sicurezza dell'informazione 
 
    1. Secondo un approccio basato sul rischio, i fornitori  adottano
misure tecniche, informatiche, procedurali, fisiche ed  organizzative
idonee ad assicurare ed essere in grado di dimostrare la  conformita'
al regolamento delle attivita' di trattamento svolte  e  l'osservanza
dei criteri di protezione dei dati  fin  dalla  progettazione  e  per
impostazione  predefinita,  oltre  che  a  garantire  la   sicurezza,
l'integrita' e la riservatezza delle informazioni commerciali oggetto
di trattamento, cosi' da prevenire o quantomeno minimizzare i  rischi
di distruzione, perdita, modifica e divulgazione non autorizzata o di
accesso, in modo accidentale o illegale, a dati personali trattati. 
    2. Tali misure devono prevedere la pseudonimizzazione e,  se  del
caso, la cifratura delle informazioni commerciali, a tutela della non
diretta  intelligibilita'  e/o  riconducibilita'   delle   stesse   a
specifici  interessati,  con  particolare   riferimento   alla   loro
conservazione, nei casi in cui i dati personali  in  questione  siano
relativi a condanne penali, a reati o a connesse misure di  sicurezza
o consistano in informazioni valutative di  tipo  negativo  risultato
delle elaborazioni svolte; la capacita' di  assicurare  costantemente
l'integrita', la disponibilita' e la resilienza  dei  sistemi  e  dei
servizi di trattamento, tenendo conto  delle  minacce  potenzialmente
derivanti sia da eventi naturali che da  azioni  dolose  di  terzi  e
garantendo  alta  affidabilita',   Disaster   Recovery   e   Business
Continuity; adozione di procedure per testare e valutare regolarmente
l'efficacia  delle  misure  implementate  al  fine  di  garantire  la
sicurezza dei dati, verificando sia i singoli componenti che l'intero
sistema (ivi inclusi gli elementi ridondanti, se presenti). 
    3. I fornitori adottano misure organizzative e tecniche  adeguate
a garantire il  puntuale  adempimento  dell'obbligo  di  notifica  al
Garante, senza ingiustificato ritardo e, ove possibile, entro 72  ore
dal momento in cui ne vengono a conoscenza, di  eventuali  violazioni
di  dati  personali  riguardanti  le  attivita'  o   i   servizi   di
informazione  commerciale,  qualora  ritengano  probabile  che  dalle
stesse possano derivare rischi per i  diritti  e  le  liberta'  degli
interessati. Inoltre, laddove tali rischi siano elevati, i  fornitori
dovranno dare notizia delle violazioni subite,  senza  ingiustificato
ritardo, anche agli interessati coinvolti,  secondo  quanto  disposto
dall'art. 34 del regolamento. Per l'adempimento di tali  obblighi,  i
fornitori  si   impegnano   ad   osservare   le   linee   guida,   le
raccomandazioni e le best practices adottate dal Comitato europeo per
la protezione dei dati o da altre autorita'  di  settore  competenti,
ferma  restando  la  possibilita'  di  adottare  propri  standard   e
procedure, anche per il tramite di ANCIC. 
    4. Per la prestazione dei servizi  di  informazione  commerciale,
ogni  fornitore  puo'  ricorrere  ad   eventuali   responsabili   del
trattamento che presentino garanzie sufficienti ai sensi dell'art. 28
del regolamento,  vincolandoli  contrattualmente  anche  al  rispetto
degli obblighi di cui al presente codice di condotta, nei  limiti  in
cui siano applicabili alle attivita' di trattamento svolte per  conto
del fornitore. 
    5. Ogni fornitore quale titolare, oltre  a  ciascun  responsabile
del  trattamento  da  quest'ultimo  eventualmente   designato,   deve
individuare le persone fisiche autorizzate, ai sensi dell'art. 29 del
regolamento  o  2-quaterdecies  del   codice,   all'accesso   ed   al
trattamento  dei  dati  personali   per   finalita'   relative   alla
realizzazione  e   all'erogazione   dei   servizi   di   informazione
commerciale, vincolandole ad adeguati  obblighi  di  riservatezza  ed
impartendo loro idonee istruzioni conformemente al presente codice di
condotta. 
    6.  Per  lo  svolgimento  delle  attivita'  o  dei   servizi   di
informazione commerciale di cui al presente codice di condotta,  ogni
fornitore che integri le condizioni di cui all'art. 37, lettera b)  o
c) del regolamento, provvedera' a  designare  un  responsabile  della
protezione dei dati personali. 
    7. I fornitori si impegnano a svolgere una valutazione di impatto
sulla protezione dei dati ai  sensi  dell'art.  35  del  regolamento,
prima di procedere ai trattamenti  oggetto  del  presente  codice  di
condotta, in relazione ai servizi  di  informazione  commerciale  che
comportino un trattamento di dati personali ad elevato rischio per  i
diritti degli interessati, soprattutto in caso di utilizzo  di  nuove
tecnologie. Tale valutazione  d'impatto  sulla  protezione  dei  dati
potra' riguardare anche piu' categorie di trattamenti simili  tra  di
loro, anche comprensivi di diverse tecniche di analisi,  profilazione
ed elaborazione di informazioni valutative, fermo restando  l'obbligo
del fornitore di consultare il Garante, ai  sensi  dell'art.  36  del
regolamento, nei  casi  in  cui  la  suddetta  valutazione  d'impatto
evidenzi come il trattamento in oggetto determini comunque un rischio
elevato per i diritti e le liberta' delle persone fisiche  coinvolte,
in assenza di ulteriori  misure  aggiuntive  adottate  per  attenuare
ulteriormente il rischio.