Art. 11. Sicurezza delle informazioni, misure organizzative e tecniche per la riservatezza e la sicurezza dell'informazione 1. Secondo un approccio basato sul rischio, i fornitori adottano misure tecniche, informatiche, procedurali, fisiche ed organizzative idonee ad assicurare ed essere in grado di dimostrare la conformita' al regolamento delle attivita' di trattamento svolte e l'osservanza dei criteri di protezione dei dati fin dalla progettazione e per impostazione predefinita, oltre che a garantire la sicurezza, l'integrita' e la riservatezza delle informazioni commerciali oggetto di trattamento, cosi' da prevenire o quantomeno minimizzare i rischi di distruzione, perdita, modifica e divulgazione non autorizzata o di accesso, in modo accidentale o illegale, a dati personali trattati. 2. Tali misure devono prevedere la pseudonimizzazione e, se del caso, la cifratura delle informazioni commerciali, a tutela della non diretta intelligibilita' e/o riconducibilita' delle stesse a specifici interessati, con particolare riferimento alla loro conservazione, nei casi in cui i dati personali in questione siano relativi a condanne penali, a reati o a connesse misure di sicurezza o consistano in informazioni valutative di tipo negativo risultato delle elaborazioni svolte; la capacita' di assicurare costantemente l'integrita', la disponibilita' e la resilienza dei sistemi e dei servizi di trattamento, tenendo conto delle minacce potenzialmente derivanti sia da eventi naturali che da azioni dolose di terzi e garantendo alta affidabilita', Disaster Recovery e Business Continuity; adozione di procedure per testare e valutare regolarmente l'efficacia delle misure implementate al fine di garantire la sicurezza dei dati, verificando sia i singoli componenti che l'intero sistema (ivi inclusi gli elementi ridondanti, se presenti). 3. I fornitori adottano misure organizzative e tecniche adeguate a garantire il puntuale adempimento dell'obbligo di notifica al Garante, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne vengono a conoscenza, di eventuali violazioni di dati personali riguardanti le attivita' o i servizi di informazione commerciale, qualora ritengano probabile che dalle stesse possano derivare rischi per i diritti e le liberta' degli interessati. Inoltre, laddove tali rischi siano elevati, i fornitori dovranno dare notizia delle violazioni subite, senza ingiustificato ritardo, anche agli interessati coinvolti, secondo quanto disposto dall'art. 34 del regolamento. Per l'adempimento di tali obblighi, i fornitori si impegnano ad osservare le linee guida, le raccomandazioni e le best practices adottate dal Comitato europeo per la protezione dei dati o da altre autorita' di settore competenti, ferma restando la possibilita' di adottare propri standard e procedure, anche per il tramite di ANCIC. 4. Per la prestazione dei servizi di informazione commerciale, ogni fornitore puo' ricorrere ad eventuali responsabili del trattamento che presentino garanzie sufficienti ai sensi dell'art. 28 del regolamento, vincolandoli contrattualmente anche al rispetto degli obblighi di cui al presente codice di condotta, nei limiti in cui siano applicabili alle attivita' di trattamento svolte per conto del fornitore. 5. Ogni fornitore quale titolare, oltre a ciascun responsabile del trattamento da quest'ultimo eventualmente designato, deve individuare le persone fisiche autorizzate, ai sensi dell'art. 29 del regolamento o 2-quaterdecies del codice, all'accesso ed al trattamento dei dati personali per finalita' relative alla realizzazione e all'erogazione dei servizi di informazione commerciale, vincolandole ad adeguati obblighi di riservatezza ed impartendo loro idonee istruzioni conformemente al presente codice di condotta. 6. Per lo svolgimento delle attivita' o dei servizi di informazione commerciale di cui al presente codice di condotta, ogni fornitore che integri le condizioni di cui all'art. 37, lettera b) o c) del regolamento, provvedera' a designare un responsabile della protezione dei dati personali. 7. I fornitori si impegnano a svolgere una valutazione di impatto sulla protezione dei dati ai sensi dell'art. 35 del regolamento, prima di procedere ai trattamenti oggetto del presente codice di condotta, in relazione ai servizi di informazione commerciale che comportino un trattamento di dati personali ad elevato rischio per i diritti degli interessati, soprattutto in caso di utilizzo di nuove tecnologie. Tale valutazione d'impatto sulla protezione dei dati potra' riguardare anche piu' categorie di trattamenti simili tra di loro, anche comprensivi di diverse tecniche di analisi, profilazione ed elaborazione di informazioni valutative, fermo restando l'obbligo del fornitore di consultare il Garante, ai sensi dell'art. 36 del regolamento, nei casi in cui la suddetta valutazione d'impatto evidenzi come il trattamento in oggetto determini comunque un rischio elevato per i diritti e le liberta' delle persone fisiche coinvolte, in assenza di ulteriori misure aggiuntive adottate per attenuare ulteriormente il rischio.