IL GARANTE PER LA PROTEZIONE 
                         DEI DATI PERSONALI 
 
  Nella riunione odierna  alla  quale  hanno  preso  parte  il  prof.
Pasquale Stanzione, presidente, la prof.ssa Ginevra  Cerrina  Feroni,
vicepresidente, il dott. Agostino  Ghiglia  e  l'avv.  Guido  Scorza,
componenti, e il cons. Fabio Mattei, segretario generale; 
  Visto il regolamento (UE) n. 2016/679 del Parlamento europeo e  del
Consiglio del 27 aprile 2016, relativo alla protezione delle  persone
fisiche con riguardo al trattamento dei dati personali, nonche'  alla
libera circolazione di tali dati e che abroga la  direttiva  95/46/CE
(di seguito, «regolamento»); 
  Visto il decreto legislativo 30 giugno  2003,  n.  196  (Codice  in
materia di protezione dei dati personali,  di  seguito  il  «Codice»)
come novellato dal decreto legislativo 10 agosto 2018, n. 101 recante
«Disposizioni  per  l'adeguamento  della  normativa  nazionale   alle
disposizioni del regolamento (UE) 2016/679»; 
  Visto l'art. 40 del regolamento che prevede che le  associazioni  e
gli  altri  organismi  rappresentanti  le  categorie  di  titolari  o
responsabili  del  trattamento  possano   elaborare   (modificare   o
prorogare) codici di condotta destinati a contribuire  alla  corretta
applicazione del regolamento in specifici settori di attivita'  e  in
funzione delle particolari esigenze  delle  micro,  piccole  e  medie
imprese, e che tali codici devono essere approvati dall'autorita'  di
controllo competente; 
  Visto il considerando 98  del  regolamento  che  prevede  che  tali
codici possono calibrare gli obblighi del titolare e del responsabile
del trattamento, tenuto conto dei potenziali rischi  del  trattamento
per i diritti e le liberta' degli interessati; 
  Viste le «Linee  guida  1/2019  sui  codici  di  condotta  e  sugli
organismi di monitoraggio a  norma  del  regolamento  (UE)  2016/679»
adottate dal Comitato europeo per la protezione di dati  (di  seguito
«Comitato») il 4 giugno 2019, all'esito della consultazione pubblica; 
  Considerato in particolare che l'adesione ad un codice di  condotta
puo' essere utilizzata come elemento  di  responsabilizzazione  (c.d.
accountability), in quanto consente di dimostrare la conformita'  dei
trattamenti  di  dati,  posti  in  essere  dai   titolari   e/o   dai
responsabili  del  trattamento   che   vi   aderiscano,   ad   alcune
disposizioni o principi del regolamento, o  al  regolamento  nel  suo
insieme (cfr. cons. 77 e articoli 24, par. 3, e 28,  par.  5,  e  32,
par. 3 del regolamento); 
  Rilevato che  il  Garante  incoraggia  lo  sviluppo  di  codici  di
condotta per le micro, piccole e medie imprese al fine di  promuovere
un'attuazione effettiva del regolamento, aumentare  la  certezza  del
diritto per titolari e responsabili del trattamento e  rafforzare  la
fiducia degli interessati in ordine alla correttezza dei  trattamenti
di dati che li riguardano; 
  Rilevato,  in  questo  contesto,  che  l'obbligo  di  affidare   il
monitoraggio dei codici di condotta a un Odm accreditato non dovrebbe
costituire un ostacolo allo sviluppo di tali strumenti e che, quindi,
va riconosciuto un certo margine di flessibilita'  ai  promotori  dei
codici di condotta nell'applicazione dei requisiti di  accreditamento
fissati dal Garante al fine  di  definire  il  modello  di  Odm  piu'
adeguato a controllarne l'osservanza, fermo restando il  rispetto  di
quanto previsto dal regolamento, dalle Linee guida e  dai  pertinenti
pareri del Comitato; 
  Considerato che l'art. 41, par. 1,  del  regolamento  prevede  che,
fatti  salvi  i  compiti  e  i  poteri  dell'autorita'  di  controllo
competente, la verifica  dell'osservanza  delle  disposizioni  di  un
codice di  condotta,  ai  sensi  dell'art.  40  del  regolamento,  e'
effettuata da un Organismo di monitoraggio  (di  seguito,  «Odm»)  in
possesso dei requisiti fissati dall'art. 41, par. 2 del regolamento e
del necessario accreditamento rilasciato a tal  fine  dalla  medesima
autorita', con  la  sola  eccezione  del  trattamento  effettuato  da
autorita' pubbliche e da organismi  pubblici  per  il  quale  non  e'
necessaria l'istituzione di un Odm (art. 41, par. 6 del regolamento); 
  Considerato che il regolamento e le Linee guida del Comitato  sopra
citate, fissano un quadro organico di riferimento per la  definizione
dei   requisiti   che   l'Odm   deve    soddisfare    per    ottenere
l'accreditamento; 
  Rilevato altresi' che il Garante nella procedura di accreditamento,
volta a verificare che l'Odm soddisfi i predetti requisiti, tiene  in
considerazione le specificita'  dei  trattamenti  di  dati  personali
afferenti al/i settore/i a cui si applica il codice di condotta e, in
particolare, la natura e la dimensione del settore, la tipologia e il
numero (anche atteso) di soggetti  aderenti,  la  peculiarita'  e  la
complessita' delle operazioni  di  trattamento  oggetto  del  codice,
nonche' i rischi per gli interessati; 
  Considerato che l'art. 41, par. 3, del regolamento prevede  che  la
predetta autorita' di controllo presenta al Comitato  uno  schema  di
requisiti per l'accreditamento dell'Odm, ai sensi del  meccanismo  di
coerenza di cui all'art. 63 del regolamento; 
  Visto il  provvedimento  del  10  giugno  2020  n.  98-pubb.  nella
Gazzetta  Ufficiale  n.  173  dell'11  luglio   2020   (di   seguito,
«Provvedimento») con il quale il  Garante,  ai  sensi  dell'art.  57,
par.1, lettera p), del regolamento,  ha  approvato  i  requisiti  per
l'accreditamento dell'Odm, tenendo conto delle osservazioni rese  dal
Comitato nel parere adottato il 25 maggio 2020; 
  Considerato che l'art. 57,  par.  1,  lettera  q)  del  regolamento
prevede, in particolare, che ciascuna  autorita'  di  controllo,  sul
proprio territorio,  effettua  l'accreditamento  dell'Odm,  ai  sensi
dell'art. 41; 
  Rilevato che, ai sensi del combinato disposto di cui agli  art.  55
del regolamento e art. 2-bis del Codice, il Garante e' l'autorita' di
controllo  competente  a  definire  e  pubblicare  i  requisiti   per
l'accreditamento dell'Odm,  nonche'  ad  accreditare  lo  stesso  Odm
nell'esercizio del potere conferitole ai sensi dell'art. 57, par.  1,
lett.re p) e q), del regolamento; 
  Rilevato che, ai sensi dell'art. 55 del regolamento, il Garante  e'
l'autorita' di controllo competente ad approvare i codici di condotta
aventi validita' nazionale nell'esercizio del potere  conferitole  ai
sensi dell'art. 57, paragrafo 1, lettera m) del regolamento; 
  Visto il provvedimento del 12 settembre 2019 n. 163 con il quale il
Garante ha approvato il «Codice di condotta per i sistemi informativi
gestiti  da  soggetti  privati  in  tema  di  crediti   al   consumo,
affidabilita' e puntualita' nei pagamenti» (di  seguito,  «codice  di
condotta») presentato da  AISREC,  CTC  e  ASSILEA  (di  seguito,  «i
proponenti») in qualita' di soggetti maggiormente rappresentativi nel
settore,   subordinando   l'efficacia   del   codice   di    condotta
all'accreditamento dell'Odm ai sensi dell'art. 41 del regolamento, in
attesa della definizione dei requisiti per l'accreditamento ai  sensi
dell'art. 41, par. 3 del regolamento; 
  Visto che in data  20  luglio  2022,  all'esito  di  una  complessa
interlocuzione con gli  uffici,  i  proponenti  hanno  presentato  la
richiesta   formale   di   accreditamento   dell'Odm   allegando   la
documentazione utile idonea a comprovare il  possesso  dei  requisiti
richiesti e hanno  contestualmente  sottoposto  all'approvazione  del
Garante la versione definitiva del codice di condotta  contenente  le
modifiche  e   le   integrazioni   resesi   necessarie   in   ragione
dell'accreditamento dell'OdM; 
  Rilevato che dall'esame della richiesta di accreditamento  e  della
documentazione ad essa allegata, emerge che l'istituendo Odm rispetta
i requisiti previsti dall'art. 41,  par.  2  del  regolamento  e  dal
provvedimento, essendo stato comprovato, in particolare: un  adeguato
livello di competenza per lo svolgimento dei compiti di verifica  sul
rispetto del codice di condotta;  di  poter  assolvere  alle  proprie
funzioni con indipendenza e imparzialita'; di  aver  definito  misure
idonee a individuare e mitigare il rischio di eventuali conflitti  di
interesse; 
  Rilevato, altresi', all'esito dell'esame di questa  Autorita',  che
il codice di condotta presentato dai proponenti  nella  sua  versione
definitiva, offre, in misura sufficiente, garanzie adeguate a  tutela
degli interessati nel settore di riferimento, come previsto dall'art.
40, paragrafo 5, del regolamento; 
  Ritenuto pertanto, ai sensi dell'art. 57, par.1,  lettera  q),  del
regolamento, di accreditare l'Odm preposto  dai  soggetti  proponenti
alla verifica del rispetto del codice di condotta per  la  durata  di
cinque anni non rinnovabili; 
  Ritenuto, pertanto, di approvare la versione definitiva del  codice
di condotta che acquista la piena  efficacia  dal  giorno  successivo
alla sua pubblicazione  nella  Gazzetta  Ufficiale  della  Repubblica
italiana e sara' inserito nei registri di cui all'art. 40,  paragrafi
6 e 11 del regolamento; 
  Vista la documentazione in atti: 
  Viste le osservazioni formulate dal segretario  generale  ai  sensi
dell'art. 15 del regolamento del Garante n. 1/2000; 
  Relatore il prof. Pasquale Stanzione; 
 
                   tutto cio' premesso il Garante: 
 
  a) ai sensi dell'art. 57,  par.  1,  lettera  q),  del  regolamento
accredita l'Odm preposto dai proponenti alla  verifica  del  rispetto
del codice di condotta per la durata di cinque anni non rinnovabili; 
  b) ai sensi dell'art. 57,  par.  1,  lettera  m),  del  regolamento
approva il codice di  condotta  riportato  in  allegato  al  presente
provvedimento del quale forma parte integrante; 
  c)   invia   copia   della   presente   deliberazione   all'ufficio
pubblicazione leggi e decreti del Ministero della giustizia  ai  fini
della sua pubblicazione nella  Gazzetta  Ufficiale  della  Repubblica
italiana. 
 
                                  Il presidente e relatore: Stanzione 
 
Il segretario generale: Mattei