Decreto legislativo - 10/08/2018 - n. 101 art. 20 - Codici di deontologia e di buona condotta vigenti alla data di entrata in vigore del presente decretoCodici di deontologia e di buona condotta vigenti alla data di entrata in vigore del presente decreto
1. Le disposizioni del codice di deontologia e di buona condotta di cui agli allegati A.5 e A.7 del codice in materia di protezione dei dati personali, di cui al decreto legislativo n. 196 del 2003, continuano a produrre effetti, sino alla definizione della procedura di approvazione cui alla lettera b), a condizione che si verifichino congiuntamente le seguenti condizioni: a) entro sei mesi dalla data di entrata in vigore del presente decreto le associazioni e gli altri organismi rappresentanti le categorie interessate sottopongano all'approvazione del Garante per la protezione dei dati personali, a norma dell'articolo 40 del Regolamento (UE) 2016/679, i codici di condotta elaborati a norma del paragrafo 2 del predetto articolo; b) la procedura di approvazione si concluda entro sei mesi dalla sottoposizione del codice di condotta all'esame del Garante per la protezione dei dati personali. 2. Il mancato rispetto di uno dei termini di cui al comma 1, lettere a) e b) comporta la cessazione di efficacia delle disposizioni del codice di deontologia di cui al primo periodo a decorrere dalla scadenza del termine violato. 3. Le disposizioni contenute nei codici riportati negli allegati A.1, A.2, A.3, A.4 e A.6 del codice in materia di protezione dei dati personali, di cui al decreto legislativo n. 196 del 2003, continuano a produrre effetti fino alla pubblicazione delle disposizioni ai sensi del comma 4. 4. Entro novanta giorni dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali verifica la conformità al Regolamento (UE) 2016/679 delle disposizioni di cui al comma 3. Le disposizioni ritenute compatibili, ridenominate regole deontologiche, sono pubblicate nella Gazzetta Ufficiale della Repubblica italiana e, con decreto del Ministro della giustizia, sono successivamente riportate nell'allegato A del codice in materia di protezione dei dati personali, di cui al decreto legislativo n. 196 del 2003 (A). 5. Il Garante per la protezione dei dati personali promuove la revisione delle disposizioni dei codici di cui al comma 3 con le modalità di cui all'articolo 2-quater del codice in materia di protezione dei dati personali, di cui al decreto legislativo n. 196 del 2003. _____________ (A) In riferimento alle regole deontologiche relative al trattamento di dati personali nell'esercizio dell'attività giornalistica, di cui al presente comma, vedi: Parere Autorità Garante per la Protezione dei dati personali 29 novembre 2018, n. 9067692. In riferimento alle regole deontologiche per trattamenti a fini statistici o di ricerca scientifica effettuati nell'ambito del Sistema Statistico nazionale, di cui al presente comma, vedi: Parere Autorità Garante per la Protezione dei dati personali 19 dicembre 2018, n. 9069677. In riferimento alle regole deontologiche per trattamenti a fini statistici o di ricerca scientifica, di cui al presente comma, vedi: Parere Autorità Garante per la Protezione dei dati personali 19 dicembre 2018, n. 9069637. In relazione alla richiesta di disporre la limitazione del trattamento dei dati raccolti in occasione dello svolgimento dell'attività investigativa da parte della società vedi: Parere Autorita Garante per la Protezione dei dati personali 31/01/2019 n. 9086480. InquadramentoL'art. 20 del Decreto di adeguamento prevedeva che le disposizioni contenute nei vecchi Codici di deontologia e buona condotta, adottati in applicazione dell'ormai abrogato art. 12 e riportati negli allegati A.1, A.2, A.3, A.4 e A.6 del Codice Privacy, continuassero a produrre effetti fino alla pubblicazione delle disposizioni ritenute compatibili dal Garante, nei limiti di quanto compatibile con la normativa europea (Regolamento in primis). Era previsto inoltre che il Garante per la protezione dei dati personali dovesse comunque verificare la conformità al Regolamento delle disposizioni contenute nei vecchi Codici deontologici entro novanta giorni dalla data di entrata in vigore del Decreto. Le disposizioni ritenute compatibili, ridenominate Regole Deontologiche (quindi rientranti nella stessa famiglia di Regole Deontologiche ex art. 2-quater), sarebbero state pubblicate nella Gazzetta Ufficiale della Repubblica italiana e, con decreto del Ministro della giustizia, sono successivamente riportate nell'allegato A del Codice Privacy. A ulteriore conferma della trasformazione delle disposizioni dei vecchi Codici deontologici, in quanto compatibili, in Regole Deontologiche ex art. 2-quater del Codice, si segnala che il Garante deve promuovere la revisione delle disposizioni in questione proprio con le modalità di cui al medesimo art. 2-quater. Il Garante ha quindi provveduto a ripubblicare i vecchi codici, emendati dalle disposizioni incompatibili, con i seguenti provvedimenti: a) Regole deontologiche relative al trattamento di dati personali nell'esercizio dell'attività giornalistica pubblicate ai sensi dell'art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101 - 29 novembre 2018 [doc web 9067692] b) Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica pubblicate ai sensi dell'art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101 - 19 dicembre 2018 [doc web 9069637] c) Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica effettuati nell'ambito del Sistema Statistico nazionale pubblicate ai sensi dell'art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101 - 19 dicembre 2018 [doc web 9069677] d) Regole deontologiche relative ai trattamenti di dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria pubblicate ai sensi dell'art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101 - 19 dicembre 2018 [doc web 9069653] Tali provvedimenti, in fase di prima applicazione dell'art. 20 d.lgs. n. 101/2018, sono stati pubblicati senza necessità di consultazione pubblica (richiesta invece per le regole deontologiche “a regime” o per le modifiche di queste regole deontologiche che dovessero essere approvate successivamente). Inoltre, sino all'adozione delle Regole Deontologiche e delle misure di garanzia di cui agli artt. 2-quater e 2-septies del Codice, producono effetti, per la corrispondente categoria di dati e di trattamenti, le Autorizzazioni generali e le pertinenti prescrizioni individuate dal Garante con il suo provvedimento di carattere generale, recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell'art. 21, comma 1 del d.lgs. n. 101/2018, del 5 giugno 2019. [doc. web n. 9124510] ove sono state individuate le prescrizioni contenute nelle autorizzazioni generali già adottate, relative alle situazioni di trattamento di cui agli artt. 6, par. 1, lett. c) ed e), 9, par. 2, lett. b) e 4, nonché al Capo IX, del Regolamento, che risultano compatibili con le disposizioni comunitarie. In particolare, tale provvedimento all'Allegato 1 individua le seguenti prescrizioni: a) prescrizioni relative al trattamento di categorie particolari di dati nei rapporti di lavoro (aut. gen. n. 1/2016); b) prescrizioni relative al trattamento di categorie particolari di dati da parte degli organismi di tipo associativo, delle fondazioni, delle chiese e associazioni o comunità religiose (aut. gen. n. 3/2016); c) prescrizioni relative al trattamento di categorie particolari di dati da parte degli investigatori privati (aut. gen. n. 6/2016); d) prescrizioni relative al trattamento dei dati genetici (aut. gen. n. 8/2016); e) prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica (aut. gen. n. 9/2016). Si rammenta, infine, che sono soggette alla sanzione amministrativa di cui all'art. 83, par. 5, GDPR - fino a 20.000.000 di euro, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore – le violazioni delle disposizioni di cui alle Regole Deontologiche adottate ex art. 2-quater del Codice, a norma del nuovo art. 166 comma 3 del medesimo (Bolognini, Pelino, Codice privacy). I nuovi Codici di condotta su informazioni commerciali e sistemi di informazione creditizia (SIC)A differenza degli altri Codici di deontologia e buona condotta che componevano gli Allegati A del Codice, a norma dell'abrogato art. 12, e che saranno trasformati in Regole Deontologiche ex art. 2-quater, due Codici dovranno invece essere trasformati in veri e propri Codici di condotta a norma degli artt. 40 e 41 del Regolamento. Si tratta del Codice relativo ai trattamenti in materia di informazioni commerciali (cd. business information, ex Allegato A.7 del Codice), da un lato, e del Codice in materia di sistemi di informazione creditizia (SIC, centrali rischi private, ex Allegato A.5), dall'altro. In particolare, con deliberazione del 12 giugno 2019, il Garante per la protezione dei dati personali ha approvato il Codice di condotta per il trattamento dei dati personali in materia di informazioni commerciali [doc web 9119868] il cui progetto era stato presentato da ANCIC (l'Associazione nazionale tra le imprese di informazioni commerciali e di gestione del credito). Le disposizioni del Codice ex A.7 si applicano alle sole informazioni commerciali riferite a persone fisiche (rientranti nel concetto di interessato di cui all'art. 4 del Regolamento) ed, in particolare, al trattamento dei dati personali provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque o pubblicamente accessibili da chiunque (c.d. fonti pubbliche), nonché al trattamento avente ad oggetto i dati personali forniti direttamente dagli interessati, effettuato dai soggetti che prestano a terzi servizi, per finalità di informazione commerciale, nel rispetto dei limiti e delle modalità che le normative vigenti stabiliscono per la conoscibilità, utilizzabilità e pubblicità di tali dati. Tali trattamenti includono anche quelli che presuppongono l'elaborazione di informazioni commerciali, da parte dei fornitori, mediante processi statistici o modelli automatizzati, oppure tramite analisi e valutazioni effettuate da esperti, anche sulla base di classificazioni predefinite, allo scopo di formulare un giudizio sulla solidità, solvibilità ed affidabilità del soggetto censito, eventualmente espresso in termini predittivi, probabilistici o in forma di indicatori alfanumerici, codici o simboli, svolti in esecuzione di quanto previsto dal Testo Unico delle Leggi di Pubblica Sicurezza (“T.U.L.P.S.”). È escluso dall'ambito di applicazione del Codice ex A.7 il trattamento avente ad oggetto i dati personali raccolti presso soggetti privati diversi dall'interessato. Con Provvedimento del 12 settembre 2019 Il Garante ha successivamente approvato anche il Codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di credito al consumo, affidabilità e puntualità nei pagamenti [doc web n. 9141941], presentato dalle associazioni AISREC, CTC e ASSILEA. Le disposizioni del Codice ex A.5 si applicano al trattamento di dati personali effettuato nell'ambito di sistemi informativi di cui sono titolari soggetti privati, utilizzati a fini di credito al consumo o comunque riguardanti l'affidabilità e la puntualità dei pagamenti. In particolare, il soggetto privato titolare del trattamento dei dati personali raccolti in relazione a richieste/rapporti di credito, che in virtù di contratto o accordo con il gestore partecipa al relativo sistema di informazioni creditizie e può utilizzare i dati presenti nel sistema, obbligandosi a comunicare al gestore i predetti dati personali relativi a richieste/rapporti di credito in modo sistematico, in un quadro di reciprocità nello scambio di dati con gli altri partecipanti. Fatta eccezione di soggetti che esercitano attività di recupero crediti, il partecipante può essere: 1) una banca; 2) un intermediario finanziario; 3) un altro soggetto privato che, nell'esercizio di un'attività commerciale o professionale, concede una dilazione di pagamento del corrispettivo per la fornitura di beni o servizi. Il trattamento dei dati personali contenuti in un sistema di informazioni creditizie è effettuato dal gestore e dai partecipanti esclusivamente per finalità correlate alla tutela del credito e al contenimento dei relativi rischi e, in particolare, per valutare la situazione finanziaria e il merito creditizio degli interessati o, comunque, la loro affidabilità e puntualità nei pagamenti. Non può essere perseguito alcun altro scopo, specie se relativo a ricerche di mercato e promozione, pubblicità o vendita diretta di prodotti o servizi. La principale differenza tra i nuovi Codici di condotta ex artt. 40-41 del Regolamento (in cui sono stati trasformati gli ex Allegati A.5 e A.7 del Codice) e le nuove Regole Deontologiche ex art. 2-quater del Codice (nelle quali sono stati trasformati gli altri Allegati A.1-2-3-4-6 del Codice) sta nel fatto che le Regole Deontologiche continuano a contenere norme la cui osservanza costituirà condizione essenziale di liceità del trattamento di dati personali, mentre il rispetto dei Codici di condotta exartt. 40-41 GDPR non comporta tale condizionamento di liceità, fatta eccezione per quanto riguarda i casi di legittimo interesse individuati in essi ex art. 40.2.b) GDPR. BibliografiaBolognini, Pelino, Bistolfi, Il regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Milano, 2016; Bolognini, Pelino, Codice privacy: tutte le novità del D.lgs. n. 101/2018, Milano, 2018. |
