A partire dal 20 settembre 2019, il Codice di deontologia e di buona condotta per i sistemi informativi dovrebbe cessare di efficacia, ai sensi del d.lgs. n. 101/2018, ed essere sostituito dal Codice deontologico sulle informazioni commerciali.
Il nuovo testo, appena approvato dal Garante per la protezione dei dati personali, è caratterizzato da una forte valorizzazione dell’accountability, principio fondante della nuova legislazione europea in materia di privacy. Per rispettare tale principio, ogni gestore del servizio dovrà adottare misure tecniche, informatiche, procedurali, fisiche e organizzative volte a prevenire o minimizzare i rischi di distruzione, perdita, modifica, divulgazione non autorizzata o di accesso ai dati personali. Il gestore dovrà, di conseguenza, rispettare non solo la normativa italiana ed europea ma anche linee guida, raccomandazioni e best practices adottate dall’European Data Protection Board (EDPB) e dal Garante italiano.
Il Codice consente inoltre alle società che offrono informazioni sull’affidabilità commerciale di trattare i dati personali dei soggetti censiti senza richiederne il consenso, utilizzando quale base giuridica il legittimo interesse. A tutela degli interessati è stato invece rafforzato l’obbligo informativo sui trattamenti effettuati nonché la garanzia di un esercizio pieno ed effettivo dei diritti previsti dalla normativa privacy.
Viene infine istituito un Organismo di monitoraggio (Odm) indipendente, esterno all’Ancic e formato prevalentemente da esperti segnalati dalle associazione degli interessati, con il compito di verificare l’osservanza del codice di condotta da parte degli aderenti e gestire la risoluzione dei reclami provenienti dagli interessati.
Il Garante, pur approvando il Codice nel complesso, ne ha subordinato l’efficacia al completamento della fase di accreditamento dell’Organismo di monitoraggio, come previsto dall’art. 41 del GDPR.
Occorre tuttavia evidenziare che al momento non è possibile portare a termine la procedura in quanto l’EDPB non ha ancora definito criteri uniformi a livello europeo per l’accreditamento. È quindi ragionevole ritenere che la ritardata emanazione delle citate linee guida dilaterà, di conseguenza, le tempistiche di effettiva entrata in vigore del Codice rispetto alla scadenza del previgente Codice deontologico.
In ogni caso, il Garante ha precisato che la corretta applicazione del nuovo Codice potrà essere considerata fin da ora, in caso di accertamento, indice della corretta applicazione al trattamento in esame della vigente normativa in materia di protezione dei dati personali.