Premessa
La valutazione della solidità economico-finanziaria nonché della reputazione di una controparte commerciale è ormai di fondamentale importanza sia con riferimento ai processi di valutazione dei rischi aziendali sia riguardo all’opportunità di instaurare uno specifico rapporto contrattuale con un potenziale cliente. Esigenze di carattere valutativo e informativo sono altresì collegate all’adempimento di specifici obblighi normativi come a titolo di esempio quelli di segnalazione previsti in materia di antiriciclaggio e di prevenzione delle frodi.
Questa attività informativa viene normalmente esternalizzata ed espletata utilizzando le informazioni raccolte da soggetti specializzati nel “censimento” delle potenziali controparti (c.d. fornitori di servizi di informazione commerciale) che svolgono trattamenti di dati personali particolarmente impattanti sulla sfera giuridica del soggetto censito.
In tale ambito, si pone la necessità di tutelare gli interessati contro il rischio di soffrire importanti limitazioni nello svolgimento della propria attività economica, e, nei casi più gravi, delle ingiustificate discriminazioni in base alle informazioni reperite sul proprio conto. Ancor più se il giudizio sul soggetto interessato sia espresso sulla base di valutazioni affidate a processi automatizzati e meccanismi di profilazione.
A tal fine, è stato elaborato il Codice di condotta per il trattamento dei dati effettuato a fini di informazione commerciale (di seguito “Codice di condotta” o “Codice”), sottoscritto dall’Associazione Nazionale tra le Imprese di Informazioni Commerciali e di Gestione del Credito (di seguito “ANCIC”) e approvato dal Garante per la protezione dei dati personali con Provvedimento del 29 aprile 2021. Il nuovo Codice, in particolare, individua le garanzie e le modalità che i fornitori devono rispettare nel trattamento dei dati personali della clientela e, al contempo, rappresenta un utile strumento, a disposizione dei fornitori che volontariamente vi aderiscano, al fine di dimostrare in ottica di “accountability”, il rispetto degli obblighi previsti dalla normativa in materia di protezione dei dati personali in capo al Titolare del trattamento.
Di seguito si offre una breve disamina dei contenuti più salienti al fine di individuarne, senza alcuna pretesa di esaustività, gli impatti sull’attività di fornitori e committenti e i profili di maggior tutela nei confronti degli interessati (cioè i soggetti censiti in tali banche dati).
1. Panoramica: ambito di applicazione del Codice e le fonti utilizzabili per finalità di informazione commerciale
Dal punto di vista oggettivo, il Codice si applica alle “informazioni commerciali” ossia ai dati, anche valutativi, relativi ad aspetti patrimoniali, economici, finanziari, aziendali, industriali, organizzativi, produttivi, imprenditoriali e professionali di una persona fisica. Tali informazioni non possono includere, in ogni caso, i dati rientranti nelle categorie particolari di cui all’art. 9, par. 1, del GDPR (es. dati sullo stato di salute, idonei a rivelare l’origine razziale, l’orientamento sessuale ecc.) né i dati relativi a condanne penale e reati di cui all’art. 10 del GPDR (salvo provengano da fonti pubbliche o pubblicamente e generalmente accessibili e siano stati diffusi nei sei mesi precedenti alla data di ricezione della richiesta di servizio da parte del committente).
Tali dati, ai fini del Codice, assumono rilevanza nella misura in cui siano trattati allo scopo di fornire informazioni ai committenti per verifiche circa la situazione economica, finanziaria e patrimoniale degli interessati, nonché sulla loro solidità, solvibilità ed affidabilità (c.d. finalità di informazione commerciale), in relazione alle loro legittime esigenze (es. avvio di nuovi rapporti commerciali, definizione della propria politica di business, ecc.).
Dal punto di vista soggettivo, i dati personali raccolti e trattati dal fornitore a fini di informazione commerciale possono riguardare sia l’interessato, quale soggetto censito, sia le persone fisiche o altri soggetti allo stesso legati sul piano giuridico e/o economico. Detto legame esiste, ad esempio, nel caso in cui l’interessato partecipi ad un’impesa o ad una società tramite il possesso o controllo diretto o indiretto di una percentuale di quote o azioni oppure di diritti di voto pari o superiore a certe soglie (del 25% o del 10%, a seconda delle circostanze), ovvero eserciti, tramite la propria carica o qualifica, effettivi poteri di amministrazione, direzione, gestione o controllo di una impresa o società.
I dati utilizzabili ai fini di informazione commerciale possono essere forniti direttamente dal soggetto censito oppure raccolti dal fornitore presso le fonti consentite. Il Codice distingue, in particolare, tra
- fonti pubbliche, ossia pubblici registri, elenchi, atti o documenti conoscibili da tutti in base alla vigente normativa (es. il registro delle imprese);
- fonti pubblicamente e genericamente accessibili, quali testate giornalistiche, elenchi categorici e telefonici, siti internet liberamente accessibili appartenenti agli stessi soggetti censiti o ad altri soggetti loro connessi, ad enti pubblici, governativi, territoriali e locali, agenzie pubbliche, autorità di vigilanza e controllo.
Oltre che dalle suddette fonti, le informazioni commerciali potranno essere reperite presso altri soggetti autorizzati dalla legge alla distribuzione e fornitura di informazioni.
Il Codice prevede particolari cautele con riferimento alla consultazione e l’utilizzo delle fonti reperibili sul web, rispetto alle quali è di consueto più difficile verificare l’attendibilità e veridicità delle notizie ivi riportate. Basti pensare alla ripetitività dei contributi rinvenibili online, spesso frutto di mero “copia e incolla” da altre testate.
Al fine di garantire una maggior tutela dei soggetti censiti anche sotto questo profilo, il Codice consente l’uso di sole fonti regolarmente registrate e prevede la possibilità di utilizzare le informazioni ivi riportare solo se confermate da un numero minimo di 3 quotidiani o testate. Dal computo, peraltro, sono esclusi (i) le versioni cartacee delle testate già prese in considerazione nella versione online; (ii) gli articoli che rappresentino una mera ripubblicazione del medesimo testo sotto testate differenti.
Ulteriori limitazioni sono previste con riferimento alle informazioni provenienti da fonti pubbliche relative ad eventi negativi (es. fallimenti o procedure concorsuali). Si prevede che tali informazioni possano essere utilizzate solo se riguardano direttamente il soggetto censito, fatta salva la possibilità di associare a quest’ultimo e utilizzare ai fini valutativi anche le informazioni provenienti da fonti pubbliche che si riferiscono ad eventi negativi relativi ad imprese o società nelle quali lo stesso rivesta o abbia rivestito, nei 12 mesi precedenti il verificarsi dell’evento negativo, particolari cariche o qualifiche. Nell’ambito delle società di capitali, oltre ai soci con partecipazioni oltre certe soglie (ad esempio, del 25% o del 10% a seconda dei casi) e dei soggetti che rivestono un ruolo negli organi sociali (ad esempio, i membri dell’organo di amministrazione, con e senza deleghe, i sindaci, i revisori e gli organi delle procedure concorsuali, ecc.), vi rientrano anche i soggetti con qualifica di procuratori e direttori, qualora abbiano amministrato l’impresa o la società e detenuto partecipazioni societaria entro certe soglie.
Allo stesso tempo, è ammessa la possibilità di associare le informazioni relative a tali soggetti ove oggetto di “scoring” sia la società o impresa in cui essi abbiano rivestito o rivestano le medesime cariche o qualifiche.
2. Spunti critici sulla base giuridica del trattamento e sull’utilizzo di processi automatizzati
Il Codice prevede che il trattamento dei dati personali per finalità di informazione commerciale non richieda il consenso dell’interessato, rinvenendo la base giuridica del trattamento nel perseguimento dei legittimi interessi dei fornitori e dei committenti ex art. 6, par. 1, lett. f) del GDPR (es. alla prevenzione di frodi, alla sicurezza e affidabilità dei servizi forniti dai committenti, alla corretta esecuzione di rapporti commerciali, ecc.), nonché nell’interesse comune alla lealtà nelle transazioni commerciali e al buon funzionamento del mercato.
Secondo il dettato del Codice, il consenso non sarebbe necessario neppure nel caso il giudizio sulla solidità, solvibilità ed affidabilità del soggetto censito si basi anche su informazioni ottenute da processi statistici o modelli automatizzati, nonché in virtù di analisi e valutazioni effettuate mediante classificazioni predefinite ed eventualmente espresso in termini probabilistici o predittivi (ad es. tramite l’utilizzo di indicatori, codici, ecc.).
Tale trattamento, tuttavia, è legittimo esclusivamente nella misura in cui le informazioni basate su tali processi abbiano solo un ruolo meramente “servente e strumentale” ai fini della valutazione finale, che è comunque rimessa al committente alla luce di tutti i dati e le informazioni in proprio possesso, non solo di quelli ottenuti attraverso la profilazione.
Occorre, infatti, rammentare che il legittimo interesse del titolare sussiste ed è tutelabile nella misura in cui, in un’ottica di bilanciamento di interessi contrapposti, non ne derivi una compressione ingiustificata dei diritti dei soggetti censiti.
Ciò posto, al di là dei principi contenuti nel Codice, spetta ai committenti e ai fornitori assicurare che i meccanismi impiegati a scopo valutativo non si trasformino in uno strumento di ingiustificata discriminazione e limitazione della libera iniziativa degli interessati che operano sul mercato. Sebbene, infatti, l’adesione al Codice incrementi il senso di fiducia degli interessati nei confronti degli addetti ai lavori e sia considerata come utile strumento per dimostrare il rispetto della normativa in materia, non acquisisce comunque efficacia esimente rispetto agli obblighi posti dal GDPR.
I codici di condotta, infatti, come peraltro chiarito dalle Linee Guida n. 1/2019 adottate dal Comitato Europeo per la Protezione dei Dati, costituiscono degli utili strumenti di responsabilizzazione dei titolari e responsabili del trattamento e facilitano l’effettiva applicazione della normativa in materia di privacy. Detto risultato, tuttavia, non è un effetto automatico dell’adesione al Codice se quest’ultimo non viene applicato e interpretato alla luce dei principi espressi dal GDPR. Tra questi, più di tutti, il principio secondo cui l’interessato deve sempre avere il diritto di non subire una decisione che, in virtù di una valutazione dei propri aspetti personali basata su un trattamento automatizzato, senza alcun coinvolgimento umano, incida in maniera significativa sulla sua persona e sulla sua sfera giuridica ed economica.
Tali considerazioni valgono, peraltro, con riferimento ad ogni sistema di profilazione a causa del quale il soggetto censito possa subire delle decisioni “automatiche”, come nel caso in cui vengano impiegate pratiche di assunzione elettronica senza interventi umani, ovvero in caso di rifiuto automatico di una domanda di credito online sulla base dei sistemi di credit scoring (sul punto cfr. “Codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti”).
Il ricorso a tali meccanismi comporta, inoltre, l’obbligo di adottare misure specifiche al fine di garantire una maggiore trasparenza nei confronti degli interessati e la corretta analisi dei rischi correlati ai trattamenti svolti. In particolare, i fornitori dovranno indicare chiaramente nell’informativa privacy la possibilità che siano effettuati trattamenti automatizzati di dati che comportino la profilazione degli interessati nonché svolgere la valutazione di impatto ai sensi dell’art. 35 del GDPR prima di dare avvio al trattamento stesso.
3. Il monitoraggio sul rispetto del Codice
La vigilanza sul rispetto delle disposizioni del Codice è garantita dall’Organismo di Monitoraggio (“Odm”), accreditato dal Garante per un periodo di 5 anni, cui sarà affidata, inter alia, la gestione dei reclami eventualmente insorti tra fornitori e interessati, relativamente alle violazioni del Codice.
A conclusione del procedimento, in conseguenza dei controlli e delle decisioni adottate, l’Odm può applicare, fornendone adeguata motivazione in relazione alla gravità della violazione riscontrata, una o più tra le misure sanzionatorie appositamente previste dal Codice, quali (i) il richiamo formale indirizzato esclusivamente al fornitore; (ii) il richiamo da pubblicarsi in apposita sezione del sito ANCIC; (iii) la sospensione temporanea dell’adesione al Codice di condotta; (iv) la revoca dell’adesione al Codice di condotta.
Si precisa che, in ogni caso, salvo il diritto di intraprendere le opportune iniziative giudiziarie, rimane fermo il diritto di presentare reclamo al Garante per la protezione dei dati personali contro le violazioni perpetrate dai fornitori. Il Garante, infatti, conserva pieni poteri sulla verifica circa il rispetto della normativa privacy anche da parte dei soggetti che aderiscono al Codice, salvo non ritenga sufficienti le sanzioni irrogate dall’Odm che, in ogni caso, gli dovranno essere comunicate in ottemperanza all’art. 41 del GDPR.