|
CODICE EUROPEO DI CONDOTTA E DI AUTODISCIPLINA Introduzione FEDMA rappresenta il settore del direct marketing a livello europeo. I suoi soci nazionali sono le Associazioni per il Direct Marketing (ADM) di 12 paesi dell’Unione Europea (tutti tranne Belgio, Lussemburgo e Danimarca) e di Svizzera, Norvegia, Ungheria, Polonia e Repubbliche Ceca e Slovacca, che rappresentano utenti, service provider e media/carrier del direct marketing. FEDMA conta inoltre circa 350 aziende socie. FEDMA rappresenta direttamente, o indirettamente attraverso le associazioni di categoria, un totale di circa 10.000 operatori europei del Direct Marketing ed è pertanto nella posizione ideale per redigere un codice di condotta per la protezione dei dati personali destinato agli operatori, facendo seguito alle discussioni con il Gruppo per l’Articolo 29. Questo strumento essenziale costituisce un’interpretazione della Direttiva Europea sulla Protezione dei Dati Personali in termini tali da essere compresa dagli operatori del Direct Marketing; alcuni punti della Direttiva in cui la pratica va già oltre il livello fissato dalla Direttiva stessa — o in cui FEDMA consiglia tale condotta — incorporano standard procedurali più elevati. Tutti i soci nazionali di FEDMA, ovvero le associazioni di categoria, si sono impegnati a far sì che i codici nazionali mantengano in ogni senso livelli di protezione degli interessati al trattamento dei dati almeno pari a quelli previsti dal Codice FEDMA, fermo restando che — se imposto o consentito da leggi o regolamenti nazionali — i rispettivi codici nazionali possono prevedere standard anche più elevati. Il presente Codice è studiato essenzialmente come strumento di "best practice" da impiegare come documento di riferimento nel quadro delle vigenti leggi. I soci diretti di FEDMA agiranno in conformità agli standard specificati nel Codice FEDMA, sempre fatto salvo il loro obbligo di rispettare le vigenti leggi o le norme nazionali di autodisciplina. Il presente Codice non intende limitare o sostituire l’applicabilità delle leggi e delle norme nazionali. FEDMA auspica, e diffonderà attivamente questa visione, che il Codice FEDMA sia inoltre considerato da tutti gli operatori europei del Direct Marketing — anche non soci — come uno standard o un’usanza generale per l’Industria nel suo insieme. FEDMA riconosce inoltre che il presente Codice di condotta è solo il primo passo verso il costante sviluppo di una "best practice" efficace nel campo della protezione dei dati. Nell’emanare successive edizioni del Codice sempre più sofisticate, che riflettano le migliori e crescenti aspirazioni degli operatori responsabili, la condotta dell’Industria in generale sarà elevata a livelli sempre corrispondenti alle legittime e crescenti aspettative dei clienti. È inoltre opportuno ricordare che la legislazione sulla protezione dei dati riguarda il trattamento dei dati personali effettuato con qualsiasi mezzo. Si ricorda che i diversi mezzi di comunicazione utilizzati dal direct marketing sono stati oggetto di varie norme. Le Direttive 97/66/EC (Telecomunicazioni e Privacy) e 97/7/EC (Vendite a distanza) prevedono il consenso dell’Interessato prima dell’invio di una comunicazione commerciale per fax o dispositivo di chiamata automatica. La Direttiva 2002/58/EC (Privacy e Comunicazione elettronica) prevede inoltre il consenso dell’interessato per utilizzare mezzi di comunicazione elettronica (es. e-mail) rivolti a consumatori che non hanno mai avuto precedenti rapporti con il responsabile del trattamento dei dati. Il presente Codice deve essere considerato unitamente agli altri codici di condotta esistenti e futuri di FEDMA, compresi i principi europei per l’uso del telefono da parte delle aziende come strumento di marketing e il Codice di Condotta per il Commercio Elettronico rivolto alle Aziende europee. Il presente Codice deve inoltre essere applicato nel rispetto dei principi delle Global Conventions on Mailing and Telephone Preference Services e del Global E-mail Preference Service1. Il presente Codice sarà applicato all’uso dei dati personali da parte degli operatori del Direct Marketing nell’UE e nei paesi terzi2 dotati di leggi nazionali sulla protezione dei dati in linea con la Direttiva europea. Tutte le disposizioni contenute nel presente Codice saranno applicate fatte salve le disposizioni della vigente legislazione nazionale. Gli specifici requisiti a livello nazionale, ove esistenti, dovranno essere presi in considerazione ai sensi delle norme legali contenute nel presente Codice e in conformità alla legislazione europea.
Definizioni DIRECT MARKETING DATI PERSONALI Nota: Dati Personali significa le informazioni relative a un soggetto, conservate in una forma che permetta l’identificazione di tale soggetto, e possono essere limitati a un cognome. Alcune informazioni non contenenti un cognome sono considerate Dati Personali e pertanto rientrano nel presente codice. È il caso, ad esempio, di un indirizzo postale, un numero telefonico, un numero di fax o un indirizzo e-mail, ovvero di una qualifica professionale qualora il soggetto a cui questi dati si riferiscono sia ragionevolmente identificabile dal Responsabile del Trattamento dei Dati. DATI SENSIBILI • Origine razziale o etnica; OPERATORE DEL DIRECT MARKETING INTERESSATO AL TRATTAMENTO DEI DATI COORDINATORE DELLA PROTEZIONE DEI DATI RESPONSABILE DEL TRATTAMENTO DEI DATI Nota: Il Responsabile del trattamento dei dati non deve essere confuso con il proprietario dei dati. Ad esempio, un’organizzazione può essere proprietaria di un database (perché la persona fisica o giuridica è in possesso dei diritti materiali di utilizzo del database) e allo stesso tempo Responsabile del Trattamento dei dati. TITOLARE DEL TRATTAMENTO DEI DATI TERZO Nota: Un Responsabile del trattamento dei dati può nominare la società A proprio Titolare del trattamento dei dati. Il Titolare del trattamento dei dati può trattare i dati esclusivamente in base alle istruzioni del Responsabile del trattamento dei dati. Tuttavia, qualora il Responsabile del trattamento dei dati decida di affittare una data lista alla società B, tale società sarà un Terzo. TRATTAMENTO Nota: Il termine copre ciascun elemento della catena di operazioni che un’organizzazione può svolgere sui Dati Personali, dalla prima raccolta alla distruzione, e compresa ogni altra operazione intermedia, come rettifica, manutenzione, memorizzazione e divulgazione. Il presente Codice riguarda solo il trattamento a scopo di attività di Direct Marketing. Gli operatori di marketing dovranno inoltre verificare che altri tipi di trattamento svolti dagli stessi siano conformi alle vigenti norme sulla protezione dei dati. DIVULGAZIONE MINORI GENITORE 1 Legge applicabile 1.1 Operatori del Direct Marketing con sede nel territorio dell’UE/EEA Al fine di scoprire a quale legge nazionale è soggetto, un operatore del Direct Marketing che abbia la propria sede nel territorio dell’UE/EEA dovrà attenersi alle regole seguenti: 1.1.1 Se l’operatore del Direct Marketing ha solo una sede nell’UE/EEA e pertanto un unico Responsabile del trattamento dei dati, la legge applicabile è quella del paese in cui si trova la sede del Responsabile del trattamento dei dati, ai sensi delle disposizioni contenute nel punto 1.1.4. 1.1.2 Se l’organizzazione ha più sedi situate in diversi stati membri dell’UE/EEA e se una e solo una di queste sedi deve essere considerata Responsabile del trattamento dei dati, mentre le altre sono solo titolari del trattamento, ogni titolare del trattamento è soggetto alla legge nazionale del Responsabile del trattamento dei dati, salvo per quanto riguarda le misure di sicurezza, per le quali il titolare del trattamento è soggetto alla legge del suo paese. 1.1.3 Se l’operatore del Direct Marketing ha più sedi situate in diversi stati membri dell’UE/EEA operanti in qualità di Responsabili del trattamento dei dati, ciascuna sede è soggetto alle leggi nazionali del paese in cui si trova. 1.1.4 Qualora l’operatore del Direct Marketing operante in qualità di Responsabile del trattamento dei dati utilizzi per il trattamento un agente con sede in un diverso stato membro dell’UE/EEA, l’agente per il trattamento deve rispettare la legge a cui è soggetto il Responsabile del trattamento dei dati con sede nell’UE, salvo per quanto riguarda le disposizioni in materia di sicurezza, per le quali vige la legge del paese in cui si trova la sede del Titolare del trattamento dei dati. 1.1.5 Il fatto che i dati appartengano a persone giuridiche di uno o più paesi dell’UE/EEA o di paesi al di fuori dell’UE/EEA non è determinante ai fini dell’identificazione della legge applicabile. Le diverse situazioni possibili sono riassunte per maggiore praticità nella seguente tabella:
1.2 Responsabile del trattamento dei dati senza sedi nel territorio dell’UE/EEA Un Responsabile del trattamento dei dati senza sedi nell’UE/EEA sarà soggetto alla legge nazionale di uno degli Stati Membri dell’UE/EEA ove, ai fini del trattamento, utilizzi apparecchiature situate in uno di tali Stati Membri (ad esempio, un call centre per raccogliere i Dati Personali, un ufficio per trattare i Dati Personali per proprio conto, un list broker per aggiornare le liste ecc.). In questo caso: 1.2.1 Il Responsabile del trattamento dei dati dovrà designare un rappresentante (persona fisica o giuridica) con sede nello Stato Membro in cui ha luogo il trattamento. Il rappresentante sarà responsabile nei confronti delle autorità nazionali competenti di garantire il rispetto della vigente legge nazionale da parte del Responsabile del trattamento dei dati. (Questo non significa che le autorità non possano intentare azioni legali contro il responsabile stesso.) 1.2.2 La legge applicabile è quella del paese in cui il rappresentante ha la propria sede. 1.2.3 Le disposizioni dell’articolo 1.2. non saranno valide qualora l’apparecchiatura sia utilizzata esclusivamente a scopo di transito nell’UE/EEA (ad esempio, qualora il Responsabile del trattamento dei dati abbia la propria sede in Canada e i dati siano raccolti in paesi al di fuori del territorio dell’UE/EEA, quindi inviati in Canada attraverso una società inglese di telecomunicazione). 2 Raccolta dei Dati Personali 2.1 Raccolta diretta dall'Interessato Nel raccogliere i dati, il Responsabile del trattamento dei dati dovrà garantire che la raccolta avvenga in maniera equa e che il diritto all’informazione dell'Interessato, come specificato nel presente codice, sia assicurato. Principi generali per un equo trattamento • Informazioni essenziali Il Responsabile del trattamento dei dati dovrà garantire che l’Interessato sia informato in merito: - all’identità del Responsabile del trattamento dei dati (es. nome e indirizzo); - allo scopo del trattamento (es. transazione o promozione) Le informazioni essenziali devono essere impartite al momento della raccolta, a meno che non risultino del tutto chiare dal contesto (ad esempio, relativamente all’identità del responsabile del trattamento e allo scopo, qualora la denominazione della società compaia chiaramente nella promozione), ovvero l’Interessato non disponga già di tali informazioni (ad esempio se l'Interessato ha un contratto in essere con la società). • Informazioni sul diritto di accesso e correzione dei dati e di opposizione Il Responsabile del trattamento dei dati dovrà garantire che l’Interessato sia informato in merito: - al proprio diritto di accedere ai dati a lui/lei relativi e di correggerli; - al proprio diritto di non essere contattato a scopo di Direct Marketing - al proprio diritto di opporsi al trattamento dei propri Dati Personali a scopo di Direct Marketing Come affrontare le situazioni specifiche • Informazioni in caso di dati utilizzati per le attività di Direct Marketing del responsabile del trattamento Nel caso in cui i dati siano destinati a un uso da parte del responsabile del trattamento per i propri scopi di Direct Marketing, il Responsabile del trattamento dei dati dovrà garantire che l’Interessato disponga delle informazioni essenziali e sia a conoscenza del proprio diritto di opporsi a tale uso. Il Responsabile del trattamento dei dati dovrà fornire le informazioni al momento della raccolta e fare del proprio meglio per raggiungere questo scopo. Qualora, tuttavia, questo risulti difficile o impossibile (ad esempio in caso di spazio ridotto nell’inserzione o di telemarketing), e se consentito dalla legge nazionale, questa informazione potrà essere impartita il più presto possibile dopo la raccolta, ad esempio quando l’Interessato riceverà la prima documentazione (fattura, ricevuta ecc.) in forma scritta o durevole. • Informazioni in caso di divulgazione Oltre alle informazioni essenziali, se i dati sono destinati a una comunicazione a Terzi, il Responsabile del trattamento dei dati dovrà garantire che l’Interessato sia informato in merito: - a eventuali destinatari o tipi di destinatari dei dati e allo scopo della divulgazione dei dati; - al proprio diritto di opporsi alla divulgazione a scopo di Direct Marketing. Questa informazione dovrà essere impartita al momento della raccolta, facendo del proprio meglio per raggiungere questo scopo. Qualora, tuttavia, questo risulti difficile o impossibile (ovvero in caso di spazio ridotto nell’inserzione o di telemarketing), e sia consentito dalla legge nazionale, questa informazione potrà essere impartita prima che tale comunicazione a terzi abbia luogo. Questa informazione non dovrà essere necessariamente fornita qualora sia già stata fornita attraverso gli opportuni meccanismi (es. avviso collettivo generalmente accessibile e sufficientemente mirato a un pubblico specifico). Tali meccanismi devono essere ammessi dalla legislazione nazionale e utilizzati ai sensi dei requisiti legali contenuti nella vigente legislazione nazionale. • Informazioni in caso di utilizzo di questionari e altri moduli Oltre a queste informazioni essenziali, il Responsabile del trattamento dei dati dovrà garantire che l’Interessato sappia se le risposte alle domande sono obbligatorie o volontarie e sia a conoscenza delle possibili conseguenze di una mancata risposta (ad esempio, tra le altre cose, mancato ricevimento di un omaggio in caso di raccolta dati mediante questionario). Il Responsabile del trattamento dei dati dovrà inoltre evitare di porre domande non indispensabili. Nel caso dei questionari, le informazioni dovranno essere fornite al momento della raccolta. 2.2 Raccolta da fonti diverse dall’Interessato 2.2.1 Qualora il Responsabile del trattamento dei dati non raccolga i Dati Personali direttamente dall’Interessato, è suo dovere adottare ogni provvedimento necessario per garantire che l’Interessato disponga comunque delle informazioni che avrebbe ricevuto se avesse avuto un contatto diretto con il Responsabile del trattamento dei dati. Ad esempio, le liste in affitto, le campagne "porta un amico" o i dati raccolti dai questionari, in particolare, devono essere conformi ai principi di legittimità definiti nell’Articolo 2.1. 2.2.2 Il Responsabile del trattamento dei dati dovrà fornire le informazioni di cui all’Articolo 2.1: • al momento in cui viene effettuata la registrazione (o il trattamento) dei dati, ovvero • ove sia prevista la divulgazione a Terzi, non oltre il momento della divulgazione, purché tale divulgazione avvenga non appena i dati sono stati registrati (trattati). 2.2.3 Ove i dati utilizzati siano stati inizialmente raccolti nel rispetto delle norme sulla protezione dei dati, in deroga ai principi di cui all'Articolo 2.2.1, il requisito di cui sopra non sarà applicato in determinate circostanze eccezionali in cui la fornitura di tali informazioni comporti uno sforzo sproporzionato o in cui si forniscano opportune tutele supplementari, come previsto dalla legge nazionale. In particolare, in circostanze che comportino un dispendio sproporzionato di tempo o denaro. Ad esempio, quando i dati sono ottenuti da terzi e devono essere utilizzati dopo un breve periodo di tempo, comporterebbe uno sforzo sproporzionato informare direttamente l’Interessato, quando potrebbe attendere fino al verificarsi del primo contatto. 2.2.4 Questi fattori dovranno essere sempre rapportati alle conseguenze per l’Interessato risultanti dall’applicazione della deroga. Alcuni esempi di circostanze in cui la deroga in caso di sforzo sproporzionato può essere applicabile, tutto il resto rimanendo invariato, riguardano: • Dati Personali conservati a scopo di blocco o verifica dell’indirizzo; • il caso in cui i Dati Personali siano soppressi mediante applicazione di una Robinson List o di un Preference Service File; • il caso in cui un operatore rimuova o sopprima i Dati Personali dei soggetti contenuti nella lista di marketing che non corrispondono al profilo richiesto. 2.2.5 Il Responsabile del trattamento dei dati, avendo rilevato i fattori d’interesse e deciso di applicare la deroga, dovrà provvedere a redigere una dichiarazione scritta (che specifichi il ragionamento alla base della decisione, il tipo d’informazioni che il Responsabile del trattamento dei dati avrebbe dovuto fornire e il motivo per cui l’Interessato non subirà alcun danno dall’applicazione della deroga), da tenere a disposizione in seguito per giustificare tale decisione. 2.3 Raccolta di Dati Sensibili In considerazione della particolare importanza dei Dati Sensibili con riferimento ai diritti fondamentali alla riservatezza dell’Interessato, occorre usare particolare cautela nel trattamento di tali dati. Se i Dati Personali raccolti comprendono Dati Sensibili, il Responsabile del trattamento dei dati dovrà richiedere il consenso esplicito dell’Interessato per la raccolta e il successivo trattamento dei Dati Personali. Consenso esplicito significa un consenso informato e liberamente concesso, in maniera tale che non sussistano dubbi in merito all’intenzione dell’Interessato, che dovrà agire al fine di rendere chiaro il suo consenso. Il consenso esplicito non deve avvenire necessariamente per iscritto, ma questo è quanto succede nella pratica, in quanto la forma scritta costituisce un buon mezzo per dimostrare il consenso, salvo qualora: • i dati siano stati palesemente resi pubblici dall’Interessato (ad esempio in caso d’informazioni da fonte pubblica, come un elenco telefonico, in cui l’Interessato abbia avuto l’opportunità di non inserire tali dati), ovvero • i dati siano trattati da un’organizzazione senza scopo di lucro a fini politici, filosofici, religiosi o sindacali. Qualora queste organizzazioni trattino i dati senza il consenso esplicito dell’Interessato, dovranno considerare che: - il trattamento deve essere effettuato nel corso delle legittime attività di questi enti; - devono essere fornite le opportune garanzie; - il trattamento può riguardare solo i membri dell’ente o i soggetti che hanno con esso regolari contatti; - il trattamento deve avvenire in relazione agli obiettivi dell’ente senza scopo di lucro; - i dati non possono essere divulgati a Terzi senza il consenso dell’Interessato. Un esempio di questo tipo di attività potrebbe essere una chiesa o un’associazione religiosa che invia (o utilizza un computer per inviare) una lettera ai suoi soci annunciando la pubblicazione di un bollettino religioso a cui i soci interessati si possono abbonare, oppure per raccogliere fondi per fornire aiuto e assistenza in una data situazione. In nessun caso le aziende potranno utilizzare i Dati Sensibili in maniera tale da pregiudicare i diritti e le libertà fondamentali dell’Interessato. I dati dovranno sempre essere elaborati per scopi legittimi. Qualora i dati sensibili raccolti a scopo di attività di Direct Marketing siano ulteriormente trattati a scopo di analisi statistica, dovranno essere resi anonimi o almeno trasformati in maniera tale da non consentire l’identificazione dell’Interessato, a meno che il Responsabile del trattamento dei dati non abbia ottenuto il consenso esplicito dell’Interessato. 2.4 Scopi diversi 2.4.1 Qualora si desideri trattare i Dati Personali per uno scopo significativamente diverso da quello per il quale sono stati originariamente raccolti, il Responsabile del trattamento dei dati dovrà verificare che il nuovo scopo sia compatibile con lo scopo notificato. Qualora sia compatibile, il trattamento per questo nuovo scopo sarà consentito. Qualora il nuovo scopo sia incompatibile con lo scopo notificato, l’ulteriore trattamento sarà consentito solo se conforme alle vigenti leggi sulla protezione dei dati. 2.4.2 Nel valutare la compatibilità del nuovo scopo, il Responsabile del trattamento dei dati dovrà considerare, tra gli altri, i seguenti criteri: se il nuovo scopo è sostanzialmente diverso dallo scopo per cui i dati sono stati raccolti, se l’Interessato possa ragionevolmente averlo previsto o se sia probabile che avrebbe obiettato se ne fosse stato a conoscenza. Il Responsabile del trattamento dei dati dovrà sempre prendere in considerazione le indicazioni legali nazionali espresse dall’Autorità garante nazionale per la protezione dei dati. 2.5 Host Mailing Qualora il Responsabile del trattamento dei dati effettui un host mailing esclusivamente sulla base di criteri selettivi, ne dovrà informare l’Interessato; in caso contrario, il Responsabile del trattamento dei dati potrà divulgare i Dati Personali a Terzi senza rendersene conto. Si dice host mailing il caso in cui il Responsabile del trattamento dei dati alleghi materiale di Terzi ai propri mailing. Criteri selettivi, in questo contesto, significa i criteri che potrebbero influire negativamente sui diritti dell’Interessato — ad esempio l’uso di dati sensibili legato a un modello di vendita (es. precedenti acquisti di un prodotto farmaceutico). Questa disposizione suggerisce che il Responsabile del trattamento dei dati debba garantire che l’Interessato riceva l’informativa nella lettera di host mailing, considerata il mezzo d’informazione più efficace attualmente disponibile. 2.6 Disposizioni particolari relative ai Minori 2.6.1 Nel raccogliere dati di Minori, il Responsabile del trattamento dei dati dovrà sempre fare ogni ragionevole sforzo affinché il Minore e/o il Genitore siano opportunamente informati degli scopi del trattamento dei dati del Minore. In particolare, nell’utilizzare materiale commerciale rivolto a Minori, o altrimenti nel raccogliere consapevolmente dati da Minori, l’informativa dovrà essere posta in evidenza, facilmente accessibile e comprensibile ai Minori. 2.6.2 Ove la legge nazionale o europea sulla protezione dei dati preveda il consenso dell’Interessato al trattamento, il Responsabile del trattamento dei dati dovrà ottenere un consenso informato e preventivo dal Genitore del Minore. La forma e il metodo per ottenere il consenso dovranno essere sempre conformi alle leggi e all’autodisciplina in vigore. 2.6.3 Il Responsabile del trattamento dei dati dovrà garantire al Genitore del Minore gli stessi diritti sui dati del Minore descritti nel paragrafo 3.5 del presente Codice. Il Responsabile del trattamento dei dati dovrà fare ogni ragionevole sforzo per verificare che la persona che esercita il diritto del Minore sia il Genitore del Minore. 2.6.4 Il Responsabile del trattamento dei dati non dovrà condizionare la partecipazione del Minore a un gioco, all’offerta di un premio o a qualsiasi altra attività che comporti un vantaggio promozionale al fatto che il Minore divulghi più Dati Personali di quanti non siano strettamente necessari per partecipare a tale attività. 3 Obblighi del Responsabile del trattamento dei dati 3.1 Principi di protezione dei dati 3.1.1 Il Responsabile del trattamento dei dati dovrà rispettare i principi seguenti: i Dati Personali dovranno essere • trattati in maniera equa e lecita su una base di assoluta legittimità (ai sensi delle vigenti leggi e delle disposizioni del presente Codice); • raccolti per gli scopi espliciti e legittimi specificati (es. gli scopi dichiarati all’Autorità garante per la Protezione dei Dati, come scambio d’informazioni personali, operazioni di vendita a distanza); • non ulteriormente trattati in maniera incompatibile con tali scopi3, a meno che l’Interessato non abbia espresso il proprio consenso; • adeguati, pertinenti (es. è normale per una compagnia aerea informarsi delle abitudini alimentari dei propri passeggeri al fine di servire il tipo di pasto giusto, ma normalmente un’industria automobilistica non ha alcuna necessità di conoscere le abitudini alimentari dei propri clienti, in quanto normalmente non serve loro pasti) e non eccessivi in relazione agli scopi per i quali sono raccolti e/o ulteriormente trattati; • precisi e aggiornati. Questo può avvenire mediante l’uso delle liste di soppressione (interne o General Robinson List4), di dati di dominio pubblico e del diritto alla rettifica esercitato dall’Interessato; • conservati in una forma che consenta l’identificazione dell’Interessato per un tempo non superiore a quello necessario per gli scopi per i quali i dati sono raccolti e ulteriormente trattati. 3.1.2 Il Responsabile del trattamento dei dati dovrà stipulare un contratto con i propri titolari del trattamento, in virtù del quale i titolari del trattamento accettano di agire in conformità a detti principi ed esclusivamente in base alle istruzioni del Responsabile del trattamento dei dati. La responsabilità di un trattamento equo e lecito resterà a carico del Responsabile del trattamento dei dati e non potrà essere trasferita al titolare del trattamento mediante contratto. 3.2 Notifica alle Autorità garanti per la Protezione dei Dati Il Responsabile del trattamento dei dati dovrà garantire che le operazioni di trattamento siano registrate ai sensi della vigente legge in materia. 3.3 Misure di sicurezza 3.3.1 Il Responsabile del trattamento dei dati dovrà adottare le opportune misure di sicurezza, con particolare riguardo per il costo e lo stato dell’arte tecnologico della loro attuazione e per la sensibilità dei dati, al fine di prevenire la distruzione accidentale e illecita o la perdita accidentale, l’alterazione e la divulgazione o l’accesso non autorizzato ai file dei Dati Personali. A titolo di ulteriore tutela, il Responsabile del trattamento dei dati è invitato ad adottare misure specifiche, come le Privacy Enhancing Technologies (PET) e le "seeding list". La convenzione scritta tra il list-broker e l’utente della lista deve garantire l’utilizzo delle liste in base agli opportuni principi di sicurezza. 3.3.2 Tali misure comprendono tra l’altro, la sicurezza degli edifici in cui i Dati Personali sono conservati e/o trattati (compreso l’accesso a tali edifici), un elenco delle persone autorizzate (con indicazione della responsabilità) ad accedere ai dati, opportuni meccanismi di autenticazione (es. controllo password) e sicurezza nel trasferimento dei dati tra il Responsabile del trattamento e il Titolare del trattamento. 3.3.3 Il Responsabile del trattamento dei dati potrà rivolgersi alle proprie Associazioni nazionali per il Direct Marketing per indicazioni sulle opportune misure di sicurezza e sulle tecnologie allo stato dell’arte. 3.3.4 Il Responsabile del trattamento dei dati dovrà verificare che qualsiasi Titolare a cui si rivolga disponga delle opportune misure di sicurezza (compreso il rispetto della riservatezza), inserendo le opportune disposizioni nel contratto di cui all’Articolo 3.3.1. 3.4 Punto di contatto 3.4.1 Il Responsabile del trattamento dei dati dovrà designare un Coordinatore per la Protezione dei Dati all’interno dell’organizzazione, che agisca come punto di contatto per le questioni relative alla protezione dei dati. 3.4.2 Le mansioni del Coordinatore per la Protezione dei Dati dovranno comprendere almeno: • il monitoraggio, da solo o congiunto con altri, della conformità delle procedure di protezione dei dati dell’organizzazione alle vigenti leggi e alle disposizioni del presente Codice; • una funzione di punto di contatto per le Autorità garanti per la Protezione dei Dati. 3.4.3 Le ADM nazionali potranno raccogliere i nomi dei Coordinatori per la Protezione dei dati dei loro soci da trasmettere all’Autorità garante per la Protezione dei Dati. 3.5 Esercizio dei diritti dell’Interessato Oltre a rispettare i principi di cui all’Articolo 3.1, il Responsabile del trattamento dei dati dovrà rispettare tutti i diritti dell’Interessato definiti nel presente codice e nelle vigenti leggi, compreso il diritto di: • opporsi al trattamento dei suoi dati a scopo di Direct Marketing, compresa la possibilità di non essere contattato per conto di altri. Conservare i dati a scopo di blocco della comunicazione di Direct Marketing non è considerata una forma di trattamento a scopo di Direct Marketing; • opporsi alla divulgazione dei dati a Terzi, salvo nei casi in cui tale divulgazione sia richiesta dalla legislazione nazionale; • accedere ai dati e rettificare i dati inesatti ai sensi degli Articoli 4.1 e 4.2 del presente Codice; • pretendere la cancellazione o il blocco dei dati qualora il loro trattamento non sia conforme alle disposizioni delle vigenti leggi; • opporsi, per validi e legittimi motivi, al trattamento dei dati per scopi diversi dal Direct Marketing, se non altrimenti previsto dalla vigente legge. 3.6 Divulgazione delle liste 3.6.1 Il Responsabile del trattamento dei dati che divulghi le proprie liste ad altre organizzazioni dovrà adottare ragionevoli provvedimenti (es. richiedere un campione del materiale) per informarsi sullo scopo per cui i dati verranno utilizzati (es. se il contenuto del materiale è illegale, contrario all’etica o in grado di nuocere all’immagine del Direct Marketing in generale, o se il materiale sia inaccettabile, come nel caso della pornografia). 3.6.2 Il Responsabile del trattamento dei dati (ad esempio un list broker) dovrà inoltre stipulare un accordo scritto con il potenziale utente (Terzo), mediante il quale s’impegna ad agire in conformità ai principi del presente Codice prima di divulgare i dati. 4 Come affrontare le richieste degli Interessati 4.1 Accesso ai dati 4.1.1 Ogni Interessato avrà la facoltà di ottenere dal Responsabile del trattamento dei dati: • conferma del fatto che i dati a lui/lei relativi vengano trattati e informativa almeno in merito agli scopi del trattamento, alle categorie di dati interessati e ai destinatari o alle categorie di destinatari a cui i dati vengono divulgati; • comunicazione in forma comprensibile dei dati sottoposti a trattamento e ogni informazione disponibile in merito alla loro fonte; • conoscenza della logica alla base di ogni trattamento automatico nel caso delle decisioni automatiche5. 4.1.2 Il Responsabile del trattamento dei dati che riceva da un Interessato una richiesta, per iscritto o con altri mezzi durevoli, di visionare i Dati Personali relativi allo stesso dovrà: • indicare eventuali informazioni particolari che potrebbe essere necessario raccogliere da tale Interessato, in particolare la sua identità, al fine di garantire che l’Interessato abbia la possibilità di esercitare il diritto di accesso e di individuare la propria cartella (es. riferimento campagna di mailing), • fornire i Dati Personali in forma comprensibile e allegare eventuali annotazioni o spiegazioni per chiarire dati ambigui, ad esempio elenchi di codici applicati dal Responsabile del trattamento dei dati; • informarlo in merito a eventuali ragionevoli compensi che intenda addebitare per la fornitura dei dati, se consentito dalla legge nazionale; tali compensi non potranno superare il limite massimo specificato dalle norme nazionali; • informarlo in merito alla logica alla base dell’eventuale trattamento automatico dei dati relativi allo stesso allo scopo di valutare questioni relative all’Interessato come, ad esempio, la sua solvibilità. 4.1.3 Il Responsabile del trattamento dei dati non avrà alcun obbligo di rispondere a richieste avanzate a intervalli irragionevoli (come definito nelle vigenti leggi nazionali e/o codici di condotta, che prevedono misure più protettive). 4.2 Rettifica Il Responsabile del trattamento dei dati dovrà agire in base a eventuali richieste, per iscritto o con altro mezzo durevole, di rettifica dei Dati Personali. In presenza di motivi validi per dubitare della legittimità di una richiesta di rettifica, saranno richieste ulteriori prove prima di procedere alla rettifica stessa. Questo può essere, ad esempio il caso in cui la richiesta proviene da un minore senza l’approvazione del Genitore o del tutore, ovvero se il Responsabile del trattamento dei dati dispone d’informazioni che dimostrino che la richiesta di rettifica dei dati non è giustificata. Ad esempio se un Interessato afferma di non avere mai ordinato un prodotto a una data società mentre tale società dispone di prove dell’acquisto. Motivi validi e legittimi sussistono inoltre quando vi sono ragioni sufficienti per ritenere che la richiesta sia eccessiva. Questo può essere dovuto, ad esempio, alla frequenza della richiesta. Qualora una rettifica non sia giustificata, l’Interessato dovrà essere informato in merito alla decisione. 4.3 Fonte dei dati Quando il Responsabile del trattamento dei dati riceve da un Interessato richieste d’informazioni, per iscritto o con altro mezzo durevole, in merito alla fonte dei propri dati, il Responsabile del trattamento dei dati dovrà, se legalmente consentito e se la fonte può essere identificata con un ragionevole sforzo, comunicare l’informazione all’interessato. Se i dati sono stati raccolti da fonti diverse, il Responsabile del trattamento dei dati è invitato a tenere un elenco delle fonti da cui ha ottenuto i Dati Personali. 4.4 Tempi di risposta alle richieste dell’Interessato 4.4.1 Il Responsabile del trattamento dei dati dovrà fornire le informazioni richieste in conformità agli Articoli 4.1, 4.2 e 4.3 entro un breve periodo di tempo, che non potrà superare il periodo previsto dalle vigenti norme nazionali. 4.4.2 FEDMA raccomanda ai Responsabili del trattamento dei dati di fornire tali informazioni entro 20 giorni lavorativi, salvo qualora sussistano circostanze eccezionali. 5 Il Sistema di Preference Service 5.1 Liste di soppressione interne 5.1.1 Il Responsabile del trattamento dei dati dovrà garantire il funzionamento nel proprio database di un sistema di soppressione, per bloccare i nominativi (o altri dettagli per l’identificazione, come numeri telefonici o indirizzi e-mail, vedi nota sui Dati Personali nelle Definizioni) degli Interessati che hanno richiesto di non essere contattati a scopo di Direct Marketing 5.1.2 Qualora il Responsabile del trattamento dei dati riceva una richiesta di non contattare un Interessato con qualsiasi mezzo, dovrà bloccare il nominativo di tale Interessato nel proprio database al più presto, e in ogni caso entro un massimo di 4 settimane dal ricevimento della richiesta. 5.1.3 Il Responsabile del trattamento dei dati che risponda a una richiesta di "nessuna promozione" da parte di un Interessato dovrà spiegare che la soppressione non riguarda materiale di Direct Marketing che sia stato predisposto prima di ricevere la richiesta. Non appena possibile e, in ogni caso, entro un massimo di 3 mesi dal ricevimento della richiesta, il Responsabile del trattamento dei dati dovrà fare del suo meglio per garantire che l’Interessato non riceva altro materiale di Direct Marketing. 5.2 Il Sistema di Preference Service 5.2.1 Il Responsabile del trattamento dei dati dovrà adottare i principi dei Preference Service6 nazionali ove siano in funzione e nell’utilizzare Dati Personali provenienti da altri paesi in cui tali servizi siano in funzione e pulire periodicamente le proprie liste a fronte dei preference service ai sensi delle Global Conventions on Preference Services. Le ADM incaricate dei Preference Service dovranno pulire periodicamente i propri file. 5.2.2 Le richieste di soppressione saranno mantenute nei sistemi di preference service per un periodo minimo di tre anni o per un periodo maggiore eventualmente previsto dalle norme nazionali sui sistemi di preference service. Nel caso specifico degli e-mail preference service, i file potranno essere aggiornati entro un periodo inferiore a tre anni, ai sensi delle norme nazionali sull’e-MPS. È previsto il mantenimento di un archivio delle richieste di soppressione per un periodo minimo di tre anni o per un periodo maggiore eventualmente previsto dalle norme nazionali sul preference service. Nel caso specifico delle richieste di soppressione dell’e-mail, sarà ammesso un periodo più breve purché consentito dalle norme nazionali o dagli e-mail preference service. Il proprietario o il gestore del sistema di preference service dovranno informare l’Interessato in merito al periodo di validità della richiesta, ad esempio quando l’Interessato riceve la conferma della sua richiesta di soppressione. 6 Trasferimento di dati a paesi extra-europei In caso di trasferimento a paesi extra-UE/EEA il cui livello di protezione non sia considerato adeguato7, il Responsabile del trattamento dei dati potrà trasferire i dati personali solo qualora siano fornite tutele sufficienti, mediante stipula di un contratto (spesso soggetto ad approvazione a livello nazionale) ovvero fornendo qualsiasi altra forma di meccanismo approvato dall’UE, salvo nel caso in cui l’Interessato abbia espresso il proprio consenso inequivocabile, ovvero il trasferimento sia necessario per l’esecuzione di un contratto tra l’Interessato e il responsabile del trattamento, ovvero per l’attuazione di provvedimenti precontrattuali adottati in risposta a una richiesta dell’Interessato. 7 Conformità e monitoraggio 7.1 Responsabilità delle ADM nazionali Le Associazioni nazionali per il Direct Marketing saranno responsabili della rigorosa applicazione dei principi specificati nel presente Codice, incorporati nei codici nazionali, nei rispettivi paesi e dovranno applicare le stesse sanzioni previste nei loro paesi in caso di violazione dei codici nazionali. Le aziende dovranno procedere al monitoraggio periodico della propria conformità al presente Codice (ad esempio mediante auto-revisione). 8 7.2 Risposta alle lamentele 7.2.1 Le Associazioni nazionali per il Direct Marketing dovranno istituire una procedura per rispondere a eventuali lamentele risultanti dall’applicazione del presente Codice a livello nazionale. 7.2.2 Le Associazioni nazionali per il Direct Marketing dovranno nominare una persona al loro interno, responsabile della gestione delle lamentele, che agisca come contatto per FEDMA. Il nome di questa persona sarà comunicato alla rispettiva Autorità garante per la Protezione dei Dati 7.2.3 Qualora un’Associazione nazionale per il Direct Marketing non sia in grado di affrontare una lamentela di un Interessato a causa dei suoi aspetti transnazionali, potrà fare riferimento a FEDMA, che nominerà una persona all’interno della Federazione responsabile della risoluzione delle lamentele. 7.2.4 Le AMD nazionali dovranno collaborare il più possibile con le proprie autorità garanti per la protezione dei dati. 7.2.5 FEDMA collaborerà inoltre con altre organizzazioni ed enti governativi interessati. 7.3 Violazione dei principi 7.3.1 Eventuali violazioni del presente Codice da parte dei soci FEDMA saranno sottoposte all’attenzione del Comitato per la Protezione dei Dati di FEDMA. Il Comitato per la Protezione dei Dati, debitamente valutato il tipo di violazione, potrà decidere di raccomandare al Consiglio di FEDMA l’espulsione del socio, ovvero altre sanzioni a seconda delle proprie procedure. 7.3.2 FEDMA potrà valutare l’opportunità d’intentare un’azione contro un socio o un non socio al fine di salvaguardare l’etica della professione9. 7.3.3 La mancata conformità alle disposizioni del presente Codice potrà inoltre determinare l’istituzione di azioni legali specifiche da parte delle autorità garanti per la protezione dei dati nazionali. 7.4 Comitato per la Protezione dei Dati 7.4.1 Viene costituito un Comitato per la Protezione dei Dati in seno a FEDMA per monitorare l’applicazione del Codice FEDMA. Il Comitato per la Protezione dei Dati risponde al Consiglio di FEDMA. 7.4.2 Il Comitato per la Protezione dei Dati è composto dai contatti delle ADM nazionali di cui all’Articolo 7.2.2, dal contatto nominato all’interno di FEDMA e da tre rappresentanti di aziende che siano membri del Consiglio di FEDMA. 7.4.3 Il Comitato per la Protezione dei Dati ha le seguenti funzioni: • valutare ogni anno se sia necessaria una revisione del Codice; • fornire al Gruppo di Lavoro per l’Articolo 29 un rapporto annuale sul funzionamento del codice a livello nazionale e nell’ambito delle attività transnazionali; • risolvere controversie transnazionali in collaborazione con IFDMA (Federazione Internazionale delle Associazioni per il Direct Marketing) e EASA (Alleanza Europea per gli Standard Pubblicitari); • valutare eventuali violazioni del Codice. 7.4.4 Il Comitato per la Protezione dei Dati dovrà adottare le proprie norme procedurali interne.
NOTE 1 Le Global Conventions on Preference Services, il codice di condotta FEDMA per il commercio elettronico e i principi europei per l’uso del telefono come strumento di marketing da parte delle aziende sono disponibili presso FEDMA. Per informazioni sul Global Email Preference Service: http://www.e-mps.org. Le Robinson list equivalgono ai Preference Service (vedi nota a pagina 11). (Documento ripreso dal sito "aidim.it" nel mese di ottobre 2003) |
||||||||||||||||||||||||||||||||||||||||||
