Vademecum

Codici di condotta, aggiornate le linee guida dell’EDPB: ecco cosa cambia

L’aggiornamento dell’EDPB punta a chiarire i ruoli dei soggetti coinvolti nella definizione dei codici di condotta e nella loro adozione: l’ambito è quello delle regole per garantire un trasferimento dei dati verso Paesi terzi in conformità al GDPR

08 Mar 2022
C
Marina Rita Carbone

Consulente privacy

L’EDPB ha pubblicato un aggiornamento delle linee guida n. 4/2021 sui codici di condotta, che rappresentano uno degli strumenti utili, ai sensi dell’art. 46 lett. e) GDPR, a garantire la conformità del trasferimento dei dati personali presso paesi terzi, ove approvati secondo la procedura descritta all’art. 40 GDPR.

In tale contesto, le linee guida, a complemento delle linee guida 1/2019 rese sempre dall’EDPB, hanno lo scopo di chiarire i ruoli dei soggetti coinvolti nella definizione del codice di condotta e nel processo di adozione indicato proprio all’art. 40 par. 3.

Occorre rammentare, infatti, che ai codici di condotta approvati dalle autorità di controllo competenti secondo il meccanismo indicato al citato art. 40 GDPR, possono aderire anche i titolari e i responsabili non soggetti al GDPR, allo scopo di fornire adeguate garanzie nel quadro dei trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali. Nel seguito, dunque, si svolge una breve disamina dei concetti principali contenuti nelle linee guida 4/2021, con particolare riferimento alle misure di garanzia minime che i codici di condotta devono prevedere per poter essere approvati.

CISPE: annunciate le prime conformità al codice di condotta per la protezione dei dati in cloud

Codici di condotta, lo scopo delle linee guida EDPB

Come anticipato in premessa, le linee guida 4/2021 hanno lo scopo di chiarire in che modo si applica l’art. 40 par. 3 GDPR, fornendo anche una guida pratica sui possibili contenuti dei codici di condotta, sul processo di adozione degli stessi e sui requisiti che il codice di condotta medesimo deve garantire al fine di poter essere ritenuto valido ai sensi dell’art. 46 GDPR.

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza

Gli orientamenti espressi nelle linee guida in esame integrano quanto già espresso dal Comitato Europeo per la protezione dei dati nelle linee guida 1/2019, che stabiliscono il quadro generale per l’adozione di codici di condotta, in particolare per quanto riguarda l’ammissibilità, la presentazione e i criteri di approvazione degli stessi. Si tratta di uno strumento ad oggi non diffuso, che riveste, in realtà, una enorme rilevanza tra i diversi strumenti di garanzia indicati all’art. 46, rappresentando l’espressione di interessi comuni e semplificando il processo di compliance in settori dotati di peculiarità proprie e differenti.

Si pensi, ad esempio, alle caratteristiche proprie dei trattamenti di dati nel settore bancario e finanziario, nel settore assicurativo o nelle associazioni che trattano coi minori; i codici di condotta, ove presenti, consentirebbero ai titolari e ai responsabili del trattamento nei paesi terzi, , di “inquadrare tali trasferimenti, affrontando meglio le esigenze specifiche di trattamento del loro settore o delle attività comuni di trattamento” e, conseguentemente, “potrebbero fungere da strumento più adatto rispetto ad altri meccanismi di trasferimento disponibili ai sensi dell’articolo 46”.

I contenuti del codice di condotta

In termini di contenuti, partendo dal contenuto normativo dell’art. 46, il codice di condotta deve essere composto di almeno due elementi:

  • principi essenziali, diritti e obblighi derivanti dal GDPR per i titolari/responsabili del trattamento;
  • garanzie specifiche per il contesto in cui avvengono i trasferimenti di dati (con particolare riguardo, ad esempio, alla questione dei trasferimenti in entrata, e del conflitto normativo fra il GDPR e il quadro legislativo del paese terzo).

L’EDPB rileva, poi, come un codice di condotta possa essere originariamente redatto solo allo scopo di specificare l’applicazione del GDPR in conformità con l’articolo 40 par. 2 (una sorta di “codice GDPR”) o anche allo scopo di regolare i trasferimenti ai sensi dell’articolo 40 par. 3. “Di conseguenza”, si legge nelle linee guida, “a seconda dell’ambito di applicazione e del contenuto originari del codice, potrebbe essere necessario modificarlo per coprire tutti gli elementi summenzionati se si vuole utilizzarlo come strumento per i trasferimenti”.

Obblighi e garanzie

Ad ogni modo, tutti gli elementi relativi alle “adeguate garanzie” dovranno essere definiti nel codice in modo tale da facilitarne l’effettiva applicazione, specificando anche in che modo le regole del codice di condotta possono applicarsi, nella pratica, all’attività o al settore specifico del trattamento. Più nello specifico, all’interno dei codici di condotta dovranno essere presenti almeno i seguenti obblighi e garanzie:

  • una descrizione dei trasferimenti coperti dal codice (natura dei dati trasferiti, categorie di interessati, paesi terzi presso cui i dati sono trasferiti);
  • una descrizione dei principi fondamentali di protezione dei dati da rispettare, ai sensi del codice (trasparenza, correttezza e liceità, limitazione delle finalità, minimizzazione e accuratezza dei dati, conservazione limitata dei dati, trattamento di dati sensibili, sicurezza, per il rispetto dei responsabili del trattamento delle istruzioni del responsabile del trattamento), comprese le norme sul possibile utilizzo di responsabili del trattamento o sub-responsabili, e le regole sui trasferimenti di dati successivi;
  • le misure di accountability da adottare;
  • l’istituzione di un’adeguata governance attraverso un DPO o altro personale privacy incaricato del rispetto degli obblighi di protezione dei dati derivanti dal codice;
  • l’esistenza di un adeguato programma di formazione sugli obblighi derivanti dal codice;
  • l’esistenza di un audit sulla protezione dei dati (da parte di revisori interni o esterni) o di altro meccanismo interno per il monitoraggio del rispetto del codice, indipendentemente dalla supervisione che deve essere effettuata dall’organismo di controllo, finalizzata a valutare se il richiedente è idoneo ad aderire al codice al momento della domanda e nel tempo, e se sono necessarie sanzioni in caso di violazioni;
    • misure di trasparenza sul contenuto e sull’uso del codice, in particolare per quanto riguarda i diritti dei terzi beneficiari;
    • le procedure di garanzia dei diritti degli interessati ai sensi degli articoli 12 -22 GDPR;
    • la creazione di diritti che gli interessati possono far valere nei confronti dei beneficiari terzi, come la possibilità di presentare un reclamo dinanzi all’Autorità competente e ai tribunali del SEE);
    • l’esistenza di un adeguato processo di gestione dei reclami per le violazioni in materia di protezione dei dati gestite dall’organismo di controllo che, ove opportuno, può essere associato ad una procedura interna agli aderenti per la gestione dei reclami;
    • la garanzia che, al momento dell’adesione al codice, il titolare/responsabile del trattamento del paese terzo non ha motivo di ritenere che le leggi applicabili al trattamento dei dati personali nel paese terzo di trasferimento, gli impediscano di adempiere ai propri obblighi ai sensi del codice e di attuare, se necessario, insieme all’esportatore, misure di garanzia supplementari per garantire il livello di protezione richiesto ai sensi della legge europea.
    • una descrizione delle misure da adottare (compresa la notifica all’esportatore nel SEE, l’attuazione di adeguate misure supplementari) nel caso in cui, dopo aver aderito al codice, il titolare del trattamento/responsabile del trattamento del paese terzo venga a conoscenza di qualsiasi legge, sempre del paese terzo, che impedisca il rispetto degli impegni assunti nell’ambito del codice e delle misure da adottare in caso di richieste di accesso del governo di paesi terzi;
    • i meccanismi di modifica del codice;
    • le conseguenze connesse alla revoca o alla recessione di un associato dal codice di condotta;
    • l’impegno per i membri e per l’organismo di monitoraggio a cooperare con le Autorità Europee;
    • l’impegno per i membri ad accettare di essere soggetto alla giurisdizione delle Autorità di controllo e giudiziarie europee, in qualsiasi procedura volta a garantire il rispetto del codice di condotta;
    • i criteri di selezione dell’organismo di controllo, ossia la procedura mediante cui si assicura che lo stesso disponga del livello di competenza necessario per svolgere il proprio ruolo in modo efficace.

Le garanzie per i soggetti terzi

Il GDPR richiede, all’art. 40 par. 3, che i titolari e i responsabili del trattamento non soggetti al GDPR “assumono l’impegno vincolante e azionabile, mediante strumenti contrattuali o di altro tipo giuridicamente vincolanti, di applicare le stesse adeguate garanzie anche per quanto riguarda i diritti degli interessati”. Tali impegni vincolanti possono essere assunti, tipicamente, mediante la sottoscrizione di un contratto, che appare, anche secondo l’EDPB, “la soluzione più semplice” da adottare nel concreto.

Il contratto, o il diverso strumento prescelto per garantire il rispetto della prescrizione contenuta all’art. 40, deve stabilire, in linea generale, che il titolare o il responsabile si impegnino a rispettare le regole contenute nel codice, nel corso del trattamento dei dati ricevute, e deve prevedere dei meccanismi che consentano di verificare e garantire l’effettivo rispetto degli impegni assunti, nel caso in cui si verifichino delle violazioni.

Il contratto

Più nel dettaglio, il contratto o il diverso strumento vincolante prescelto, dovrebbe prevedere:

  • il diritto per gli interessati i cui dati sono trasferiti di far rispettare le norme previste dal codice in qualità di terzi beneficiari;
  • le modalità di attribuzione della responsabilità in caso di violazioni delle norme del codice da parte di membri al di fuori del SEE, prevedendo una clausola “attributiva di competenza giurisdizionale che rileva che gli interessati hanno la possibilità, in caso di violazione delle norme del codice da parte di un membro del codice al di fuori del SEE, di presentare un reclamo, invocando il loro diritto di terzo beneficiario, anche a titolo di risarcimento, contro tale entità dinanzi a un SEA del SEE e a un tribunale SEE della residenza abituale dell’interessato”.
  • il diritto, per l’esportatore, di far valere nei confronti dell’importatore aderente al codice di condotta, le norme incluse nello stesso, in qualità di terzo beneficiario.
  • l’obbligo dell’importatore di notificare all’esportatore e all’autorità di vigilanza dell’esportatore di dati qualsiasi violazione rilevata del codice da parte dello stesso soggetto che agisce come importatore al di fuori del SEE e delle eventuali misure correttive adottate dall’organismo di controllo in risposta a tale violazione.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3