Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

LINEE GUIDA

Codici di condotta, post GDPR: contenuti e benefici di questi strumenti di auto-regolamentazione

I codici di condotta sono strumenti di auto-disciplina che consentono a rappresentanti e associazioni di categoria di definire regole interne di protezione dei dati personali. Ecco le linee guida del Comitato Europeo per la Protezione dei Dati per sviluppare questi strumenti

27 Mar 2019
I

Giovanna Ianni

Avvocato, Partner Lexalia - Studio Legale e Tributario

V

Giulia Vacchi

Praticante Avvocato, Lexalia - Studio Legale e Tributario


Tra gli strumenti volti a facilitare l’implementazione dei principi di tutela della privacy, l’art. 40, comma 2, GDPR (inserito nella sezione 5 “Codici di condotta e certificazioni”) consente alle associazioni di categoria e ad altri organismi rappresentativi di titolari e responsabili del trattamento di predisporre dei codici di condotta.

Si tratta di strumenti di auto-disciplina, adottati su base volontaria, attraverso i quali rappresentanti e associazioni di categoria possono prevedere regole interne di protezione dei dati personali, al fine di creare uniformità all’interno dello specifico settore e di assicurare il rispetto delle norme del GDPR da parte di titolari e responsabili.

Tra gli aspetti principali che possono essere coperti dai codici di condotta compaiono, a titolo di esempio:

  • le modalità di raccolta dei dati personali,
  • la pseudonimizzazione degli stessi,
  • l’esercizio dei diritti degli interessati,
  • la notifica di un’eventuale violazione dei dati personali all’autorità di controllo.

È importante notare che lo strumento dei codici di condotta non è nuovo all’ordinamento italiano. Precedentemente all’adozione del GDPR, già il Codice in materia di dati personali, D.lgs. n. 196/2003, all’art. 12, prevedeva la possibilità di sottoscrivere codici di deontologia e buona condotta in determinati settori. I codici di deontologia approvati erano contenuti nell’Allegato A del medesimo D.lgs. n. 196/2003 e gli stessi sono stati recentemente oggetto di revisione da parte dell’Autorità Garante.

Ad ogni modo, al fine del rispetto del principio di accountability previsto dal GDPR, l’adozione di codici di condotta non è l’unico strumento messo a disposizione di titolari e responsabili del trattamento. Questi andrebbero infatti considerati assieme ad altri importanti mezzi, quali la valutazione di impatto del trattamento (art. 35, GDPR) e le certificazioni (art. 42, GDPR).

Le linee guida dell’EDPB

Lo scorso 12 febbraio 2019 sono state adottate dal Comitato Europeo per la Protezione dei Dati (“EDPB”, già Working Party Art. 29, “WP Article 29” e “Guidelines 1/2019 on Codes of Conduct and Monitoring Bodies under Regulation 2016/679”) le prime linee guida in materia di codici di condotta, allo scopo di promuovere ed incentivare lo sviluppo di questi sistemi di auto-regolamentazione, a tutt’oggi implementati in misura limitata.

Il merito di queste linee guida – in fase di consultazione fino al 12 aprile prossimo – è di aver fatto luce su “le procedure e le norme relative alla presentazione, all’approvazione e alla pubblicazione dei codici di condotta a livello sia nazionale che europeo”; vengono fornite indicazioni, anche di natura procedurale, sui contenuti minimi necessari affinché i codici di condotta stessi possano venire accettati dalla competente autorità di controllo, e sui processi di presentazione e approvazione (o eventuale rifiuto) da parte della stessa.

Benefici derivanti dall’adozione di codici di condotta

I codici di condotta possono essere redatti al fine di facilitare l’ottemperanza delle norme in materia di privacy da parte di un’intera categoria di titolari e responsabili, contenendo la descrizione dei comportamenti legali ed etici considerati più appropriati nel settore di riferimento.

Lo scopo è quello di affrontare in modo efficiente, uniforme e con economia di mezzi questioni e difficoltà comuni, emerse in determinati settori o relativamente a specifiche attività. Ciò risulta in particolar modo importante per le micro, piccole e medie imprese, dal momento che l’adozione di tali codici permette di meglio garantire l’osservanza dei principi in materia di protezione dei dati personali, anche sotto il profilo economico (“They have the potential to be an especially important and beneficial tool for both SMEs and micro enterprise businesses by providing a mechanism which allows them to achieve data protection compliace in a more cost effective way” – ref.: Linee Guida, par. 11).

Un ulteriore beneficio descritto nelle linee guida, che potrebbe derivare dall’adesione ad un codice di condotta, riguarda la possibilità per il titolare o il responsabile di meglio comprovare il rispetto del principio di responsabilizzazione.

Come noto, il titolare è tenuto, ai sensi dell’art. 24, comma 1, GDPR a mettere in atto misure adeguate a garantire e dimostrare che il trattamento effettuato è conforme al Regolamento. Va comunque chiarito che – coerentemente con l’art. 24, comma 3, GDPR e con il Considerando 77 – i codici di condotta non garantiscono di per sé la certezza di compliance da parte del titolare o del responsabile del trattamento; sono certamente utili per dimostrarne la conformità, in quanto l’adesione agli stessi viene concretamente valutata ai fini dell’identificazione del grado di adeguatezza del trattamento ai criteri del GDPR.

E, difatti, l’adesione ai codici di condotta, così come l’eventuale incompleta adozione delle misure ivi contenute, è comunque uno dei criteri considerati dall’autorità di controllo al fine di valutare, nel caso di specie, l’adeguatezza delle misure di sicurezza adottate, piuttosto l’impatto del trattamento sui diritti degli interessati, evidentemente anche sotto il profilo dell’applicazione di eventuali sanzioni amministrative.

Infatti, l’art. 83, comma 2, GDPR, prevede che l’irrogazione di sanzioni amministrative vada ponderata caso per caso, tenendo conto di diversi elementi, fra i quali “l’adesione ai codici di condotta approvati ai sensi dell’articolo 40”.

L’adesione ai codici di condotta rappresenta quindi un’importante prova del rispetto del principio di responsabilizzazione da parte del titolare del trattamento, tanto che, come evidenziato dal WP Article 29, nelle “Linee guida riguardanti l’applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679”, l’autorità di controllo potrebbe considerare non necessaria l’applicazione di sanzioni pecuniarie nei confronti di soggetti aderenti ai codici, essendo sufficiente che l’organismo di controllo dell’organizzazione di categoria intervenga attraverso la sospensione dell’associato non compliant o attraverso l’applicazione delle sanzioni previste dal codice di condotta.

Contenuti necessari e criteri di ammissibilità

L’EDPB ha lavorato per offrire nell’ambito delle linee guida criteri e parametri – uniformi ed oggettivi per la redazione e valutazione delle bozze – utili sia ai redattori dei codici, sia alle autorità che dovranno approvarli, fra i quali:

  • una chiara e concisa motivazione che illustri le finalità del codice di condotta, il suo ambito di applicazione e come questo sia utile nel settore di riferimento per facilitare l’applicazione ed il rispetto del GDPR;
  • la rappresentatività del codice di condotta, il quale deve essere presentato da associazioni di categoria dei titolari o responsabili che possano dimostrare di avere una rappresentatività effettiva della categoria, ad esempio sulla base dell’esperienza pregressa e del numero di membri che hanno deciso di aderire al codice;
  • la portata del trattamento, che deve essere definita in modo chiaro e preciso, specificando quali operazioni verranno effettuate e quali dati personali verranno trattati;
  • lo scopo territoriale, la bozza dovrà infatti specificare se si tratta di un codice con applicazione nazionale o transnazionale, identificando altresì la giurisdizione competente;
  • la consultazione effettuata precedentemente all’adozione del codice di condotta. Secondo quanto previsto dal Considerando 99, GDPR, “le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o di responsabili del trattamento dovrebbero consultare le parti interessate pertinenti, compresi, quando possibile, gli interessati, e tener conto delle osservazioni ricevute e delle opinioni espresse in riscontro a tali consultazioni”;
  • l’identificazione di organismi di controllo all’interno delle associazioni di categoria, sulla base di quanto previsto dall’art. 41, GDPR. Infatti, i codici di condotta relativi ad attività svolte da privati o organismi non pubblici devono prevedere la nomina di un organismo di controllo, che abbia un adeguato livello di competenza rispetto al contenuto del codice e che ne monitori l’osservanza ed il rispetto.

Va da sé che, nella prospettiva in cui si pone l’EDPB di obbligatorietà del rispetto delle linee guida, la bozza del codice di condotta, che sia sottoposta al vaglio dell’autorità competente, che non contenga i requisiti sopra elencati, non potrà che essere rigettata e non potrà accedere alle successive fasi della procedura di approvazione. Non tutti i codici associativi saranno, dunque, considerabili come codici di condotta ai sensi dell’art. 40 GDPR e delle linee guida.

Analisi dei contenuti e procedura di approvazione dei codici

Terminata l’analisi dei criteri di ammissibilità, l’autorità competente deciderà se procedere ad una valutazione completa del contenuto del codice di condotta, in base alle previsioni degli artt. 40 e 41, GDPR.

A tal proposito, gli autori del codice dovranno essere in grado di dimostrare che lo stesso:

  • risponde ad uno specifico bisogno emerso in quel dato settore di attività o relativamente a specifici trattamenti effettuati. Devono essere illustrate le questioni affrontate dal codice, tenendo conto che le soluzioni offerte devono essere efficaci ed utili non solo per i soggetti che hanno aderito al codice, ma anche per i soggetti interessati;
  • facilita l’effettiva applicazione del GDPR, affrontando in modo specifico i bisogni del settore di riferimento (ad esempio, fornendo una lista di definizioni utili);
  • prevede norme specifiche per il settore cui si applica, fornendo una guida specifica, pratica e precisa ai titolari e responsabili del trattamento su come applicare il GDPR alla loro attività, nonché rispetto alle garanzie e misure di sicurezza necessarie relativamente ai rischi derivanti dallo specifico trattamento;
  • prevede strutture e procedure che assicurino un monitoraggio effettivo dell’attività svolta, assieme a misure che assicurino una totale compliance. In altre parole, un codice non deve soltanto limitarsi a dettare regole applicabili a specifiche attività di trattamento dei dati personali, ma deve altresì implementare meccanismi di controllo che assicurino un’effettiva applicazione delle stesse.

A seguito di queste analisi, l’autorità competente potrà rifiutare o accettare la bozza del codice di condotta, nel qual caso la stessa dovrà essere registrata e pubblicata.

L’EDPB prevede alcune differenze procedurali quando il codice abbia natura transnazionale. In questi casi tutte le autorità di controllo verranno informate del procedimento in corso, che verrà gestito dall’autorità competente assieme ad altre due autorità che si offrano volontarie per affiancarla nei controlli.

I codici di condotta nell’ordinamento italiano

Per quel che riguarda i codici di deontologia vigenti prima dell’entrata in vigore del D.lgs. 101/2018 e contenuti negli Allegati A.1, A.2, A.3, A.4 e A.5 del D.lgs. 196/2003 (cosiddetto Codice Privacy), la verifica della loro conformità al GDPR è stata recentemente effettuata dal Garante, così come previsto dall’art. 20, comma 4 del D.lgs. 101/2018.

I testi aggiornati sono stati pubblicati in G.U. nel mese di gennaio 2019 e riguardano, nello specifico, regole deontologiche relative al trattamento dei dati personali

  • nell’esercizio di attività giornalistica;
  • a fini di archiviazione nel pubblico interesse o per ricerca storica;
  • a fini statistici o di ricerca scientifica;
  • al fine di svolgere investigazioni difensive o per far valere o difendere un diritto in sede giudiziaria.

In generale, l’articolo di riferimento in materia di codici di condotta è il 2-quater del D.lgs. 101/2018, il quale prevede che il Garante promuova l’adozione di regole deontologiche e ne verifichi la conformità rispetto alle disposizioni vigenti, in particolar modo per le attività che prevedano il trattamento dei dati necessari per l’adempimento di obblighi legali (art. 6, comma 1 lett. c, GDPR), per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri (art. 6, comma 1 lett. e, GDPR) e per dati genetici e relativi alla salute (art. 9, comma 4, GDPR).

Ad ogni modo, l’elenco non è da considerarsi esaustivo, il che significa che i codici deontologici già eventualmente adottati dalle associazioni di categoria (pre-GDPR) dovranno essere (ancora) sottoposti alla procedura di controllo e approvazione da parte dell’Autorità Garante, così come descritta nelle linee guida pubblicate da EDPB, affinché la loro adozione da parte degli associati possa consentire loro di usufruire dei benefici sopra descritti.

Il ruolo degli organismi di controllo nelle associazioni di categoria

Vale la pena soffermarsi, in particolare – come, peraltro, ha fatto anche l’EDPB nell’ambito delle linee guida – sul ruolo degli organismi di controllo nominati dalle associazioni di categoria che intendano emettere codici di condotta sui temi privacy.

Le associazioni – direttamente o indirettamente (a mezzo di un organo interno o esterno, ma comunque indipendente dagli altri organi rappresentativi dell’associazione) – devono essere in grado di effettuare un monitoraggio efficace sul rispetto da parte dei propri associati dei principi contenuti nel codice.

L’associazione che sottoponga il codice di condotta al vaglio dell’autorità deve poter dimostrare che l’organismo di controllo indicato ha un adeguato livello di competenza riguardo al contenuto del codice e che esso opera indipendentemente sia rispetto all’associazione stessa, sia rispetto ai titolari e responsabili che hanno aderito al codice.

Inoltre, dovrà essere dimostrato che lo svolgimento dei compiti da parte dell’organismo avviene in mancanza di conflitto d’interesse e libero da influenze esterne.

Al fine di assicurare la corretta osservanza del codice di condotta adottato, fra i poteri di controllo dell’organismo rientrano la possibilità di effettuare audit, senza darne previo preavviso, ispezioni annuali, stilare report attraverso l’uso di questionari ed altre procedure che siano idonee in base al rischio derivante dal trattamento effettuato, il numero di membri aderenti al codice, gli eventuali reclami presentati.

Ad oggi, consultando alcuni codici deontologici pubblicati sui siti web di diverse associazioni di categoria, sembrerebbe che i relativi testi non contengano i requisiti evidenziati nel GDPR e dall’EDPB nelle linee guida. Nello specifico, particolare attenzione dovrà essere riservata proprio alla figura dell’organismo di controllo, la cui nomina risulta essere elemento essenziale affinché il codice venga approvato, ma che non pare ad oggi, presente in diversi testi adottati dalle associazioni di categoria.

In merito, ci si interroga sulla possibilità che il DPO dell’associazione di categoria possa assumere, nel rispetto del proprio ruolo e dei propri compiti, la funzione di organo di controllo, facendo confluire nelle proprie attività anche il monitoraggio del rispetto del codice di condotta adottato.

Il “dubbio” sorge leggendo il par. 65 delle stesse linee guida, che evidenzia l’esistenza di una certa similarità fra le due figure richieste dal GDPR (“Similar to a data protection officer, the monitoring body should be able to act free from instructions and shall be protected from any sort of sanctions or interference (whether direct or indirect) as a consequence of the fulfillment of its tasks”).

Svariati sono gli elementi ed i requisiti in comune. In primis, entrambe le figure devono essere competenti rispetto alla normativa contenuta nel GDPR ed indipendenti da influenze esterne; il loro ruolo è, rispettivamente, quello di monitorare il rispetto e l’osservanza dei codici di condotta e del GDPR stesso.

Inoltre, il DPO può essere sia un dipendente del titolare del trattamento sia un soggetto esterno, così come previsto dall’art. 37, comma 6, GDPR. Questo è altresì valido anche per l’organismo di controllo: come chiarito dalle linee guida, può essere sia interno che esterno all’associazione di categoria.

In entrambi i casi, ciò che rileva è che il soggetto operi libero da coinvolgimenti esterni e non vi siano conflitti di interessi. Infine, da non dimenticare che l’art. 38, comma 6, GDPR, prevede che il DPO possa svolgere anche altri compiti e funzioni.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5