La guida

GDPR e Organismi di monitoraggio: ecco i nuovi requisiti per l’accreditamento

Il Garante della privacy ha fatto luce sui requisiti che gli Organismi di monitoraggio devono prevedere per l’accreditamento dei richiedenti: vediamo nel dettaglio quali sono

10 Lug 2020
C
Marina Rita Carbone

Consulente privacy


Nonostante la rilevanza data all’interno del GDPR agli Organismi di monitoraggio, non era stato chiarito quali fossero le modalità di accreditamento o i requisiti che queste realtà devono rispettare per poter ricoprire tale delicato ruolo.

Il Garante della privacy ha fatto luce sulla situazione, adottando il provvedimento numero 98: nel documento vengono formalmente indicati quali requisiti gli organismi devono prevedere per poter essere accreditati. Analizziamo i punti principali del provvedimento.

L’importanza degli Organismi di monitoraggio

Tuttavia, una premessa è necessaria per contestualizzare il provvedimento che andremo ad approfondire. All’interno del GDPR, risulta di particolare rilevanza la figura degli “Organismi di monitoraggio” (nel seguito anche “ODM”), organi deputati, ai sensi dell’art. 41, al “controllo della conformità con un codice di condotta”, ossia codici che aiutino le micro, piccole e medie impresa ad applicare correttamente il GDPR in particolari settori, sulla base del rischio tipicamente connesso al settore in cui le stesse operano.

Agli organismi di monitoraggio si concede, al fine di rendere la propria attività efficace, anche un potere di tipo sanzionatorio: essi hanno, infatti, la possibilità di adottare “le opportune misure in caso di violazione del codice [di condotta; n.d.a.] da parte di un titolare del trattamento o responsabile del trattamento, tra cui la sospensione o l’esclusione dal codice del titolare del trattamento o del responsabile del trattamento” nonché di informare l’autorità di controllo competente delle misure adottate e delle relative motivazioni.

Essendo il ruolo di particolare rilevanza, tali organismi devono possedere un “livello adeguato di competenze riguardo al contenuto del codice e del necessario accreditamento a tal fine dell’autorità di controllo competente”.

I requisiti dell’ODM: indipendenza e imparzialità

Il primo requisito fondamentale che il richiedente deve dimostrare è l’indipendenza e l’imparzialità del proprio operato. A tal fine, il Garante richiede la predisposizione di regole interne e procedure formali legate ai seguenti profili:

  • Forma giuridica e procedure decisionali: l’Odm e i suoi componenti dovranno dimostrare l’assenza di forme di controllo, direzione o vigilanza da parte del soggetto titolare del codice di condotta del quale si deve verificare la corretta applicazione, dei soggetti aderenti al medesimo e di quelli riconducibili al settore cui il codice si applica; l’assenza di forme di pressione esterna, interferenza o condizionamento diretti o indiretti nello svolgimento delle attività di controllo; l’indipendenza e imparzialità del processo decisionale, ove fossero presenti legami giuridici e/o economici con il titolare del codice di condotta. Sarà compito del richiedente, a sostegno di tali elementi, allegare:
  1. lo statuto e l’atto costitutivo dell’ODM e del titolare del codice di condotta;
  2. le regole e le procedure di selezione, nomina, remunerazione e durata del mandato dei componenti dell’ODM aventi funzioni decisionali;
  3. gli ulteriori eventuali documenti che attestino la presenza di rapporti commerciali, finanziari, contrattuali o di altro genere tra l’ODM e il titolare del codice di condotta;
  4. le procedure adottate al fine di ridurre i rischi di compromissione dell’indipendenza e terzierà dell’ODM;
  • Autonomia finanziaria: per poter essere considerato realmente indipendente, l’ODM dovrà disporre non solo di risorse finanziarie sufficienti al corretto adempimento dei propri compiti di controllo (allo scopo di preservare la sostenibilità e la continuità delle attività di monitoraggio), ma anche di adeguati processi di gestione e rendicontazione delle stesse;
  • Autonomia organizzativa: le risorse umane, tecniche e logistiche destinate alle attività di controllo dovranno essere adeguate e garantire non soltanto l’indipendenza e l’imparzialità dei soggetti appartenenti all’ODM ma anche l’operatività degli stessi. Nel caso in cui l’ODM deleghi, in tutto o in parte, l’attività di controllo a fornitori esterni, dovrà dimostrare anche per questi ultimi la sussistenza dei requisiti di competenza e indipendenza. La documentazione che il richiedente potrà allegare per provare la propria autonomia, è, a titolo esemplificativo:
  1. modelli organizzativi e gestionali che assicurino la separazione “organizzativa, gestionale e funzionale” dell’ODM dal titolare del codice di condotta e garantiscano la riservatezza nel trattamento delle informazioni;
  2. qualifiche professionali di cui il proprio personale dispone;
  3. documentazione che comprovi l’obbligo di riservatezza nello svolgimento delle attività di controllo;
  4. procedure e regole organizzative utilizzate nel processo di selezione dei fornitori esterni e di controllo dell’operato degli stessi;
  5. contratti e atti giuridici che assegnino ai fornitori le dovute responsabilità, incluso l’obbligo alla riservatezza e alla confidenzialità dei dati e delle altre informazioni con le quali gli stessi entrano in contatto nello svolgimento dei propri compiti;
  • Responsabilizzazione: si fa obbligo all’ODM anche di vigilare sul rispetto delle proprie procedure interne e di documentare analiticamente le attività svolte. A tal fine, nella domanda di accreditamento dovranno essere allegati documenti quali:
  1. modelli di relazione di gestione;
  2. policies di formazione del personale;
  3. procedure di svolgimento delle attività di controllo.
  • Onorabilità dei componenti dell’ODM: i soggetti che svolgono attività di controllo all’interno dell’organismo, nonché il rappresentante legale dello stesso, dovranno rispettare ulteriori requisiti di tipo personale. Nello specifico:
  1. non trovarsi in una delle condizioni di cui all’art. 2383 c.c. (cause di ineleggibilità e di decadenza degli amministratori);
  2. non essere stati radiati da albi professionali;
  3. non aver riportato condanne per delitti non colposi o a pena detentiva per contravvenzioni, fatti salvi gli effetti derivanti dall’ottenimento della riabilitazione;
  4. non essere stati sottoposti a misure di prevenzione o di sicurezza personali.

L’assenza di conflitto di interessi

Ai sensi dell’art. 4 del provvedimento, ogni procedura messa in atto dall’Organismo dovrà essere accuratamente documentata e allegata alla domanda, in modo tale da prevenire, limitare e/o rimuovere il rischio derivante dall’insorgenza di conflitti di interesse nel corso del proprio mandato.

Ogni componente dell’ODM dovrà rispettare tali procedure anche nel corso della propria attività e segnalare ogni situazione nella quale possa ravvisarsi un potenziale conflitto di interessi. L’esempio fornito dal Garante quale situazione di rischio è il caso in cui un soggetto dell’ODM dotato di poteri decisionali abbia lavorato per il titolare del codice di condotta o per uno dei suoi aderenti o sia stato coinvolto nel processo di redazione del codice stesso.

Nel momento in cui dovesse sorgere un conflitto di interessi, si fa obbligo all’ODM di fornire al Garante indicazione di tutte le misure adottate al fine di ridurre e/o eliminare ogni rischio per l’indipendenza del proprio giudizio (tra cui, la rimozione del componente in conflitto di interessi o l’applicazione di sanzioni e penali in caso di inadempimento degli obblighi previsti dal provvedimento e dalle policies interne).

La competenza degli ODM

Ai sensi di quanto contenuto nell’art. 41 GDPR, l’ODM dovrà possedere:

  • un’approfondita conoscenza ed esperienza in materia di protezione dei dati personali;
  • un’approfondita conoscenza ed esperienza delle attività di trattamento tipiche del settore cui il codice di condotta fa riferimento;
  • un’approfondita conoscenza ed esperienza nello svolgimento dei propri compiti (ossia, gli audit e la valutazione degli aderenti);
WHITEPAPER
La guida per scegliere il miglior antivirus gratuito per il tuo PC
Personal Computing
Privacy

e, altresì, formare continuamente i propri componenti, in base alle novità normative e tecnologiche riferibili ai citati ambiti. La dimostrazione del possesso di tale requisito è compiuta dal richiedente tramite la produzione di attestati di superamento di specifici corsi di formazione, diplomi di laurea, titoli di specializzazione o perfezionamento o master almeno annuali, dottorati di ricerca, pubblicazioni eccetera.

Procedure per il monitoraggio del codice di condotta

Ai sensi di quanto riportato nel provvedimento del Garante, l’ODM dovrà dimostrare che la procedura di valutazione e verifica della conformità degli aderenti al codice di condotta prevede:

  • la programmazione delle verifiche in un tempo ragionevole, sulla base di requisiti specifici come il numero e la tipologia di aderenti, l’ambito geografico, i reclami ricevuti, le violazioni accertate, e altri;
  • l’adozione di una metodologia definita di conduzione e documentazione delle verifiche condotte sul posto o da remoto;
  • la documentazione delle motivazioni alla base delle definitive valutazioni;
  • la stesura di modelli di gestione delle eventuali violazioni del codice di condotta, che stabiliscano con esattezza anche quale tipologia di misura (correttiva o sanzionatoria) debba essere applicata, proporzionalmente all’entità e alla reiterazione della violazione stessa.

La gestione trasparente dei reclami

Gli interessati hanno la facoltà di avanzare i propri reclami non solo all’Autorità Garante ma anche all’ODM, tramite istanza, ove abbia ad oggetto la violazione del codice di condotta. Ne consegue l’obbligo, per l’ODM, di dimostrare di disporre di procedure e strutture adeguate a ricevere, gestire, istruire e definire i reclami in modo efficace e trasparente, oltre che facilmente comprensibile e accessibile.

Dovranno essere rispettati i principi di partecipazione, imparzialità e garanzia del contraddittorio, nonché di informazione del reclamante sullo stato e sull’esito del proprio reclamo entro tempistiche ragionevoli. Delle violazioni accertate e delle relative motivazioni dovrà essere fatta pronta comunicazione al Garante: per tale ragione, dovrà essere allegata alla domanda anche la documentazione inerente tale procedura di informazione.

La procedura di accreditamento

La richiesta per l’ottenimento dell’accreditamento, da redigere in lingua italiana, deve inoltrarsi al Garante per la protezione dei dati personali per posta, a mano (alla sede di Roma dell’Autorità) o via email all’indirizzo odm.accreditamento@gpdp.it. L’accreditamento ha una durata massima di 5 anni, con facoltà, per il titolare del codice di condotta, di prevedere nello stesso una durata inferiore del mandato dell’ODM.

È fatta salva la possibilità, per il Garante, di avviare una revisione dell’accreditamento, ove quest’ultimo venga a conoscenza di elementi o fattori di rischio sopravvenuti che compromettano il rispetto dei requisiti di imparzialità dell’ODM o il corretto svolgimento dei suoi compiti, oppure si accerti la non conformità al GDPR delle misure adottate dallo stesso.

La richiesta di rinnovo dell’accreditamento dovrà essere inoltrata dall’ODM nel tempo massimo di tre mesi precedenti alla sua scadenza. La citata richiesta dovrà contenere le seguenti informazioni obbligatorie, elencate all’art. 2 del Provvedimento in esame:

  • dati identificativi del richiedente e, ove presenti, del suo rappresentante legale e dei soggetti dotati di attività decisionale nelle attività di controllo aventi rilevanza esterna;
  • codice fiscale e/o partita IVA, oltre al numero di iscrizione al registro delle imprese;
  • la residenza o la sede legale del richiedente, che deve essere all’interno del SEE (Spazio Economico Europeo)
  • l’eventuale censimento all’interno di INI-PEC o di IPA;
  • lo statuto e l’atto costitutivo, se società;
  • il recapito per le comunicazioni inerenti alla domanda di accreditamento;
  • la tipologia di ODM (esterno o interno);
  • il codice di condotta per il quale si richiede l’accreditamento;
  • l’ambito di applicazione del codice di condotta.

Nonché ogni altra documentazione utile a provare il possesso dei menzionati requisiti.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4