Gli articoli 40, 41 e 42 del GDPR si focalizzano sulla necessità di incentivare la stesura di codici di condotta, l’istituzione di meccanismi di certificazione della protezione dei dati e di sigilli e marchi di protezione dei dati.

Al fine di supportare questo processo, lo European Data Protection Board ha aperto una consultazione pubblica il 19 febbraio, con data di chiusura 2 aprile 2019, dal titolo:“Guidelines 1/2019 on Codes of Conduct and Monitoring Bodies under Regulation 2016/679”.

In particolare, tale guida ha lo scopo di fornire assistenza interpretativa in relazione all’applicazione degli articoli 40 e 41 del GDPR e più nel dettaglio:

  • le procedure per la presentazione di un codice di condotta;
  • le modalità per l’approvazione e la pubblicazione, sia a livello nazionale che europeo;
  • la definizione dei criteri minimi richiesti da un Competente Autorità di vigilanza, per effettuarne una revisione e valutazione;
  • alcune indicazioni relative al contenuto;
  • i requisiti per un efficace monitoraggio della conformità del codice.

Da questo documento restano esclusi i temi relativi alla certificazione, ai sigilli ed ai marchi, per cui probabilmente si dovrà attendere una consultazione ad hoc.

Infatti, l’articolo 70 del GDPR, al comma n), prescrive che il Comitato incoraggi “l’elaborazione di codici di condotta e l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati ai sensi degli articoli 40 e 42”.

 

Cosa sono i codici secondo il GDPR?

I codici di condotta secondo il GDPR sono strumenti di autodisciplina, su base volontaria, che stabiliscono regole specifiche di protezione dei dati per categorie dei “controllers” (titolari del trattamento) e dei “processors” (responsabili del trattamento).

Possono essere uno strumento utile per responsabilizzare, fornendo un dettaglio di quali comportamenti sono più appropriati, in termini legali ed etici.

Temi dei codici di condotta

Più in dettaglio, i codici di condotta possono riguardare temi quali:

  • trattamento equo e trasparente del dato;
  • interessi legittimi perseguiti dai responsabili del trattamento in contesti specifici;
  • raccolta dei dati personali;
  • pseudonimizzazione dei dati personali;
  • informativa;
  • esercizio dei diritti delle persone;
  • informazioni per la protezione dei bambini;
  • misure organizzative e di sicurezza;
  • notifica in caso di violazione;
  • trasferimenti di dati al di fuori dell’UE;
  • procedure di risoluzione delle controversie.

Processo di approvazione e altri requisiti

Prima che un draft di codice possa essere sottoposto per l’approvazione, deve contenere e rispettare alcuni elementi chiave:

  • una spiegazione chiara e concisa, sullo scopo del codice, l’ambito, come si intende facilitare la sua efficace applicazione;
  • documentazione di supporto per sostenere il progetto di codice e le motivazioni per la sua stesura;
  • essere presentato da un’associazione o consorzio di associazioni o altri organismi che rappresentano categorie di titolari e responsabili del trattamento, associazioni rappresentative di settori economici / commerciali, di organizzazioni di settore, gruppi di interesse; l’elemento importante è poter dimostrare di essere un organo rappresentativo efficace ed in grado di comprendere le esigenze dei propri membri e definire chiaramente attività o settori cui si intende applicare il codice;
  • specificare la territorialità per l’applicazione del codice;
  • indicare l’organismo di vigilanza competente sulla base dell’art. 55 del GDPR;
  • proporre meccanismi per il monitoraggio della conformità nella sua applicazione;
  • prevedere un processo di consultazione con le parti interessate;
  • fornire indicazione della legislazione nazionale che si applica.

Il capitolo 6 del documento è dedicato ai Criteri per l’approvazione dei codici, mentre i capitoli 7 ed 8 sono focalizzati sulla presentazione, accettazione ed approvazione, a livello nazionale il primo e trans-nazionale il secondo.

 

Requisiti per il monitoraggio dei codici di condotta

Per il monitoraggio dei codici si fa riferimento all’art. 41 del GDPR, che prevede sia effettuato da un organismo in possesso del livello adeguato di competenze riguardo al contenuto del codice e del necessario accreditamento a tal fine dell’autorità di controllo competente”.

L’accreditamento è condizionato ai seguenti requisiti:

  1. aver dimostrato in modo convincente all’autorità di controllo competente di essere indipendente e competente riguardo al contenuto del codice;
  2. avere posto in essere procedure che gli consentono di valutare l’ammissibilità dei titolari e dei responsabili del trattamento, relativi all’applicazione del codice in questione;
  3. controllare che detti titolari e responsabili ne rispettino il contenuto;
  4. periodicamente riesaminarne il funzionamento;
  5. aver istituito procedure e strutture atte a gestire i reclami relativi a violazioni del codice;
  6. dimostrare che i compiti e le funzioni che svolge non generano conflitti di interessi.

Il processo di accreditamento degli organi di monitoraggio è descritto nel capitolo 12 e prevede il check di tutti i punti su elencati. Infine, si ricorda che l’articolo 41, paragrafo 6, del GDPR prevede che il monitoraggio dei codici di condotta non si applica al trattamento effettuato da autorità o enti pubblici.