del
9/7/2019
, sorgente
Aligi Pilotto, Data Protection Consultant
Il General Data Protection Regulation (GDPR) ha introdotto nell’ordinamento giuridico Europeo un sistema di regole piuttosto rigido, soprattutto nella determinazione dei diritti fondamentali delle persone fisiche in materia di trattamento dei dati personali.
Al contrario, il GDPR prevede anche norme più flessibili che si adattino facilmente alla velocità di evoluzione e del cambiamento tecnologico tipica del nostro secolo, cercando una soluzione alla necessità di libera circolazione dei dati personali.
In molti casi, i Codici di Condotta (regolati dall’art. 40 GDPR) rappresentano un buon punto di equilibrio tra la libera circolazione e utilizzo dei dati e la tutela primaria dei diritti fondamentali delle persone fisiche coinvolte.
L’European Data Protection Board (EDPB), organismo europeo indipendente che vigila sull’applicazione coerente delle norme sulla protezione dei dati e che promuove la cooperazione tra le autorità competenti, ha recentemente adottato la versione finale delle Linee Guida per l’elaborazione dei Codici di Condotta.
Le Linee Guida, in applicazione degli art. 40 e 41 GDPR dovrebbero chiarire le procedure e le regole per la predisposizione e approvazione da parte delle Autorità nazionali dei Codici di Condotta.
Come previsto dall’art. 40 GDPR, infatti, l’elaborazione di un Codice di Condotta rappresenta lo strumento per ottenere una corretta applicazione del GDPR.
L’importanza dei Codici di Condotta nelle imprese
Il Codice di Condotta è un modo per assicurare la corretta gestione delle norme previste dal GDPR, e viene creato tenendo in considerazione le caratteristiche dei vari settori di trattamento coinvolti e soprattutto le esigenze specifiche di micro, piccole e medie imprese.
I Codici di Condotta rappresentano pertanto uno strumento strategico nella gestione della privacy compliance e sono a tutti gli effetti un’importante fonte secondaria per stabilire specifici criteri di un trattamento di dati personali corretto e trasparente. Rientrando nella categoria di soft law non implicano l’assunzione di un obbligo giuridico vincolante, ma rappresentano delle indicazioni importanti.
Associazioni o altri organismi rappresentanti le categorie di Titolari o Responsabili del trattamento possono quindi elaborare i propri codici di condotta con l’obiettivo di ridurre le aree di incertezza e i rischi conseguenti alla non conformità alle norme in materia.
In ottica di Accountability, i Codici di Condotta rappresentano una “autoregolamentazione” fondamentale e grazie ad essi è possibile dimostrare il rispetto agli obblighi della normativa privacy e agli standard di sicurezza nei trattamenti di dati personali.
I Codici di Condotta rappresentano pertanto delle Best Practices condivise tra categorie di Titolari e Responsabili per assicurare all’interessato un corretto e trasparente trattamento dei suoi dati personali.
L’importanza di questo strumento è evidenziata anche dall’art. 57, par. 1 lett. m): l’Autorità di controllo deve infatti incoraggiare l’elaborazione di Codici di Condotta e si impegna a fornire un parere sui Codici autoprodotti e ad approvarli.
Iscriviti alla Newsletter per ricevere il Privacy Digest che include un riepilogo bisettimanale degli ultimi articoli del Blog e le ultime novità di UTOPIA.
Cosa succedeva prima del GDPR?
I Codici di Condotta previsti dal Regolamente Europeo non sono una novità assoluta. I loro precursori erano previsti dall’art. 12 del Codice Privacy, D.lgs n. 196/2003 e si trattava di 7 codici elaborati per specifici settori.
La verifica della loro conformità alle leggi e ai regolamenti spettava al Garante per le protezione dei dati personali che, a tal fine, prendeva in considerazione anche eventuali osservazioni dei soggetti interessati e poi ne curava la pubblicazione nella Gazzetta Ufficiale della Repubblica italiana e l’inserimento nell’Allegato A del vecchio Codice Privacy. Il rispetto delle disposizioni contenute nei Codici di Deontologia e Buona Condotta costituiva condizione essenziale per la liceità e correttezza del trattamento dei dati personali.
A seguito anche dell’introduzione del D.lgs n. 101/2018, i Codici di Deontologia e Buona Condotta sono stati sostituiti dalle Regole Deontologiche. Possiamo citare, ad esempio, quelle relative al trattamento di dati personali nell’esercizio dell’attività giornalistica, del 29 novembre 2018, o quelle relative ai trattamenti di dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria, del 19 dicembre 2018.
Le nuove Linee guida per i Codici di Condotta
Durante la seduta plenaria dell’EDPB del 4 giugno 2019, l’organismo Europeo ha adottato le “Linee Guida sull’accreditamento di organismi che monitorino l’osservanza di Codici di Condotta” e “Linee Guida per l’istituzione di meccanismi di certificazione”.
Le prime Linee Guida mirano ad aiutare gli Stati membri, le autorità di vigilanza e gli organismi nazionali di accreditamento a stabilire una linea di base coerente e armonizzata per l'accreditamento degli organismi di certificazione. Questi organismi avranno l’autorità di rilasciare la certificazione di conformità dei Codici di Condotta al GDPR. Le seconde -invece- intendono identificare i criteri generali che possono essere rilevanti per tutti i tipi di meccanismi di certificazione emessi ai sensi dell'art. 42 e art. 43 GDPR.
Il Garante Privacy Italiano, il 20 marzo 2019, ha stipulato la prima Convenzione sull’argomento che ha come “obiettivo la definizione dei rapporti di collaborazione tra l’Autorità e Accredia ai fini dello scambio di informazioni e aggiornamenti relativamente alle attività di accreditamento ai sensi dell’art. 43 del Regolamento, finalizzate ad attestare che un determinato organismo di certificazione soddisfi i requisiti stabiliti dalla norma UNI CEI EN ISO/ IEC 1765 e dall’art. 43 del Regolamento, per il rilascio delle certificazioni ai sensi dell’art. 42 dello stesso Regolamento”.
La Convenzione, in questo senso, rappresenta un primo passo fondamentale e un segnale inequivoco della volontà del Garante Italiano: nel processo di attribuzione della qualifica di Ente Certificatore, Accredia dovrà attenersi a specifici criteri che andranno individuati univocamente e in breve tempo.
L’adesione a Codici di Condotta e l’esibizione di Certificazioni rilasciate da enti accreditati rappresenterà con assoluta certezza un plus per le Aziende italiane. Nel futuro, non molto lontano, potranno addirittura rappresentare requisiti necessari ad esempio per la partecipazione a bandi di gara pubblici o privati.
Pertanto, l’elaborazione e la conseguente adesione da parte di Titolari e Responsabili a Codici di Condotta approvati dall’Autorità Garante costituirà una priorità essenziale e una risorsa strategica per la competitività delle PMI italiane.