Codici di condotta e certificazione
I codici di condotta
Non devono essere confusi con i codici di deontologia e di buona condotta che il precedente Codice Privacy prevedeva per determinati settori di attività e che non furono mai proposti o approvati per taluni settori.
Si tratta di strumenti giuridici innovativi introdotti dal GDPR. Il GDPR incoraggia l’elaborazione di codici di condotta destinati a essere conformi ai principi di protezione dei dati, in funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese.
Le associazioni e gli altri organismi rappresentanti le categorie di titolari o responsabili possono elaborare i codici di condotta, modificarli o prorogarli, allo scopo di precisare l’applicazione del GDPR, ad esempio relativamente a:
a. il trattamento corretto e trasparente dei dati (obblighi di informazione all’interessato e principi applicabili al trattamento)
b. i legittimi interessi perseguiti dal titolare in contesti specifici (nel contesto della determinazione della base giuridica del trattamento)
c. la raccolta dei dati personali (minimizzazione dei dati, come richiesto dal principio di «data protection by design and by default» e dai principi applicabili al trattamento)
d. la pseudonimizzazione dei dati personali (obblighi di sicurezza e principi applicabili al trattamento, nonché «data protection by design and by default»)
e. l’informazione fornita al pubblico e agli interessati (rispetto agli stessi codici)
f. l’esercizio dei diritti degli interessati
g. l’informazione fornita e la protezione del minore e le modalità con cui è ottenuto il consenso dei titolari della responsabilità genitoriale sul minore
h. le misure e le procedure prescritte ai titolari e le misure volte a garantire la sicurezza del trattamento
i. la notifica di una violazione dei dati personali alle autorità di controllo e la comunicazione di tali violazioni dei dati personali all’interessato
j. il trasferimento di dati personali verso Paesi terzi o organizzazioni internazionali
k. le procedure stragiudiziali e di altro tipo per comporre le controversie tra titolari e interessati, fatti salvi i diritti degli interessati di reclamo e di risarcimento del danno.
Prima di essere esecutivi devono essere approvati: nel processo di approvazione sono coinvolte le autorità di controllo nazionali, il Comitato europeo della protezione dei dati («European Data Protection Board – EDPB») e la Commissione europea, in base alla estensione territoriale che il codice coinvolge.
Se il codice ha valenza all’interno dello Stato membro, l’autorità di controllo esprime un parere sulla conformità al GDPR del progetto di codice, della modifica o della proroga e approva tale progetto, modifica o proroga, se ritiene che offra in misura sufficiente garanzie adeguate. Se approvato, l’autorità di controllo lo registra e lo rende pubblico. Il monitoraggio dei codici di condotta può essere affidato a organismi accreditati dall’autorità di controllo.
Se il codice coinvolge trattamenti comuni in più Stati membri, l’autorità di controllo deve dapprima sottoporlo a parere dell’EDPB; se il parere è favorevole, tale parere è trasmesso alla Commissione europea che può decidere, mediante atti esecutivi, che il codice di condotta, la modifica o la proroga approvati hanno validità generale all’interno dell’Unione europea. In questo caso, la Commissione rende pubblici i codici approvati per i quali è stata decisa la validità generale. L’EDPB raccoglie in un registro tutti i codici di condotta, le modifiche e le proroghe approvati e li rende pubblici.
L’adesione a un codice di condotta può essere utilizzata – sia per titolari sia per responsabili – come elemento per dimostrare il rispetto degli obblighi del GDPR. L’adesione rappresenta sicuramente un marchio di qualità del titolare e del responsabile.
È importante sottolineare che possono aderire a codici di condotta anche titolari e responsabili che non sono soggetti al GDPR e l’adesione può essere strumento utile per fornire adeguate garanzie per i trasferimenti di dati personali verso Paesi terzi o organizzazioni internazionali.
L’EDPB ha adottato una definitiva versione di linee-guida sui codici di condotta il 4 giugno 2019, a seguito di consultazione pubblica. Tali linee-guida forniscono chiarimenti e hanno per obiettivo l’erogazione di assistenza pratica e interpretativa: intendono aiutare a chiarire le procedure e le regole da tenere in considerazione in sede di proposta, approvazione e pubblicazione dei codici di condotta, sia a livello nazionale che europeo. Determinano, inoltre, lo specifico ambito operativo di azione delle autorità di controllo competenti, dell’EDPB e della Commissione nella valutazione dei codici di condotta e razionalizzano le procedure coinvolte in tale processo di valutazione.
La certificazione
Il GDPR incoraggia anche la proposta di meccanismi di certificazione e di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al GDPR dei trattamenti effettuati dai titolari e dai responsabili, tenendo in considerazione le esigenze specifiche dei vari settori di attività e delle necessità delle micro, piccole e medie imprese.
La certificazione è volontaria e non esime il titolare e il responsabile dalle responsabilità riguardo alla compliance al GDPR. La certificazione deve essere approvata da organismi di certificazione o dall’autorità di controllo competente.
La certificazione è rilasciata al titolare e al responsabile per un periodo massimo di tre anni e può essere rinnovata alle stesse condizioni purché continuino a essere soddisfatti i requisiti pertinenti. La certificazione è revocata dagli organismi di certificazione (se la certificazione ha valenza in più Stati membri) o dall’autorità di controllo qualora non siano o non siano più soddisfatti i requisiti per la certificazione.
L’adesione a un meccanismo di certificazione può essere utilizzata – sia per titolari sia per responsabili – come elemento per dimostrare il rispetto degli obblighi del GDPR. L’adesione rappresenta sicuramente un marchio di qualità del titolare e del responsabile.
L’EDPB raccoglie in un registro tutti i meccanismi di certificazione approvati, i sigilli e i marchi di protezione dei dati e li rende pubblici con qualsiasi mezzo appropriato.
Titolari e responsabili che non sono soggetti al GDPR possono aderire a un meccanismo di certificazione e l’adesione può essere strumento utile per fornire adeguate garanzie per i trasferimenti di dati personali verso Paesi terzi o organizzazioni internazionali.
Per approfondire, consulta le FAQ oppure contattatami.