Dopo circa due anni dall’insediamento, si può iniziare a tracciare un primo bilancio ed a fare alcune considerazioni sulla concreta esperienza operativa di quello che è stato il primo Codice di Condotta approvato ed entrato in funzione in Europa, dopo l’introduzione del GDPR.
Al di là delle prescrizioni sul ruolo dei Codici di Condotta e dei relativi Organismi di Monitoraggio (“OdM”), contenute nell’art. 40 del GDPR, la definizione delle regole e modalità di funzionamento degli OdM ma anche addirittura il loro status giuridico, erano una pagina completamente da scrivere nel 2021, quando si è insediato l’OdM sulle Informazioni Commerciali che ho l’onore di presiedere.
Proviamo a vedere come è stata scritta questa pagina e come si è instaurata una trasparente e proficua collaborazione con il Garante per la Protezione dei Dati Personali ed in particolare con il Dipartimento realtà economiche e produttive, a pieno beneficio degli interessati e del settore economico delle Informazioni Commerciali, che è deputato a garantire la certezza e sicurezza delle transazioni commerciali.
Gli ambiti disciplinati e le policy operative
Il primo passo è stato redigere e concordare con il Garante un regolamento interno di funzionamento che disciplina ambiti quali:
- l’organizzazione dei lavori dell’OdM
- la convocazione, il voto e la modalità di assunzione delle delibere dell’OdM
- gli obblighi dei componenti dell’OdM
- le modalità di finanziamento e l’articolazione delle tariffe di adesione.
Dal regolamento interno, sono derivate quattro policy operative di dettaglio che hanno riguardato le materie più sensibili relative al funzionamento dell’OdM. In particolare, sono state varate:
- una policy per la gestione delle verifiche e controlli sui soggetti aderenti al Codice di Condotta
- una policy per la gestione dei reclami che arrivano all’OdM
- una procedura e processo per la gestione dei conflitti di interesse dei membri dell’OdM e dei fornitori coinvolti
- una policy per la scelta e gestione dei rapporti con i terzi fornitori.
In parallelo al varo del sito web che dà trasparenza a tali policy e rendiconta i fatti salienti dell’attività dell’OdM, nella seconda parte del 2021, sono iniziate le prime attività di verifica sugli operatori aderenti al Codice.
Le verifiche realizzate dall’OdM
L’OdM ha deciso di effettuare un numero di verifiche annue pari a circa il 20% del totale delle imprese aderenti, dandosi quindi l’obiettivo di completare la verifica, per almeno una volta, di tutte le imprese aderenti (oggi pari a 47 unità), entro il termine quinquennale di durata della carica degli attuali cinque componenti.
Le verifiche sono realizzate dall’OdM, per il tramite di due società specializzate in materia di data protection (InVeo e P4I), mentre le imprese oggetto di verifica sono sorteggiate con procedure casuali ed assegnate alla verifica dei partner a rotazione.
Fino ad oggi l’OdM ha realizzato 16 verifiche sui soggetti aderenti al Codice, riscontrando, in taluni casi, delle non conformità e facendo quindi dei rilievi nel proprio giudizio.
L’approccio all’attività di verifica da parte dell’OdM
Tuttavia, l’attività di verifica realizzata dall’OdM non ha le stesse caratteristiche delle ispezioni effettuate dal Garante direttamente o per il tramite del nucleo Privacy della Guardia di Finanza. Infatti, l’approccio all’attività di verifica da parte dell’OdM, pur nel necessario rigore garantito da procedure e check list molto puntuali, ha un carattere quasi “consulenziale” verso le aziende oggetto di audit e si traduce anche in una serie di indicazioni su come applicare al meglio le prescrizioni del Codice di Condotta.
Ciò non impedisce che la fotografia che eventualmente venga effettuata di situazioni di non conformità, specie se gravi e ricorrenti, diventi poi oggetto di rilievi ed eventualmente anche di sanzioni importanti (quali ad esempio anche l’esclusione dell’azienda dal Codice).
La dimensione delle sanzioni applicate dall’OdM
Cionondimeno, la dimensione delle sanzioni applicate dall’OdM e soprattutto l’approccio di accompagnamento verso una più puntuale compliance da parte dell’azienda, limita di molto i rischi per le imprese aderenti, che si possono anche fregiare di un bollino di “conformità” al Codice, rilasciato dall’OdM.
È anche per questo che l’esperienza di questi primi due anni di funzionamento dell’OdM è considerata, da molte parti, come estremamente positiva e win-win per le seguenti motivazioni:
- da un lato le imprese hanno un soggetto che, nell’ambito delle verifiche, le aiuta ed accompagna ad aumentare la consapevolezza e concreta attuazione delle prescrizioni normative (leggi e Codici) in materia di protezione dei dati, diminuendo di conseguenza i rischi ed aumentando la propria immagine sul mercato
- dall’altro lato, il Garante ha un interlocutore credibile attraverso il quale può meglio conoscere le dinamiche di mercato, oltre ad avere un “partner” che lo aiuta a meglio presidiarlo, aumentandone al contempo il livello di consapevolezza e complessiva compliance di tutti gli operatori.
Conclusioni
Ecco, quindi, che l’OdM del Codice di Condotta sulle Informazioni Commerciali si sta dimostrando quel vero “cuscinetto” tra il pubblico ed il privato che permette alle due parti di meglio conoscere le reciproche dinamiche e di creare quella vera sinergia e concreta attuazione dei principi del GDPR che probabilmente i legislatori europei avevano immaginato nel dare molta enfasi ai Codici di Condotta.