Il Comitato Europeo dei Garanti per la Protezione dei Dati Personali (EDPB) ha recentemente sottoposto a consultazione pubblica – scadenza il 2 aprile scorso – le linee guida in materia dei codici di condotta di cui agli articoli 40 e 41 del Regolamento (UE) 2016/679 (c.d. “GDPR”), (ri)animando il dibattito sugli stessi e, in generale, sul ruolo della soft law nel sistema privacy.
Nella loro attuale formulazione, i codici di condotta sono lo strumento che il legislatore europeo ha individuato per contestualizzare l’applicazione del GDPR, oltre che in funzione delle specificità dei vari settori di trattamento, anche per tener conto delle esigenze delle micro, piccole e medie imprese.
A tal fine, la loro elaborazione è stata demandata alle associazioni e agli altri organismi rappresentanti le categorie a cui fanno capo i titolari e/o i responsabili di trattamento appartenenti a determinate tipologie, tenendo conto delle osservazioni e opinioni delle parti interessate che devono essere consultate (Cons. 99).
Attraverso i codici di condotta possono così essere stabiliti in via generale, per tutti gli aderenti, quali siano i fondamenti di liceità su cui basare il trattamento di dati e le modalità specifiche attraverso le quali effettuare la raccolta dei dati personali, la notifica/comunicazione di una violazione dei dati personali alle autorità di controllo e all’interessato, e quelle volte a garantire la pseudonimizzazione dei dati.
I codici di condotta possono altresì individuare le misure e le procedure conformi agli articoli, 25 e 32 GDPR e forme standardizzate di informativa e raccolta del consenso (da fornire al pubblico e agli interessati, anche minori) e di esercizio dei diritti degli interessati, così come procedure per comporre le controversie (tra titolari del trattamento e interessati) e modalità di trasferimento di dati personali verso paesi terzi ed organizzazioni internazionali.
Più in generale, essi possono stabilire i criteri per un trattamento corretto e trasparente dei dati personali.
Codici di condotta, un rilancio sull’autoregolamentazione
In tal modo, viene offerta alle associazioni e agli organismi di categoria un’importante opportunità di autoregolamentazione e alla luce del principio di accountability, i codici di condotta – definendo i principi e i comportamenti che dimostrano l’adeguatezza rispetto alla normativa sulla protezione dei dati personali – si configurano come uno strumento particolarmente efficace per ridurre l’alea di incertezza e i rischi di non conformità dell’associato che a tali principi e comportamenti si conformi.
Prova ne è che l’adesione ad un codice di condotta è utilizzata come elemento per dimostrare il rispetto degli obblighi in materia di trattamento dei dati personali e la conformità ai requisiti di sicurezza (cfr. Cons. 77, 81, artt. 24, 33 GDPR) da parte dei Titolari e per giudicare la sussistenza in capo al responsabile del trattamento di garanzie sufficienti per mettere in atto le misure tecniche e organizzative adeguate (art. 28 GDPR), oltre che per valutare l’impatto del trattamento (Cons. 35).
Prova ne è, ancora, che l’autorità di controllo, al momento di decidere se infliggere una sanzione amministrativa pecuniaria ex art. 83 GDPR e di fissare l’ammontare della stessa, deve tenere in debita considerazione l’eventuale adesione da parte del soggetto ad un codice di condotta approvato.
La forza dello strumento in esame si ricava, inoltre, dai meccanismi che ne assicurano il rispetto da parte degli aderenti. Anche sotto questo profilo il GDPR ha potenziato l’efficacia dei codici di condotta introducendo la figura di organismi accreditati preposti a controllarne la conformità normativa e l’osservanza, secondo meccanismi previsti nei codici stessi; nonché titolati ad adottare, “salvi i compiti e i poteri delle autorità di controllo competenti” e “stanti garanzie appropriate, le opportune misure in caso di violazione del codice da parte di un titolare del trattamento o responsabile del trattamento, tra cui la sospensione o l’esclusione dal codice del titolare del trattamento o del responsabile del trattamento” (così l’art. 41 GDPR).
Il ruolo (sempre più) centrale dei Garanti privacy
Il potere di autoregolamentazione dei privati è comunque mitigato dal ruolo centrale svolto dall’autorità di controllo competente (che per l’Italia è sempre il Garante Privacy). In tal senso, il Garante è chiamato ad esprimere un parere sul progetto di codice (o sulla relativa modifica o proroga) e se ritiene che lo stesso offra in misura sufficiente garanzie adeguate di conformità al GDPR lo approva, lo registra e infine lo pubblica. Ed è solo l’adesione e applicazione di un codice di condotta approvato che rileva ai fini della valutazione circa il rispetto degli obblighi privacy.
Inoltre, è sempre il Garante che accredita gli organismi preposti a controllare la conformità normativa e l’osservanza ai codici di condotta di cui sopra, a tal fine valutandone competenza, indipendenza/assenza di conflitti di interesse e procedure adottate (es. circa l’applicazione, il rispetto del codice e la gestione dei reclami), nonché vigilando sul rispetto del GDPR da parte degli stessi, pena la revoca dell’accreditamento.
Ora, prima di analizzare gli scenari futuri – come noto ad oggi, i codici di condotta ex art. 40 GDPR non sono ancora stati emanati – è opportuno un passo indietro per analizzare gli strumenti che in base alla nostra normativa nazionale (in ambito privacy) si affiancano/affiancavano ai codici di condotta: i codici di deontologia e buona condotta da un lato e le regole deontologiche dall’altro lato.
Gli “antenati” dei codici di condotta
I primi, i codici di deontologia e buona condotta, erano previsti dall’art. 12 del vecchio Codice Privacy. Si trattava di 7 codici elaborati per specifici settori nell’ambito delle categorie di riferimento la cui verifica di conformità alle leggi e ai regolamenti era demandata al Garante Privacy che a tal fine prendeva in considerazione anche le eventuali osservazioni di soggetti interessati e poi ne curava la pubblicazione nella Gazzetta Ufficiale della Repubblica italiana e l’inserimento nell’Allegato A del vecchio Codice Privacy.
Il rispetto delle disposizioni contenute nei suddetti codici costituiva condizione essenziale per la liceità e correttezza del trattamento dei dati personali effettuato dai soggetti operanti nei settori regolati dai codici stessi.
I codici di deontologia e buona condotta, anche se non sono più previsti dalla normativa attuale, nella sostanza sono stati ribattezzati e, in attuazione dell’art. 20, comma 4, del d.lgs. 101/2018, previa verifica del Garante Privacy (e senza consultazione pubblica), si sono trasformati nel nucleo originario del secondo strumento in esame, le regole deontologiche. In particolare, essi consistono ora nelle regole deontologiche (i) per trattamenti a fini statistici o di ricerca scientifica; (ii) per il trattamento a fini di archiviazione nel pubblico interesse o per scopi di ricerca storica; (iii) per trattamenti a fini statistici o di ricerca scientifica effettuati nell’ambito del Sistema Statistico nazionale; (iv) relative ai trattamenti di dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria, tutte del 19 dicembre 2018 e (v) relative al trattamento di dati personali nell’esercizio dell’attività giornalistica, del 29 novembre 2018.
Tali regole derivano direttamente dai Codici di deontologia e di buona condotta allegati al Codice Privacy antecedente al d.lgs. 101/2018 sub A.1 (Codice di deontologia per i trattamenti dei dati personali nell’esercizio dell’attività giornalistica), A.2 (Codice di deontologia per i trattamenti dei dati personali per scopi storici), A.3 (Codice di deontologia per i trattamenti dei dati personali a scopi statistici e di ricerca scientifica effettuati nell’ambito del sistema statistico nazionale Sistan), A.4 (Codice di deontologia per i trattamenti di dati personali per scopi statistici e scientifici) e A.6 (Codice di deontologia per i trattamenti dei dati personali effettuati per svolgere investigazioni difensive).
Codici di condotta e regole deontologiche: una stretta relazione
Fanno eccezione a tale processo di conversione due degli ex codici di deontologia e buona condotta e segnatamente, il Codice di deontologia e di buona condotta per i Sistemi Informativi gestiti da soggetti privati in tema di Crediti al consumo (SIC), affidabilità e puntualità nei pagamenti (ex allegato A.5) e il Codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale, rispettivamente riportati negli allegati A5 e A7 al previgente Codice Privacy.
Ai sensi dell’art. 20, comma 1, del D. Lgs. 101/2018 per tali codici è in corso un processo (di adeguamento al GDPR e) di conversione in codici di condotta ex art.40 GDPR e, a tal fine, gli stessi sono stati sottoposti al Garante privacy dalle associazioni e gli altri organismi rappresentanti le categorie interessate. Ora il Garante ha 6 mesi di tempo da quando gli sono stati sottoposti per approvarli o rigettarli e nel frattempo, ma comunque non oltre il 19 settembre 2019, i codici rimarranno in vigore.
Da quanto sopra emerge una stretta relazione tra codici di condotta e regole deontologiche.
Tuttavia, nonostante la radice comune (almeno per i due codici di condotta ex lege ai sensi dell’art. 20, comma 1, del D. Lgs. 101/2018), si tratta di due strumenti profondamente diversi. Da un lato, come per i vecchi codici di deontologia e buona condotta, il rispetto delle regole deontologiche costituisce condizione essenziale per la liceità e correttezza del trattamento dei dati personali e il mancato rispetto delle stesse comporta l’applicazione della temibile sanzione amministrativa pecuniaria di cui all’art. 83.5 GDPR (cfr. artt. 2-quater, comma 4, e 166, comma 2, Codice Privacy).
Dall’altro lato, i codici di condotta, costituiscono invece lo strumento principe di autoregolamentazione in quanto elaborati dalle associazioni e/o altri organismi rappresentanti categorie di titolari o responsabili del trattamento e presidiati dagli organismi accreditati.
Come sopra detto, l’applicazione (o mancata applicazione) dei codici di condotta che siano stati approvati dall’autorità di controllo costituisce un parametro che può essere utilizzato sia per dimostrare la conformità al GDPR, sia per decidere l’an e il quantum delle sanzioni o misure applicabili. Essi pertanto costituiscono degli indicatori e, se pur significativi, non hanno la valenza di vere e proprie condizioni di liceità come è per il caso delle regole deontologiche.
Infine, fatta eccezione per i SIC e per le informazioni a fini commerciali, il legislatore non ha predeterminato (come invece per le regole deontologiche) in quali settori i codici possono essere impiegati e ora che sono intervenute le Linee Guida dell’EDPB sui Codici di Condotta e sugli Organismi di Monitoraggio, non è difficile immaginare che i codici verranno largamente impiegati.
Le linee guida, fissando i criteri per l’uniforme applicazione dei codici in tutta l’Unione Europea, hanno di fatto individuato i margini per l’applicazione futura di tale istituto.
Più forza ad associazioni e organismi promotori
Tra le loro previsioni più significative, le linee guida, oltre a confermare le previsioni del GDPR, hanno stabilito il principio di rappresentatività delle associazioni e organismi promotori (c.d. “titolari del codice”) da valutarsi secondo criteri quantitativi (es. numero o percentuale di titolari o responsabili del trattamento aderenti) e qualitativi (es. esperienza nel settore di trattamento) e precisato i requisiti redazionali e di approvazione dei codici che, in primo luogo, devono definire il proprio ambito di applicazione settoriale e territoriale, specificare modalità di applicazione specifica, pratica e precisa del GDPR, soddisfare esigenze particolari di un determinato settore o attività di trattamento, facilitare l’applicazione del GDPR, fornire sufficienti garanzie e meccanismi efficaci per controllare il rispetto del codice stesso.
Inoltre, con riferimento agli organismi di controllo, le linee guida hanno specificato che – data la flessibilità lasciata dall’art. 41 GDPR circa il tipo e la struttura dell’organismo di controllo, lo stesso può essere di natura interna ovvero esterna, di tipo collegiale o monocratico, purché soddisfi otto requisiti.
Si tratta, in particolare, dei requisiti per ottenere l’accreditamento da parte dell’autorità di controllo e che consistono in: (i) indipendenza, (ii) assenza di conflitto di interessi, (iii) competenza, (iv) possesso di strutture e procedure di governance adeguate che consentano all’organismo di valutare l’idoneità dei titolari e responsabili del trattamento ad applicare il codice, vigilare sulla conformità alle disposizioni del codice, effettuare revisioni circa il funzionamento del codice, (v) possesso di procedure e strutture efficaci per la gestione imparziale e trasparente dei reclami, (vi) efficace comunicazione con l’autorità di vigilanza competente, (vii) adozione di meccanismi di revisione per garantire che il codice continui a contribuire alla corretta applicazione del GDPR e per adeguarlo a cambiamenti nell’applicazione e nell’interpretazione della legge o a sviluppi tecnologici e (viii) status giuridico: l’organismo di controllo deve avere la qualifica adeguata per adottare le opportune misure in caso di violazione del codice e deve poter essere sanzionato, in concreto, ai sensi dell’articolo 83.4, lett. c), GDPR laddove venga meno ai proprio obblighi.
Infine, le linee guida hanno rafforzato il requisito di “previa consultazione” di cui al Considerando 99 che indica che quando si redige (o si modifica/estende) un codice, dovrebbe aver luogo una adeguata consultazione con le parti interessate, e hanno dunque previsto l’obbligo per il titolare del codice di fornire pertinenti e specifiche motivazioni ostative nei casi in cui non si proceda alla consultazione con le parti interessate.
Codici di condotta, vantaggi e limiti
Non si può tacere il fatto che, a seconda del settore considerato e del livello e della natura delle consultazioni richieste, tale requisito complichi notevolmente, sia sotto un profilo procedurale, sia dal punto di vista politico-negoziale il processo di adozione dei codici e, quindi, di formalizzazione e ufficializzazione delle best practices che gli stessi sono finalizzati ad affermare.
Tuttavia, a dispetto di tale significativa complicazione, va apprezzato l’indubbio valore aggiunto apportato dai codici di condotta sul piano della applicazione pratica, come opportunità per stabilire standard realistici e raggiungibili per gli appartenenti al settore di riferimento e, al tempo stesso, per migliorare la trasparenza nei confronti dei singoli individui per quanto riguarda il trattamento dei loro dati personali.
Tirando le fila, nella loro attuale configurazione, i codici possono contribuire concretamente alla corretta applicazione del GDPR, consentendo di codificare in modo pratico, trasparente e potenzialmente efficace, anche sotto il profilo dei costi, soluzioni applicative che rispondano alle peculiarità di determinati settori, organizzazioni e gruppi di interesse e/o a specifiche tipologie di trattamento. Pertanto, si prevede – e al tempo stesso si auspica – una loro rapida e ampia diffusione.
SUL TEMA VEDI L’EVENTO DEL 28 MAGGIO
