Il Garante per la Protezione dei Dati Personali, negli ultimi anni, ha approvato alcuni Codici di Condotta – istituto previsto dagli artt. 40 e 41 del GDPR. Altrettanto ha fatto il Garante europeo EDPB ed altri Garanti di Stati membri.
Si tratta di una delle novità all’epoca introdotte dalla disciplina privacy UE.
L’importanza dei Codici di Condotta per le associazioni di settore
Associazioni di categoria che rappresentano gli attori di un determinato settore possono così sottoporre al proprio Garante nazionale un “codice” che regola il dettaglio di come viene applicata la disciplina del GDPR in quel settore.
È uno strumento molto interessante perché le principali incertezze sull’applicazione del GDPR si hanno in meccanismi che sono noti e compresi sino in fondo solo dalle imprese che lavorano quotidianamente in un certo settore e la presenza di un Codice di Condotta può fare da guida ai Garanti nelle attività di controllo del settore regolato dal Codice di Condotta: il Codice descrive come devono essere trattati i dati per le varie attività e i Garanti sanno così dove andare a cercare, cosa chiedere, come interpretare i processi che si riscontrano e sono in grado di individuare rapidamente e con efficacia le criticità meritevoli di sanzioni.
Vantaggi dei Codici di Condotta
Si vedano, ad esempio, le recenti sanzioni del Garante in materia di telemarketing, i cui provvedimenti – a più riprese – richiamano il relativo Codice di Condotta, indicato come una linea guida da seguire per chi opera nel settore, a prescindere dall’adesione.
Al contempo, avere un Codice di Condotta è un ausilio fortissimo per chi organizza i flussi di trattamento dati di una certa impresa: nel Codice normalmente si trovano risposte a come organizzare l’informativa, come chiedere i consensi, quali sicurezze adottare, ecc. Si tratta di disposizioni che non possono certo derogare ai principi del GDPR: sono pensate per delinearne l’interpretazione accettata dalle imprese e dal rispettivo Garante.
Se lo strumento acquisisse forza e riconoscibilità da parte degli utenti, sarebbe possibile – probabilmente – anche introdurre per questa via sistemi più semplici e “a misura d’uomo” di applicazione del GDPR. Ad esempio, si potrebbe descrivere in un Codice di Condotta quali sono i normali processi di trattamento dati che si effettuano in un certo settore e richiamare il medesimo nell’informativa, che potrebbe evidenziare solo i trattamenti diversi e quelli “ad alto rischio” con un approccio simile a quello proposto dall’AI Act.
Infatti, le informative attuali risultano decisamente troppo dense di informazioni per l’utente comune, dovendo descrivere qualsiasi processo di trattamento dati personali: l’utente normale smette di leggere quando vede che l’informativa dice che i dati saranno trattati per emettere le fatture e fa fatica a distinguere quali siano i trattamenti “normali” e quelli effettivamente suscettibili di arrecare pregiudizio.
Sfide e limiti attuali
A distanza di 6 anni dall’entrata in vigore del GDPR i Codici di Condotta si contano ancora però sulle dita di una mano o quasi. Basti pensare che in Francia ci sono solo due codici di condotta accreditati, in Italia quattro e numeri simili hanno anche gli altri Stati membri UE.
In Italia, alcuni dei Codici di Condotta approvati faticano a partire per la difficoltà di avviare il funzionamento del rispettivo Organismo di Monitoraggio.
Contribuisce con ogni probabilità a tale scarso successo il fatto che i Codici approvati, piuttosto che sistemi per innovare e semplificare il trattamento dei dati personali, sembrano – in gran parte – delle mere compilazioni riassuntive di quali siano le prassi di trattamento dati risultanti dalle decisioni del Garante nazionale e, anche qui, perdono mordente perché riassumono precetti già direttamente o indirettamente cogenti per tutti senza “innovare” e portare agli aderenti un effettivo vantaggio nel rapporto con l’utenza.
Il ruolo degli organismi di monitoraggio
Forse il vantaggio potrebbe essere quello di avere un monitoraggio da parte dell’Organismo a ciò delegato che è in grado di indirizzare e segnalare in via preventiva le criticità, prima che le stesse arrivino al punto da provocare l’intervento sanzionatorio del Garante.
È possibile che nella scelta di chi ispezionare i Garanti prediligano le imprese che non hanno ritenuto di aderire al Codice di Condotta e/o quelle che, avendo aderito, sono state segnalate al Garante da parte dell’Organismo di Monitoraggio, in quanto sono state riscontrare possibili non conformità.
I Codici di Condotta, infatti, possono infatti (ma non è obbligatorio) prevedere che il loro rispetto sia controllato prima che dal Garante, da un organismo auto-costituito, che funziona sulla base di criteri di indipendenza ed imparzialità previsti dal GDPR e che approva l’adesione al Codice da parte di chi la richiede, verificando periodicamente i soggetti aderenti e gestendo le segnalazioni degli utenti dei servizi previsti dal Codice nei confronti degli Aderenti.
Problemi normativi e proposte di miglioramento
Occorre a questo punto domandarsi se ci sia qualcosa nella disciplina dei Codici di Condotta che rende difficile la loro approvazione e/o messa in funzione e cosa si potrebbe fare? Si tratta di problemi normativi che richiedono per forza di cose revisione del GDPR o il problema è risolvibile dai singoli Garanti?
Ad avviso di chi scrive ciò che frena i Codici di Condotta è anzitutto una eccessiva rigidità del GDPR che, all’art. 41, richiede requisiti di indipendenza degli Organismi di Monitoraggio non solo dagli aderenti al Codice (cosa ragionevole) ma anche dall’associazione/i proponenti e, addirittura, da coloro che hanno lavorato alla sua stesura. A seguire alla lettera le Linee Guida bisognerebbe trovare personalità molto esperte di un certo settore che però non abbiano alcun rapporto né con le associazioni di categoria che presidiano il settore e nemmeno con le imprese che in esso operano e che, per giunta, non abbiano avuto nulla a che fare con la stesura del Codice di Condotta: ciò non è sempre possibile e la necessità di individuare deroghe approvate dal Garante rallenta certamente i lavori.
Confronto con altri settori e prospettive future
Se guardiamo ai settori che fanno uso di autoregolamentazione “privata” e relativa verifica, quale ad esempio quello bancario, e, in un certo senso, anche quello delle professioni regolate, scopriamo che gli enti deputati ad assicurare l’applicazione della autoregolamentazione sono costituiti o dalle associazioni di settore o dai soggetti che si impegnano ad essere verificati: così per il Conciliatore Bancario, l’Organismo Agenti Mediazione, gli Ordini Professionali (che sono comunque eletti e governati dalla categoria vigilata), gli organismi di mediazione, ecc.
Le Linee Guida dell’EDBP
La suddetta rigidità dell’art. 41 GDPR – che peraltro prevede che gli Organismi di Monitoraggio siano anche sanzionabili dai Garanti – ha prodotto Linee Guida dell’EDBP (European Data Protection Board) molto tranchant e che non lasciano il sufficiente margine di discrezionalità ai Garanti nazionali nell’implementare lo strumento e ai proponenti per costruirlo.
Le linee guida italiane sui Codici di Condotta
Se poi guardiamo le Linee Guida italiane sui Codici di Condotta, vediamo che esse sono per lo più ripetitive di quelle europee quando invece sarebbe stato lecito aspettarsi che contenessero interpretazioni ed indicazioni per applicare le medesime nel contesto dell’ordinamento italiano.
Difficoltà normative e operative degli Organismi di Monitoraggio
Uno dei temi che stanno generando più incertezze è quello della forma giuridica degli organismi di monitoraggio: si dirà che è un tema secondario e da appassionati di legalese, ma, a ben vedere è centrale: se il migliore Codice di Condotta non riesce a trovare una efficace organizzazione di chi è chiamato a monitorarlo è impensabile che possa essere efficacemente applicato tra tutti gli aderenti: solo le imprese più grandi darebbero attuazione.
Ebbene, la difficoltà relativa alla forma giuridica degli organismi di monitoraggio è quella (i) di organizzare l’entità che assume il compito di monitorare in maniera da essere, al contempo, indipendente da chi promuove il Codice ed indipendente da chi aderisce: la soluzione potrebbe essere quella di costituire l’entità tra i componenti dell’organismo ma, anche qui, sorgono possibili criticità perché l’entità dovrebbe rimanere nel tempo, anche quando i componenti cessano la carica. Le Linee Guida del Garante, al riguardo, non specificano se l’organismo debba costituirsi come associazione, società commerciale o altro.
Aggiunge complessità il fatto che gli enti del terzo settore – tra cui le associazioni – sono in un momento di forte riforma e cambiamento normativo e le nuove norme non sembrano inquadrare chiaramente quale sia la natura dell’attività di un organismo di monitoraggio.
Comparazione internazionale: come funzionano i Codici di Condotta in Europa
Contribuisce all’incertezza di cui sopra il fatto che il Garante italiano – diversamente dai suoi omologhi europei e dall’EDPB, non accredita un ente (associazione, società, consorzio, ecc.) a fare l’organismo di monitoraggio ma – almeno sino ad ora – accredita singoli individui i quali hanno così l’onere di trovare una forma giuridica – come si è detto – organizzandosi tra loro. A questo riguardo è facile immaginare come professionisti, chiamati ad assumere la responsabilità uti singulo debbano verificarne di persona la compatibilità con la propria attività, il regime assicurativo, ecc. allungando ulteriormente i tempi.
È da rilevare però che all’estero (es. in Francia, Germania e Belgio) viene accreditato non un gruppo di singoli componenti ma una società già esistente: ad esempio un ente di certificazione, una società di revisione contabile o, addirittura, una associazione indipendente che ha ad oggetto la vigilanza su più Codici di Condotta alla quale i promotori conferiscono mandato.
Impatti dei Codici di Condotta sulla pratica aziendale
Non aiuta il fatto che le risorse per la costituzione delle necessarie strutture di vigilanza siano quelle che arriveranno solo una volta compiuto il lavoro di costituire materialmente l’entità di vigilanza.
A ciò rimedierebbe la possibilità, offerta dalle Linee Guida dell’EDPB di costituire organismi cosiddetti “interni”, quindi operanti nell’ambito dell’organizzazione che promuove il Codice ma – come è ovvio – tale possibilità viene meno quando i promotori sono più di uno e rappresentano categorie diverse per ragioni di inopportunità (anche dal punto di vista concorrenziale) nel creare strutture associative comuni.
Prospettive future e potenziale evoluzione dei Codici di Condotta
Si tratta, senza dubbio, di una fase di passaggio che sarà auspicabilmente presto risolta grazie al lavoro degli Organismi già accreditati e alle inevitabili interlocuzioni al riguardo con il Garante e le Autorità fiscali.
La speranza è che quando vi saranno Codici di Condotta pienamente funzionanti si possa aumentare la fiducia nello strumento ed incrementarne l’uso anche, come si diceva, arrivando a proporre decise innovazioni e semplificazioni dell’applicazione del GDPR attraverso tale strumento.
Occorre ricordare che lo strumento del Codice di Condotta è mutuato anche da altri regolamenti del mercato digitale e che è dunque interesse di tutti che il processo che porta all’approvazione e funzionamento dei codici sia il più snello e veloce possibile.
Il presente contributo riflette opinioni personali dell’Autore e non impegna l’Organismo di Monitoraggio del quale fa parte
