L’art. 40 del Regolamento 2016/679 UE (GDPR) regolamenta i Codici di condotta, ossia gli strumenti di autodisciplina – sostenuti dagli Stati membri, dalle Autorità di controllo e dalla Commissione europea – che stabiliscono le regole di protezione dei dati personali in fattispecie definite.
In sostanza, sono regole o pratiche uniformi elaborate da Organismi internazionali, o dalle Associazioni e dagli Organismi di rappresentanza delle categorie di Titolari o dei Responsabili del trattamento dei dati personali, particolarmente diffuse nei rapporti economici che, in genere, contengono disposizioni non vincolanti anche se, l’autorevolezza dell’organismo da cui promanano, fanno sì che si consolidi la loro applicazione.
Codici di condotta come strumento per i trasferimenti dati, le linee guida EDPB
L’adozione di Codici di condotta è su base volontaria e possono essere uno strumento utile per la Responsabilizzazione di Titolari e Responsabili del trattamento, fornendo un dettaglio dei comportamenti più appropriati non solo dal punto di vista tecnico-organizzativo e legale ma anche etico.
Codici di Condotta: breve storia
In Italia, i Codici di condotta sono stati previsti, per la prima volta, dall’Art. 31, c. 1, lett. h) della Legge 675/96 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali) recependo l’Art. 27, par. 3, della Direttiva 95/46/CE (Tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati) come compiti del Garante della protezione dei dati personali mentre con l’Art. 12 del Codice della privacy (D. Lgs. 196/2003 – Codice in materia di protezione dei dati personali) hanno assunto un diverso rilievo diventando oggetto di una disposizione autonoma.
Ed è proprio con il Codice della Privacy, con l’Allegato A (Regole deontologiche), che vengono introdotti Codici di deontologia e buona condotta, integrati nel tempo con diversi Decreti Ministeriali e sopravvissuti alle modifiche apportate al D. Lgs. 196/2003, dal D. Lgs. 101/2018 (Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati), quali:
- Codice di deontologia relativo al trattamento dei dati personali nell’attività giornalistica
- Codice di deontologia e di buona condotta per i trattamenti di dati personali per scopi storici
- Codice di deontologia e di buona condotta per i trattamenti di dati personali a scopi statistici e di ricerca scientifica effettuati nell’ambito del sistema statistico nazionale
- Codice di deontologia e di buona condotta per i trattamenti di dati personali per scopi statistici e scientifici
- Codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti.
- Codice di deontologia e di buona condotta per i trattamenti di dati personali effettuati per svolgere investigazioni difensive o per far valere o difendere un diritto in sede giudiziaria
- Codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale.
Per l’approvazione il Codice di condotta, oltre a quanto indicato all’Art. 40 (riportato di seguito) dovrà contenere una serie di elementi, tra cui:
- una spiegazione chiara e concisa sullo scopo del codice e il suo ambito di applicazione;
- specificazione dell’ambito territoriale;
- indicazione dell’organismo di vigilanza competente in base all’Art. 55 del GDPR (Capo VI – Autorità di controllo indipendenti, Sezione 2 – Competenza, compiti e poteri)
Cosa stabilisce il GDPR
Il GDPR, insieme ai Considerando 98 e 99, all’Art. 40 sancisce che:
«1. Gli Stati membri, le Autorità di controllo, il comitato e la Commissione incoraggiano l’elaborazione di codici di condotta destinati a contribuire alla corretta applicazione del presente regolamento, in funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese.
2. Le Associazioni e gli altri Organismi rappresentanti le categorie di Titolari del trattamento o Responsabili del trattamento possono elaborare i codici di condotta, modificarli o prorogarli, allo scopo di precisare l’applicazione del presente regolamento, ad esempio relativamente a:
a) il trattamento corretto e trasparente dei dati;
b) i legittimi interessi perseguiti dai Titolari del trattamento in contesti specifici
c) la raccolta dei dati personali;
d) la pseudonimizzazione dei dati personali;
e) l’informazione fornita al pubblico e agli interessati;
f) l’esercizio dei diritti degli interessati;
g) l’informazione fornita e la protezione del minore e le modalità con cui è ottenuto il consenso dei Titolari della Responsabilità genitoriale sul minore;
h) le misure e le procedure di cui agli articoli 24 e 25 e le misure volte a garantire la sicurezza del trattamento di cui all’articolo 32;
i) la notifica di una violazione dei dati personali alle Autorità di controllo e la comunicazione di tali violazioni dei dati personali all’interessato;
j) il trasferimento di dati personali verso paesi terzi o organizzazioni internazionali; o
k) le procedure stragiudiziali e di altro tipo per comporre le controversie tra Titolari del trattamento e interessati in materia di trattamento, fatti salvi i diritti degli interessati ai sensi degli articoli 77 e 79.
3. Oltre all’adesione ai codici di condotta approvati ai sensi del paragrafo 5 del presente articolo e aventi validità generale a norma del paragrafo 9 del presente articolo da parte di Titolari o Responsabili soggetti al presente regolamento, possono aderire a tali codici di condotta anche i Titolari del trattamento o i Responsabili del trattamento che non sono soggetti al presente regolamento ai sensi dell’articolo 3, al fine di fornire adeguate garanzie nel quadro dei trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali alle condizioni di cui all’articolo 46, paragrafo 2, lettera e). Detti Titolari del trattamento o Responsabili del trattamento assumono l’impegno vincolante e azionabile, mediante strumenti contrattuali o di altro tipo giuridicamente vincolanti, di applicare le stesse adeguate garanzie anche per quanto riguarda i diritti degli interessati.
4. Il codice di condotta di cui al paragrafo 2 del presente articolo contiene i meccanismi che consentono all’organismo di cui all’articolo 41, paragrafo 1, di effettuare il controllo obbligatorio del rispetto delle norme del codice da parte dei Titolari del trattamento o dei Responsabili del trattamento che si impegnano ad applicarlo, fatti salvi i compiti e i poteri delle Autorità di controllo competenti ai sensi degli articoli 55 o 56.
5. Le Associazioni e gli altri Organismi di cui al paragrafo 2 del presente articolo che intendono elaborare un codice di condotta o modificare o prorogare un codice esistente sottopongono il progetto di codice, la modifica o la proroga all’Autorità di controllo competente ai sensi dell’articolo 55. L’Autorità di controllo esprime un parere sulla conformità al presente regolamento del progetto di codice, della modifica o della proroga e approva tale progetto, modifica o proroga, se ritiene che offra in misura sufficiente garanzie adeguate.
6. Qualora il progetto di codice, la modifica o la proroga siano approvati ai sensi dell’articolo 55, e se il codice di condotta in questione non si riferisce alle attività di trattamento in vari Stati membri, l’Autorità di controllo registra e pubblica il codice.
7. Qualora il progetto di codice di condotta si riferisca alle attività di trattamento in vari Stati membri, prima di approvare il progetto, la modifica o la proroga, l’Autorità di controllo che è competente ai sensi dell’articolo 55 lo sottopone, tramite la procedura di cui all’articolo 63, al comitato, il quale formula un parere sulla conformità al presente regolamento del progetto di codice, della modifica o della proroga o, nel caso di cui al paragrafo 3 del presente articolo, sulla previsione di adeguate garanzie.
8. Qualora il parere di cui al paragrafo 7 confermi che il progetto di codice di condotta, la modifica o la proroga è conforme al presente regolamento o, nel caso di cui al paragrafo 3, fornisce adeguate garanzie, il comitato trasmette il suo parere alla Commissione.
9. La Commissione può decidere, mediante atti di esecuzione, che il codice di condotta, la modifica o la proroga approvati, che le sono stati sottoposti ai sensi del paragrafo 8 del presente articolo, hanno validità generale all’interno dell’Unione. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 93, paragrafo 2.
10. La Commissione provvede a dare un’adeguata pubblicità dei codici approvati per i quali è stata decisa la validità generale ai sensi del paragrafo 9.
11. Il comitato raccoglie in un registro tutti i codici di condotta, le modifiche e le proroghe approvati e li rende pubblici mediante mezzi appropriati.»
Alla luce di tale disposizione (Art. 40) che prevede, allo stesso tempo, una funzione dei Codici attuativa e complementare al GDPR e a quanto stabilito con il Considerando 98 che collega i Codici all’”effettiva applicazione” del GDPR è facile intuire che i Codici di condotta assumeranno – dovrebbero assumere – un ruolo importante nel “sistema” di protezione dei dati personali anche alla luce del fatto che, inoltre, il GDPR prevede l’onere della prova, di aver attuato le misure tecniche e organizzative di sicurezza adeguate alla particolare tipologia di dati trattati, in capo al Titolare e al Responsabile del trattamento dei dati personali. Tanto è vero che non è trascurabile il fatto che l’adesione a un Codice di condotta è considerato elemento di prova per la conformità al GDPR in caso di verifiche.
Infatti, la messa in atto di opportune misure e per dimostrare la conformità dei trattamenti da parte del Titolare del trattamento o dal Responsabile – in particolare per quanto riguarda l’individuazione del rischio connesso, la sua valutazione in termini di origine, natura, probabilità e gravità, e l’individuazione di migliori prassi per attenuare il rischio – possono essere forniti mediante (dai) Codici di condotta.
Il Comitato europeo per la protezione dei dati personali (European Data Protection Board – EDPB) può inoltre pubblicare Linee guida sui trattamenti che si ritiene improbabile possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche e indicare quali misure possono essere sufficienti in tali casi per far fronte a tale rischio.
Codici di condotta: quali sono i requisiti per gli organismi di monitoraggio
I Codici di condotta hanno, anche, lo scopo di facilitare il rispetto delle norme in materia di protezione dei dati personali da parte di un’intera categoria di Titolari o Responsabili del trattamento – pensiamo soprattutto alle PMI, ovviamente sempre in considerazione della tipologia e della modalità di trattamento – , prescrivendo i comportamenti legali ed etici considerati più appropriati nel settore di riferimento fornendo in tal modo un utile strumento alla categoria per ridurre i costi e affrontare in modo efficiente e uniforme difficoltà comuni relative a specifiche attività.
Inoltre, lo EDPB ha adottato le Linee guida sui Codici di condotta e gli Organismi di monitoraggio, con lo scopo di fornire assistenza interpretativa in relazione all’attuazione degli Artt. 40 e 41 del GDPR. In particolare, sulle procedure di presentazione e approvazione dei Codici di condotta. Con il provvedimento n. 98 del 10 Giugno 2020 l’Autorità garante per la protezione dei dati personali ha approvato i requisiti per l’accreditamento degli Organismi di monitoraggio (Odm) – ex Art. 41 GDPR – dei Codici di condotta previsti dal Regolamento europeo.
Su tali requisiti lo EDPB si era espresso con parere del 25 Maggio 2020 in merito a un progetto di decisione dell’Autorità garante Finlandese a ribadire la valenza europea di tali fonti normative di produzione collaborativa. In tal modo sarà possibile procedere con l’accreditamento degli Odm, condizione essenziale per l’approvazione di un Codice di condotta da parte del Garante.
Per l’accreditamento gli Odm dovranno dimostrare specifici requisiti:
- poter assolvere ai propri compiti di controllo con piena indipendenza e imparzialità e in assenza di conflitti di interesse;
- disporre di procedure documentate atte a gestire il rischio di eventuali conflitti di interesse per l’intera durata del suo mandato;
- possedere un adeguato livello di competenza per il corretto svolgimento dei propri compiti di controllo in relazione allo specifico codice di condotta;
- disporre di procedure idonee a valutare l’ammissibilità dei Titolari e dei Responsabili del trattamento ad aderire e ad applicare il codice di condotta;
- riuscire a gestire in modo trasparente e imparziale i reclami aventi ad oggetto le violazioni del codice di condotta da parte degli aderenti;
- effettuare un monitoraggio efficace sul rispetto da parte dei propri associati dei principi contenuti nel codice.
Codici di condotta: cosa prevede il regime sanzionatorio
L’Art. 83, c. 2, lett. j), del GDPR prevede che l’irrogazione di sanzioni amministrative debba essere valutata tenendo conto, tra l’altro, anche dell’eventuale adesione a un Codice di condotta approvato ai sensi dell’Art. 40 o ai meccanismi di certificazione approvati ai sensi dell’Art. 42 GDPR.
Il Garante Privacy ha predisposto una pagina web con i codici di condotta già approvati oltre ai Codici elencati nel citato Allegato A del D. lgs. 196/2003.
