Impiantato un altro pilastro del GDPR: il Garante privacy vara le regole per il monitoraggio dei Codici di condotta
di Amedeo Di Filippo – Dirigente comunale
Le norme europee
Siamo nell’orbita del il regolamento 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, noto come GDPR (General Data Protection Regulation). L’art. 40 è dedicato ai Codici di condotta, destinati a contribuire alla corretta applicazione del regolamento in funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese.
Affida alle associazioni e agli altri organismi rappresentanti le categorie di titolari del trattamento o responsabili del trattamento la possibilità di elaborare tali Codici, modificarli o prorogarli, allo scopo di precisare l’applicazione del regolamento relativamente al trattamento corretto e trasparente dei dati, ai legittimi interessi perseguiti dai titolari del trattamento in contesti specifici, alla raccolta e alla pseudonimizzazione dei dati personali, all’informazione fornita al pubblico e agli interessati e all’esercizio dei diritti di questi ultimi, alla informazione fornita e alla protezione del minore, alle notifiche, al trasferimento di dati personali verso paesi terzi o organizzazioni internazionali, alle procedure stragiudiziali e di altro tipo per comporre le controversie.
I Codici contengono i meccanismi che consentono di effettuare il controllo obbligatorio del rispetto delle norme da parte dei titolari o dei responsabili del trattamento che si impegnano ad applicarlo. Le associazioni e gli altri organismi che adottano un Codice sottopongono il progetto all’autorità di controllo competente, che esprime un parere sulla conformità al GDPR.
L’art. 41 di quest’ultimo dispone che il controllo della conformità dei Codici di condotta è effettuato da un organismo in possesso del livello adeguato di competenze riguardo al suo contenuto e del necessario accreditamento disposto dall’autorità di controllo competente. Detto organismo può essere accreditato se dimostra di essere indipendente e competente, ha istituito procedure che gli consentono di valutare l’ammissibilità dei titolari e dei responsabili del trattamento in questione ad applicare il Codice, ha istituito procedure e strutture atte a gestire i reclami relativi a violazioni, dimostra che i compiti e le funzioni svolti non danno adito a conflitto di interessi.
L’organismo
Il paragrafo 1 dell’art. 41 assegna la verifica dell’osservanza delle disposizioni di un Codice di condotta a un “Organismo di monitoraggio” (Odm) che sia in possesso del livello adeguato di competenze. Affida alle autorità nazionali il compito di predisporre uno schema di requisiti per l’accreditamento dell’Odm, compito che nel caso italiano è riservato al Garante per la protezione dei dati personali.
Il 4 giugno 2019 il Comitato europeo per la protezione di dati ha adottato «Linee guida 1/2019 sui codici di condotta e sugli organismi di monitoraggio a norma del regolamento (UE) 2016/679». Viene in particolare messo in evidenza che l’adesione ad un Codice di condotta può essere utilizzata come elemento di responsabilizzazione (accountability), in quanto consente di dimostrare la conformità dei trattamenti di dati ad alcune disposizioni o principi del regolamento o al regolamento nel suo insieme.
Sulla base di questo sostrato normativo, il Garante della privacy, con la delibera segnalata, approva i requisiti per l’accreditamento dell’Odm, contenuti nell’allegato 1. L’accreditamento è rilasciato dal Garante per un periodo massimo di cinque anni, ferma restando da un lato la possibilità per i soggetti titolari del Codice di condotta di prevedere nel medesimo Codice che il mandato abbia una durata inferiore, dall’altra la facoltà del Garante di avviare una revisione dell’accreditamento prima della scadenza qualora venga a conoscenza di elementi o fattori di rischio sopravvenuti che compromettano il rispetto da parte dell’Odm dei requisiti ovvero dei suoi obblighi di monitoraggio oppure la conformità al GDPR delle misure da questi adottate.
I requisiti
L’allegato traccia in maniera analitica i requisiti che deve avere l’Odm ai fini dell’accreditamento. In primo luogo deve dimostrare di poter assolvere ai propri compiti di controllo con piena indipendenza e imparzialità, in modo che possa svolgere le funzioni senza subire influenze, interferenze o condizionamenti di alcun tipo da parte del soggetto titolare del Codice di condotta, degli aderenti o dei soggetti eventualmente riconducibili al settore a cui il Codice si applica.
Il possesso dell’indipendenza e imparzialità deve essere comprovato in relazione a quattro profili: a) forma giuridica e procedure decisionali; b) autonomia finanziaria; c) autonomia organizzativa; d) responsabilizzazione.
L’Odm deve inoltre disporre di procedure documentate atte a prevenire, individuare, valutare, mitigare o rimuovere il rischio di eventuali conflitti di interesse per l’intera durata del suo mandato, avuto riguardo, in particolare, alle specificità del/i settore/i a cui si applica il Codice di condotta. In particolare, tali procedure devono garantire che i singoli componenti con poteri decisionali e l’Odm nel suo complesso si astengano da qualunque azione incompatibile con le funzioni e gli obblighi di quest’ultimo e che non esercitino alcuna attività, remunerata o meno, con essi incompatibili.
L’Odm deve dimostrare di possedere un adeguato livello di competenza per il corretto ed efficiente svolgimento dei propri compiti di controllo in relazione allo specifico Codice di condotta per il cui monitoraggio si richiede l’accreditamento. Deve in particolare dimostrare che i decisori posseggano, singolarmente o nel loro insieme, un’approfondita conoscenza ed esperienza in materia di protezione dei dati personali, nel settore specifico o nelle specifiche attività di trattamento a cui si applica il Codice di condotta, nello svolgimento di compiti di vigilanza e controllo.
L’Odm deve disporre di procedure idonee a valutare l’ammissibilità dei titolari e dei responsabili del trattamento ad aderire e ad applicare il Codice, controllare l’osservanza delle sue disposizioni da parte di questi ultimi e riesaminarne periodicamente il funzionamento.
L’Odm deve dimostrare di avere a disposizione un meccanismo che gli permetta di gestire in modo trasparente e imparziale i reclami aventi ad oggetto le violazioni del Codice da parte degli aderenti o il modo in cui il Codice è stato o è attuato da questi ultimi. Il meccanismo deve garantire che gli interessati possano proporre reclamo all’Odm, inviando apposita istanza che contenga una breve descrizione dei fatti e del pregiudizio lamentato.
L’Odm deve dimostrare di aver approntato una procedura efficace per informare senza indebito ritardo il Garante dell’adozione delle misure più gravi adottate nei confronti del titolare/responsabile aderente al Codice, dei motivi della loro adozione e delle violazioni riscontrate nonché delle azioni poste in essere dal titolare/responsabile sospeso o escluso dal Codice per ottemperare a siffatte misure.
L’Odm deve dimostrare di poter contribuire al riesame del funzionamento del Codice di condotta tramite documentate procedure, in conformità a quanto stabilito nel Codice medesimo e richiesto dal soggetto titolare.
L’Odm deve infine dimostrare di essere stabilito all’interno del spazio economico europeo e di avere uno status giuridico tale da poter adempiere effettivamente ai suoi obblighi di controllo e far fronte alle connesse responsabilità.
