Codici di condotta GDPR: cosa c’è da sapere

Secondo quanto previsto dall’articolo 40 del GDPR, le associazioni di categoria e gli altri organi di rappresentanza hanno la possibilità di elaborare dei codici di condotta.

Si tratta di strumenti molto importanti perché prevedono lo sviluppo di linee guida specifiche per ogni settore, aiutando così gli interessati a rispettare i dettami previsti dal GDPR. In generale, la presenza di un codice di condotta rafforza la fiducia del pubblico sul fronte dell’ottemperanza e dell’adeguamento generale alle nuove normative.

A cosa serve un codice di condotta

Un codice di condotta viene redatto per fornire ulteriori precisazioni relative all’applicazione pratica di quanto previsto dal GDPR. Tali precisazioni possono riguardare diversi ambiti: dal trattamento e trasparente dei dati alla raccolta e pseudonimizzazione degli stessi, dall’esercizio dei diritti degli interessati alle informazioni fornite al pubblico e molto altro ancora.

Chi deve visionare i codici di condotta

Le associazioni o gli organismi interessati alla stesura di un codice di condotta devono presentare il progetto (in caso di codice realizzato da zero) o gli interventi di modifica o proroga (in caso di codice già esistente) alle autorità di controllo competenti.

L’autorità di controllo è tenuta ad esprimere un parere sulla conformità al GDPR del progetto, della modifica o della proroga o lo approva solo nel caso in cui ritiene che lo stesso offra garanzie adeguate. L’approvazione è seguita dalla registrazione e pubblicazione del codice, eccezion fatta per il caso in cui il codice di condotta non faccia riferimento alle attività di trattamento in diversi Stati membri.

In quest’ultimo caso, infatti, l’iter diventa leggermente più complesso. Prima dell’approvazione, registrazione e pubblicazione, il progetto deve essere sottoposto al comitato il quale è chiamato ad esprimere lo stesso giudizio di conformità che abbiamo visto, poc’anzi, essere richiesto all’autorità di controllo.

Se il comitato reputa il progetto, la modifica o la proroga del codice di condotta conforme al GDPR, trasmette il suo parere alla Commissione. Spetta alla Commissione decidere se il codice di condotta può essere a tutti gli effetti considerato valido all’interno dell’Unione Europea e, dunque, tra i vari Stati membri.

Al comitato rimane, invece, il compito di raccogliere in un registro tutti i codici approvati e di darne adeguata comunicazione al pubblico.

Chi si occupa del monitoraggio dei codici di condotta

Una volta che un codice di condotta è stato approvato, è necessario portare avanti un lavoro costante di monitoraggio che può essere svolto, oltre che dalla stessa autorità di controllo, anche da altri organismi. Nello specifico, affinché un organismo sia giudicato idoneo a monitorare l’osservanza di un codice di condotta esso deve possedere alcune caratteristiche.

È importante, innanzitutto, dimostrare all’autorità di controllo competente di avere l’indipendenza e la competenza necessaria rispetto a quanto contenuto nel codice e che i compiti da esso svolti non siano passibili di dare luogo a situazioni di conflitto di interessi.

Spetta sempre a quest’organismo, inoltre, istituire procedure che gli permettano da un lato di giudicare l’ammissibilità di titolari e responsabili del trattamento rispetto all’applicazione, al rispetto e alle disposizioni previste dal codice. Dall’altro lato, tali procedure devono consentire all’organismo di gestire i reclami relativi a possibili violazioni del codice.

Nel caso in cui venga riscontrata una violazione del codice da parte del titolare o del responsabile del trattamento, è nei poteri e nei doveri dell’organismo sospendere od escludere quest’ultimi dal codice. Qualora ciò si verifichi, l’organismo deve darne informazione all’autorità di controllo competenze, motivando la decisione adottata.

Revoca dell’accreditamento

Se l’organismo non rispetta più le condizioni per l’accreditamento o se adotta decisioni contrarie a quanto previsto dal GDPR, l’autorità di controllo può revocare l’accreditamento.

Soggetti esclusi

L’articolo 40 del GDPR non si applica in caso di trattamento effettuato da organismi pubblici o da autorità pubbliche.