Il Comitato Europeo per la Protezione dei Dati (EDPB) ha adottato le linee-guida in materia di codici di condotta (trovate il testo integrale, in versione inglese, nella sezione documenti utili del Blog).
Le linee-guida mirano a fornire orientamenti pratici e supporto interpretativo in merito all’applicazione degli articoli 40 e 41 del GDPR, chiarendo le procedure e le norme relative alla:
1. presentazione;
2. approvazione;
3. pubblicazione
dei codici di condotta sia a livello sia nazionale (codici nazionali) sia a livello europeo (codici transnazionali).
Le linee-guida vogliono, inoltre, fungere da punto di riferimento per tutte le Autorità di controllo nella valutazione dei codici di condotta, così da fornire a tutti i soggetti coinvolti principi coerenti in grado di snellire le relative procedure.
Il testo è piuttosto lungo (si tratta di 29 pagine, comprensive dei 4 allegati) ed è suddiviso nei seguenti capitoli:
- scopo delle linee-guida;
- definizioni;
- cosa sono i codici di condotta?
- quali sono i benefici dei codici di condotta;
- ammissibilità di una bozza di codice di condotta;
- criteri per l’approvazione dei codici di condotta;
- procedimento per i codici di condotta nazionali;
- procedimento per i codici di condotta transnazionali;
- partecipazione (alla fase di esame dei codici di condotta);
- il ruolo della Commissione;
- monitoraggio del codice di condotta (tramite organi di controllo);
- requisiti per l’accreditamento degli organi di controllo;
- codici di condotta approvati;
- revoca di un organismo di controllo;
- codici relativi al settore pubblico.
I quattro allegati al testo riguardano:
- una sintesi delle differenze tra un codice di condotta nazionale e un codice di condotta transnazionale;
- la scelta dell’Autorità di controllo competente (nel testo inglese abbreviata in “CompSA” – Competent Supervisory Authority);
- la checklist dei requisiti necessari per poter procedere validamente alla presentazione di un testo di codice di condotta;
- il diagramma di flusso (esplicativo della procedura di approvazione).
Data la complessità del testo e la sua articolazione in svariati argomenti, non è chiaramente possibile sintetizzare il contenuto delle linee-guida nel breve spazio di questo articolo e, pertanto, mi permetto di scegliere dal documento dell’EDPB – in modo del tutto arbitrario – alcuni passaggi, per darvi qualche spunto o informazione che possa stimolare il vostro interesse.
Mi soffermo, in particolare sul capitolo 1 (“scopo delle linee-guida”) e sul capitolo 4 (“quali sono i vantaggi dei codici di condotta”).
Sotto il primo profilo, l’EDPB chiarisce che lo scopo delle linee-guida è di dare “indicazioni pratiche e supporto interpretativo” nell’applicazione degli articoli del GDPR dedicati alle modalità di approvazione dei codici di condotta (art. 40) ed alla fase del successivo monitoraggio (art. 41), in particolare, con riferimento:
- alle procedure ed alle regole relative alla presentazione, all’approvazione ed alla pubblicazione dei codici, sia a livello nazionale sia europeo;
- ai criteri minimali che devono essere richiesti dall’Autorità di controllo competente (“CompSA”) per ritenere ammissibile e, quindi, esaminabile, la bozza di codice di cui si chiede l’approvazione;
- ai requisiti connessi alla fase di monitoraggio dei codici approvati.
E’ importante segnalare che le linee-guida NON comprendono anche i codici di condotta relativi ai trasferimenti di dati personali verso paesi terzi od organizzazioni internazionali, che saranno oggetto di un testo ad hoc, di successiva elaborazione.
Sotto il secondo profilo, viene ribadito che i codici di condotta costituiscono un valido strumento per definire un set di regole adeguato e conforme ai principi del GDPR, in grado di delineare procedure compliant per determinati settori produttivi e/o per alcune specifiche attività.
I codici, inoltre, costituiranno un aiuto importante per i Titolari del trattamento e i Responsabili, ad esempio, nell’individuazione della corretta base giuridica o delle idonee procedure di sicurezza o, ancora, per la concreta applicazione dei principi di privacy by design e by default.
Adottando codici di condotta approvati si opera in base ad una sorta di presunzione di conformità alle best practice di settore, aiutando, nel contempo, a consolidare, processi organizzativi specifici e, quindi, generando un’uniformità di comportamento all’interno di particolari contesti produttivi e/o organizzativi.
L’EDPB sottolinea, inoltre, che l’adesione ad un codice di condotta (e, naturalmente, la sua effettiva osservanza!) sarà tenuta in considerazione dall’Autorità di controllo nelle proprie valutazioni (con riferimento, ad esempio, alle misure di sicurezza o alle procedure di DPIA), anche per quanto riguarda l’applicazione di eventuali sanzioni a carico del Titolare del trattamento e/o del Responsabile.
Benché il percorso sia ancora lungo, queste prime linee guida consentono di aprire uno spiraglio di ottimismo verso un futuro fatto di regole certe ed uniformi in grado di chiarire quali siano le corrette modalità di trattamento in particolari settori, snellendo e semplificando l’onere in capo a Titolari e Responsabili del trattamento.
Ricordo che le linee-guida sono sottoposte a consultazione pubblica fino al 2 aprile 2019.