GDPR PRIVACY: I codici di condotta e le certificazioni

GDPR Privacy 2018 Codici di Condotta e Certificazioni

Fra le novità legiferate dal GDPR (General Data Protection Regulation) o Regolamento UE 2016/679 uno spazio deve essere riservato ai codici di condotta e alle certificazioni.

Poiché la nuova normativa europea in materia di privacy prevede l’onere della prova, in capo al titolare e al responsabile del trattamento, di aver attuato le misure organizzative e di sicurezza adeguate alla particolare tipologia di dati (principio di responsabilizzazione o accountability), il legislatore ha introdotto questi meccanismi utilizzabili come “comprove” al rispetto del Regolamento stesso. Entrambi questi strumenti sono meccanismi che possono servire al titolare del trattamento a dimostrare che si è rispettata la normativa sulla privacy.

Pur essendo uno degli argomenti ad oggi meno chiari e chiariti, in questo articolo cercheremo di approfondire i due concetti e capire cosa il legislatore ha previsto nel Regolamento, per poter attuare giuste politiche di adeguamento alla normativa. Parleremo quindi dei seguenti argomenti:

Codici di condotta

I codici di condotta (articolo 40) sono “regole di condotta” o pratiche uniformi e condivise elaborate da vari organismi internazionali o anche da singoli Stati, particolarmente diffuse nei rapporti economici internazionali. Il legislatore fornisce delle indicazioni di esempio che potrebbero essere oggetto di questi codici.

In particolare potrebbero riguardare: il trattamento corretto e trasparente dei dati, i legittimi interessi perseguiti dal responsabile del trattamento in contesti specifici, la raccolta dei dati personali, la pseudonimizzazione, l’informazione fornita al pubblico e agli interessati, l’esercizio dei diritti degli interessati, la protezione del minore e le modalità con cui è ottenuto il consenso dei titolari della responsabilità genitoriale sul minore, le misure di sicurezza, la notifica dei data breach e la relativa comunicazione agli interessati, il trasferimento di dati personali verso paesi terzi, le procedure stragiudiziali di composizione delle controversie.

In pratica i codici di condotta sono destinati a contribuire alla corretta applicazione del Regolamento, in funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese. Si tratta, quindi, di disposizioni indicative, ma non vincolanti anche se l’autorevolezza dell’organismo da cui promanano fanno sì che siano di larga e diffusa applicazione.

Tali codici potranno essere istituiti dalle associazioni di categoria, dietro approvazione da parte dalle Autorità Garanti (oppure, se hanno valenza europea, dalla Commissione UE, sulla base di un parere del Comitato Europeo).

Certificazioni

E’ l’articolo 42 che disciplina le certificazioni ossia quegli atti mediante i quali si garantisce il rispetto da parte di professionisti, imprese e organizzazioni pubbliche, dei requisiti previsti dalle norme e dagli standard internazionali riguardo la conformità di prodotti, servizi, processi, sistemi e persone.

Le certificazioni previste dal Regolamento sono di tipo volontario. L’articolo 42, infatti, sancisce questo: “Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento. Sono tenute in considerazione le esigenze specifiche delle micro, piccole e medie imprese“.

In particolare, secondo la normativa europea le certificazioni sono:

  • volontarie
  • accessibili tramite una procedura trasparente
  • rilasciate al titolare o al responsabile del trattamento da appositi organismi di certificazione o dall’Autorità garante, per un periodo massimo di tre anni, rinnovabili.

Gli organismi di certificazione per poter ottenere l’accreditamento devono dimostrare di avere un livello adeguato di conoscenza della materia, di essere indipendenti e devono presentare le procedure che intendono seguire ai fini della verifica del rispetto dei criteri da parte dell’autorità competente.

Considerazioni finali

E’ bene aggiungere che aderire ad un codice di condotta o ad una certificazione non esonera il titolare o il rappresentante del trattamento dalle sue responsabilità; tuttavia, nel momento in cui si dovrà procedere con una sanzione amministrativa, si potrà tenere in debito conto anche dell’adesione ai codici di condotta o ai meccanismi di certificazione.

In realtà la materia è molto incerta e controversa e, fino ad oggi, sono molteplici i convegni, riunioni e quant’altro volti a cercare di chiarire il tema. Il nostro Garante della Privacy ha, nel luglio del 2017, emanato un comunicato che cerca di chiarire alcune modalità di rilascio delle certificazioni, visto il proliferare, negli ultimi tempi, di soggetti che si sono occupati di rilasciare certificazioni “poco accreditate”.

Nelle riunioni dei comitati europei, a Bruxelles, una delle proposte che viene proprio dal nostro paese, è quella di rendere obbligatoria la certificazione privacy per poter partecipare a bandi specifici di gara delle Pubbliche Amministrazioni.

In ogni caso si può dire che non si ha una stima precisa di quanto tempo sarà necessario al gruppo dei garanti europei per decidere come e quando attivare i codici di condotta e le certificazioni.

La sola cosa certa è che ad oggi non esiste ancora la possibilità di certificare la conformità di uno specifico trattamento al GDPR e tanto meno esiste la possibilità di certificare una generalizzata conformità aziendale. Possiamo dire che in materia di codici di condotta e certificazioni si sta aspettando le indicazioni ufficiali da parte del nostro Garante della Privacy.

 

Vuoi saperne di più

Vuoi ricevere maggiori informazioni?
Contattaci subito: siamo a tua completa disposizione!