I CODICI DI CONDOTTA E LE CERTIFICAZIONI IN AMBITO DATA PROTECTION

Il Regolamento europeo prevede l’onere della prova in capo al titolare e al responsabile del trattamento: questi quindi dovranno essere in grado di dimostrare di aver messo in atto misure organizzative e di sicurezza adeguate sia alla particolare tipologia di dati che trattano sia agli specifici trattamenti che effettuano.
Best practice, codici di condotta e certificazioni possono, di conseguenza, essere utilizzati come elementi di prova.

dpocorso
Codici di condotta

Secondo il Regolamento, l’elaborazione di codici di condotta dovrebbe essere incoraggiata dagli Stati membri. In particolare, questi dovrebbero essere redatti dalle associazioni e dalle organizzazioni che rappresentano categorie di titolari del trattamento o di responsabili del trattamento e dovrebbero tenere conto delle caratteristiche specifiche dei settori di riferimento e delle diverse esigenze connesse alle dimensioni aziendali.

In particolare, secondo l’art. 40 del Regolamento, potrebbero concernere:

il trattamento corretto e trasparente dei dati,
i legittimi interessi perseguiti dal responsabile del trattamento in contesti specifici,
la raccolta dei dati personali,
la pseudonimizzazione,
l’informazione fornita al pubblico e agli interessati,
l’esercizio dei diritti degli interessati,
la protezione del minore e le modalità con cui è ottenuto il consenso dei titolari della responsabilità genitoriale sul minore,
le misure di sicurezza,
la notifica dei data breach e la relativa comunicazione agli interessati,
il trasferimento di dati personali verso paesi terzi,
le procedure stragiudiziali di composizione delle controversie.

Il progetto di codice dovrà essere sottoposto all’Autorità garante nazionale e questa esprimerà un parere sul progetto. Se il parere è positivo e l’applicazione del Codice riguarda solamente lo Stato membro in cui è presentato, l’Autorità registrerà e pubblicherà il Codice realizzato.

Nel caso in cui, invece, il progetto di codice di condotta si riferisca a trattamenti realizzati in vari Stati membri, prima che vi sia approvazione definitiva, occorre un secondo esame a livello europeo, con il coinvolgimento del Comitato europeo per la protezione dei dati. Qualora anche a seguito di tale controllo, il progetto ottenga un parere favorevole, sarà registrato e pubblicato.

Ai sensi del Regolamento, inoltre, la Commissione ha il potere di decidere che il codice di condotta abbia validità generale all’interno dell’Unione: in tal modo, il codice è reso applicabile a tutto il settore di riferimento, in tutto il territorio dell’Unione Europea.

Tutti i Codici di condotta sono raccolti dal Comitato in un apposito registro e la Commissione è tenuta a dare pubblicità a quelli che hanno acquisito validità generale.
Le certificazioni

kit_privacy

Il Regolamento inoltre, incoraggia l’istituzione di meccanismi di certificazione, sigilli e marchi di protezione dei dati che consentano agli interessati di valutare rapidamente il livello di protezione dei dati.

La certificazione è:

volontaria
accessibile tramite una procedura trasparente
rilasciata al titolare o al responsabile del trattamento da appositi organismi di certificazione o dall’Autorità garante – per un periodo massimo di tre anni, rinnovabili.

Gli organismi di certificazione devono possedere un livello di conoscenza della materia adeguato, essere indipendenti ed essere accreditati. Per poter ottenere l’accreditamento, gli organismi devono dimostrare indipendenza e competenze specifiche e presentare le procedure che intendono seguire ai fini della verifica del rispetto dei criteri.
Livelli di responsabilità

L’aver aderito ad un codice di condotta o l’essersi certificato, non libera il titolare né il responsabile del trattamento dalla responsabilità di conformità al Regolamento e lascia impregiudicati i compiti e i poteri delle autorità di controllo competenti.

Alla luce di quanto fino ad ora descritto, al momento di decidere se infliggere una sanzione amministrativa pecuniaria e fissare l’ammontare della stessa, si terrà in conto anche dell’adesione ai codici di condotta approvati ai sensi dell’articolo 40 o ai meccanismi di certificazione approvati ai sensi dell’articolo 42.
Aspettative

Nei tavoli di lavoro a Bruxelles, tra le proposte delle delegazioni italiane, vi sarebbe quella di imporre un obbligo di certificazione privacy per poter accedere alla partecipazione di specifici bandi di gara delle Pubbliche Amministrazioni. Altre delegazioni si sono spinte anche oltre, proponendo certificazioni obbligatorie anche sui prodotti.

Ad oggi nessuno può sapere con certezza quanto tempo potrà essere necessario a che il gruppo dei garanti europei decida di attivare le certificazioni e i codici di condotta.

Prima che possano essere emanate le linee guida dal comitato europeo dei garanti infatti, si rendono necessari almeno due passaggi:

la piena attuazione del Regolamento, con costituzione e insediamento del Gruppo dei Garanti Europei, le cui linee guida saranno vincolanti per le autorità degli Stati membri;
la definizione da parte del comitato dei criteri di certificazione e di quelli relativi agli enti che potranno essere certificati.

L’interesse che da subito si è manifestato sui codici di condotta e le certificazioni previste nel GDPR, è stato enorme e ha indotto certificatori e altri portatori di interessi economici a schierarsi per cercare di conquistare un posto in prima fila.

La sola cosa certa è che ad oggi non esiste ancora la possibilità di certificare la conformità di uno specifico trattamento al GDPR e tanto meno esiste la possibilità di certificare una generalizzata conformità aziendale.

Fonte [Ipsoa, EuroPrivacy]

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *