Contenuti dei Codici di condotta
Come spesso accade nel perimetro del GDPR (il cui algoritmo giuridico fondamentale, “accountability”, è stato con precisa intenzione costruito, utilizzando una formula tecnologicamente neutrale, per valorizzare al massimo l’autonomia delle decisioni del titolare e/o del responsabile del trattamento, caso per caso e tempo per tempo; si leggano in tal senso anche la recente Comunicazione della Commissione UE n. 264/2020, nonché -più risalente- la relazione governativa illustrativa del decreto legislativo n. 101/2018) l’ “indice” dei Codici di condotta non è definito con norme rigorose, essendo piuttosto lasciato alle concrete e specifiche cure della realtà promotrice.
L’art. 40 del GDPR propone, nondimeno, alcuni possibili contenuti.
Vi si legge infatti che associazioni e altri organismi rappresentanti le categorie di titolari del trattamento o responsabili del trattamento “possono elaborare i codici di condotta, modificarli o prorogarli, allo scopo di precisare l’applicazione del presente regolamento, ad esempio relativamente a:
- a) il trattamento corretto e trasparente dei dati;
- b) i legittimi interessi perseguiti dai titolari del trattamento in contesti specifici;
- c) la raccolta dei dati personali;
- d) la pseudonimizzazione dei dati personali;
- e) l’informazione fornita al pubblico e agli interessati;
- f) l’esercizio dei diritti degli interessati;
- g) l’informazione fornita e la protezione del minore e le modalità con cui è ottenuto il consenso dei
titolari della responsabilità genitoriale sul minore;
- h) le misure e le procedure di cui agli articoli 24 e 25 (accountability; data protection by design e by default; ndr) e le misure volte a garantire la sicurezza del trattamento di cui all’articolo 32;
- i) la notifica di una violazione dei dati personali alle autorità di controllo e la comunicazione di tali
violazioni dei dati personali all’interessato;
- j) il trasferimento di dati personali verso paesi terzi o organizzazioni internazionali; o
- k) le procedure stragiudiziali e di altro tipo per comporre le controversie tra titolari del trattamento
e interessati”.
Come ben chiarito dalla norma in commento, si tratto (solo) di esempi, cioè di possibili contenuti dei Codici di condotta, “tra gli altri, se del caso” – per riecheggiare l’analoga disposizione recata dall’art. 32, par. 1 in materia di sicurezza dei dati personali.
Il menu esemplificativo è già abbastanza ricco, anche se ad onor del vero sarebbe stato forse opportuno esplicitare, tra gli esempi di possibili contenuti, anche il tempo di conservazione dei dati e le modalità di cancellazione degli stessi una volta raggiunto il tempo-limite. E’ senz’altro vero che tale “tema” può intendersi ricompreso nelle più ampie e generali “misure e procedure di cui agli articoli 24 e 25 (accountability; data protection by design e by default, come detto): ma trattasi di questione talmente delicata, “spinosa” e complessa che avrebbe forse meritato una specifica sottolineatura.
Beninteso, a prescindere dal testo dell’art. 40, sarà di regola fortemente consigliabile affrontare, nei Codici di condotta, il profilo in commento, anche per “sfruttare” la non trascurabile opportunità di definirlo in modo condiviso (non a caso il considerando 99 del GDPR precisa che “nell’elaborare un codice di condotta, o nel modificare o prorogare tale codice, le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o di responsabili del trattamento dovrebbero consultare le parti interessate pertinenti, compresi, quando possibile, gli interessati, e tener conto delle osservazioni ricevute e delle opinioni espresse in riscontro a tali consultazioni”) e -come si dirà subito- con autorevole avallo, a vantaggio di tutti.
Approvazione dei Codici di condotta
Uno degli aspetti più rilevanti dei nuovi Codici di condotta -o forse, tout court, quello decisivo- è il fatto che è proprio l’autorità di controllo (in Italia, il Garante per la protezione dei dati personalI) ad esprimere un parere sulla conformità al GDPR del progetto di codice, valutando se esso possa offrire in misura sufficiente garanzie adeguate.
E, se sì, è lo stesso Garante che “approva, registra e pubblica” (art. 40, par. 5 e 6) il Codice: non può sfuggire, allora, la specialissima occasione, per gli aderenti all’associazione promotrice, costituita da un Codice di condotta “di settore”, vagliato ex ante dal Garante e dallo stesso approvato, registrato ed infine pubblicato.
Sia consentito richiamare, anche qui, l’esempio dei tempi di conservazione dei dati personali, “buco nero” -come tutti gli addetti ai lavori sanno, ed in camera caritatis di solito riconoscono…- nell’applicazione ormai ultraventennale delle norme “privacy”.
Si tratta di un profilo davvero complesso.
Bene: per definirlo… what else? -direbbe il George più amato dalle donne– se non un Codice di condotta, condiviso fra i “simili” appartenenti ad una medesima realtà associativa e, per giunta, approvato dall’authority competente in materia? Non è forse questo il modo migliore per “facilitare l’effettiva applicazione” del GDPR, sapientemente “calibrando gli obblighi dei titolari del trattamento e dei responsabili del trattamento” (cfr. considerando 98)?
Valore dei Codici di condotta
Infine, alcuni spunti sintetici sul valore di un Codice di condotta ut supra approvato, registrato e pubblicato.
Innanzitutto, l’adesione al Codice (per tale intendendosi –ça va sans dire– la corretta attuazione e il costante e rigoroso rispetto del medesimo; non potrà bastare la mera adesione formale, peraltro soggetta a controllo di appositi OdM – Organismi di monitoraggio, come già illustrato nel Chapter 1 di questo piccolo contributo) sarà una preziosissima guida per i titolari di trattamento, nei meandri – e talora nelle nebbie- del GDPR.
Per i titolari del trattamento (art. 24, par. 3) – e, mutatis mutandis, per i responsabili del trattamento (art. 28 par. 5)- “l’adesione a un codice di condotta approvato (…) può essere utilizzata come elemento per dimostrare”, rispettivamente, “il rispetto degli obblighi del titolare del trattamento” e -quanto al responsabile- “le garanzie sufficienti” all’assunzione di quel ruolo nei confronti del titolare.
Certo, non rappresenta la garanzia assoluta di non incorrere in sanzione: e tuttavia dell’adesione ad un Codice di condotta l’autorità di controllo deve tener conto “al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa”.
Non male!
Ed infine: qualche vantaggio potrà derivare anche all’authority stessa, che potrà forse confidare in un effetto deflattivo o almeno in un più agevole inquadramento del contenzioso nel settore e sui profili disciplinati dal Codice.
Solo il tempo e soprattutto le prime esperienze applicative, ormai imminenti, di Codici di condotta potranno confermare o smentire queste iniziali riflessioni.