Con l’adozione delle “Guidelines 1/2019 on Codes of Conduct and Monitoring Bodies under Regulation 2016/679” da parte dell’ EPDB – European Data Protection Board (giugno 2019) e con la conseguente approvazione, da parte del GPDP – Garante per la Protezione  dei Dati Personali italiano, dei “Requisiti di accreditamento” dei “monitoring bodies”, ossia degli organismi di monitoraggio (giugno 2020) inizia finalmente la storia italiana dei nuovi “Codici di condotta” introdotti dal Regolamento Ue sulla protezione dei dati personali (GDPR).

Di che cosa NON si tratta

Nonostante talune fuorvianti assonanze (e qui la domanda sorge spontanea: c’è qualcuno, fra i redattori e i traduttori, che si diverte ad intorbidire le acque, per se stesse non sempre cristalline, delle norme in materia di data protection?)  i “Codici di condotta” previsti dagli art. 40 e  41 del GDPR non devono essere confusi:

– né con i “Codici di deontologia e di buona condotta” previsti dall’ art. 12 del “vecchio” Codice privacy (decreto legislativo n. 196/2003; dove “vecchio” sta per: “prima della novella introdotta dal decreto legislativo n. 101/2018”) le cui disposizioni, nei settori disciplinati (ad esempio: informazioni commerciali), costituivano per espressa previsione normativa “condizione essenziale per la liceita’ e correttezza del trattamento dei dati personali effettuato da soggetti privati e pubblici: in una parola, facevano “legge”;

– né con le “regole deontologiche” che il novellato Codice privacy riserva a talune materie/a taluni trattamenti di dati (ex multis, al trattamento di alcuni dati particolari: genetici, biometrici, salute), e che – rinviando ad altra sede un’analisi comparativa approfondita- dei “Codici di deontologia” sopra ricordati sembrano essere i legittimi eredi.

Di che cosa si tratta, allora?

In sintesi, i nuovi Codici di condotta rappresentano una rilevante opportunità di autodisciplina  per un ampio novero di settori/contesti unitariamente intesi (senza, dunque, il limite di perimetri predefiniti dal legislatore, come era invece per i “Codici di deontologia”). L’art. 40 GDPR infatti si limita a stabilire che “gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano l’elaborazione di codici di condotta destinati a contribuire alla corretta applicazione del presente regolamento, in funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese. Le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o responsabili del trattamento possono elaborare i codici di condotta, modificarli o prorogarli, allo scopo di precisare l’applicazione del presente regolamento”.

Il pensiero corre alle numerose realtà associative che rappresentano categorie omogenee di titolari / responsabili del trattamento (profit; no profit; pubblici; privati; professionisti; ecc.) e che, proprio in ragione della specifica conoscenza ed esperienza nel settore, possono valutare di predisporre un Codice di condotta che “declini” (questo, a ben vedere, il vero scopo) i principi del GDPR nel proprio, peculiare contesto.

Si pensi -ma è solo uno dei mille esempi possibili- a quanto potrebbe essere utile l’adozione di un Codice di condotta uniforme per il volontariato e più latamente del cd. terzo settore, contesto caratterizzato storicamente da trattamenti di dati personali tutt’altro che trascurabili a fronte di una generale “leggerezza” organizzativa.

Da notare, peraltro, che con ogni probabilità la migliore interpretazione della funzione dei nuovi Codici di condotta dovrà condurre a privilegiare non già l’ennesima rivisitazione degli ormai noti principi del GDPR bensì disposizioni che, magari prendendo le mosse anche dall’”indice” proposto dal secondo paragrafo dell’art. 40 GDPR, facciano precipitare quei principi nelle concrete specificità del settore considerato volta per volta – proprio per questo, dicevamo, le associazioni rappresentative avranno un ruolo preziosissimo.

Si noti anche che, alla luce del già citato provvedimento del GPDP sugli “Organismi di Monitoraggio” – OdM, il progetto di Codice di condotta dovrà con ogni probabilità indicare, sin dall’inizio, la soluzione organizzativa prescelta -se cioè, ad esempio, l’OdM sia configurato come “interno” o invece “esterno” rispetto al titolare del Codice di condotta stesso. In entrambi i casi,  le regole di funzionamento e la durata del mandato dellʼOdm devono garantire che questi assolva ai suoi obblighi di controllo con piena indipendenza e imparzialità. In particolare, lʼOdm deve dimostrare di non essere soggetto, in via diretta o indiretta, ad alcuna forma di controllo, direzione o vigilanza da parte del soggetto titolare del codice di condotta, dei soggetti aderenti o eventualmente riconducibili al settore (professionale, industriale o altro) a cui il codice si applica.

Inoltre, lʼOdm deve dimostrare di poter condurre le proprie attività di controllo senza subire alcuna forma di pressione esterna, di interferenza o condizionamento diretti o indiretti.