Home

Soft law e autoregolamentazione nella protezione dei dati personali

21 Settembre 2023

Il GDPR detta principi e regole di carattere generale, lasciando alla responsabilizzazione di ciascun titolare del trattamento l'incombenza di applicarle nel modo più efficace per proteggere i dati personali. Al suo interno il GDPR individua una serie di strumenti, descrivendone la portata e, allo stesso tempo, disciplinandone l'emanazione ed il funzionamento.

I più importanti, tra questi, sono i Codici di Condotta di cui all'art. 40 GDPR, le Linee Guida dello European Data Protection Board, le regole deontologiche disciplinate all'art. 2 quarter del Codice Privacy e le Autorizzazioni generali dell'Autorità di Controllo.

Inquadramento

Il GDPR detta principi e regole di carattere generale, lasciando alla responsabilizzazione di ciascun titolare del trattamento l'incombenza di applicarle nel modo più efficace per proteggere i dati personali. Tale concetto è ricompreso nel principio di accountability, che va inteso sia in senso di responsabilizzazione, appunto, che di capacità di saper rendicontare le misure attivate e motivare le scelte intraprese.

Strumenti che circostanzino le norme del GDPR sia in generale che in specifici settori sono pertanto di grande ausilio per titolari e responsabili che possono, attraverso di essi, avere maggiore sicurezza in termini di conformità e al contempo ridurre i costi necessari per raggiungerla.

Al suo interno il GDPR individua una serie di strumenti, descrivendone la portata e, allo stesso tempo, disciplinandone l'emanazione ed il funzionamento. I più importanti, tra questi, sono i Codici di Condotta di cui all'art. 40 GDPR e le Linee Guida dello European Data Protection Board, ovviamente, come di seguito meglio evidenziato, strumenti differenti tra di loro per portata e potere vincolante. Da ultimo vanno richiamante le regole deontologiche disciplinate all'art. 2 quarter del Codice Privacy e le Autorizzazioni generali dell'Autorità di Controllo.

Codici di condotta ai sensi dell'art. 40 GDPR

Le Linee Guida European Data Protection Board  n. 1/2019, individuano nei Codici di Condotta degli strumenti di responsabilizzazione volontari, utili a stabilire specifiche norme di protezione dei dati e, pertanto, a circostanziare le previsioni necessariamente generiche del GDPR.

Sebbene essi siano da considerare vincolanti solo per gli aderenti, configurano comunque uno strumento di riferimento, per il settore che disciplinano, rispetto ai comportamenti più conformi da tenere nel trattare dati personali.

Essi hanno pertanto valore di regole di condotta specifiche per chi vi aderisce e di best practices per gli altri. La specificità delle previsioni dettate da un Codice di Condotta, è assicurata dal fatto che a poterlo proporre sono solo associazioni ed organismi rappresentanti categorie di titolari del trattamento o responsabili del trattamento. La conformità con le previsioni di cui al GDPR è invece assicurata dalla necessità di approvazione del Codice da parte dell'Autorità di Controllo.

È importante specificare che l'adesione ad un Codice di Condotta non è di per sé sufficiente ed utile a dimostrare la conformità al GDPR. Questa funzione è infatti demandata alle certificazioni ai sensi dell'art. 43 GDPR. Va però specificato che il GDPR stesso prevede che l'adesione a specifici Codici di Condotta, da parte di titolari o responsabili non soggetti al Regolamento, può essere presa in considerazione ai fini della valutazione di adeguatezza delle garanzie nel quadro dei trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali (art. 46, par. 2, lettera e, GDPR). A tal riguardo, lo European Data Protection Board ha emanato delle specifiche Linee Guida, le n. 4/2021 sui codici di condotta come strumento per i trasferimenti

Codici nazionali e codici transazionali

I Codici di condotta possono riferirsi alle attività di trattamento in un singolo stato membro o, ai sensi del paragrafo 7 dell'art. 40 GDPR, ai trattamenti effettuati in vari Stati membri. In tale secondo caso le procedure di approvazione, modifica, proroga, vengono disciplinate ai sensi degli artt. 55,63,93 GDPR.

Iter di approvazione dei codici di condotta ai sensi dell'art. 40 GDPR

L'art. 40 GDPR prevede che i progetti di Codice di Condotta vengano elaborati, modificati, prorogati da associazioni o altri organismi rappresentanti i titolari o i responsabili del trattamento.

Il concetto di rappresentatività è ben delineato dalle Linee Guida 1/2019 sopra richiamate e si sostanzia non solo nella percentuale o nel numero di potenziali aderenti al codice censiti all'interno delle organizzazioni promotrici, ma altresì nel saper dimostrare all'autorità di controllo di essere in grado di comprendere le esigenze dei propri membri e definire chiaramente l'attività o il settore di trattamento cui si applicherà il codice.

L'iter di approvazione di un codice di condotta passa per la necessaria presentazione di una copia all'Autorità di controllo competente affinché la stessa possa procedere con un esame di ammissibilità rispetto a dei criteri stabiliti e di valutazione del suo contenuto.

Una volta dichiarato ammissibile, il progetto di codice diventa oggetto di valutazione di tipo contenutistico da parte dell'Autorità di controllo che emetterà parere positivo o negativo entro un lasso di tempo ragionevole informando regolarmente i proponenti sullo stato del procedimento e sulla tempistica indicativamente prevista.

La fase di approvazione si chiude con parere che deve contenere la motivazione della decisione assunta sulla base dei criteri di approvazione. A questo punto, in caso di esito positivo, il codice di condotta viene pubblicato sul sito web dell'autorità di controllo competente ed inserito in un apposito registro.

In evidenza

  

In Italia, sul sito dell'Autorità Garante per la Protezione dei Dati Personali, sono presenti due registri. Il primo raccoglie i Codici di Condotta approvati dall'autorità ed il secondo raccoglie i Codici di Condotta approvati dal Comitato Europeo per la Protezione dei dati (EDPB). Sulla medesima pagina web, sono presenti i requisiti di accreditamento degli Organismi di Monitoraggio e di provvedimenti di accreditamento degli stessi.

Criteri di approvazione dei codici

I criteri di approvazione si desumono dal tenore del secondo paragrafo dell'art. 40 GDPR.

Le Line Guida EDPB 1/2019 circostanziano tale previsione, richiedendo che la valutazione dell'autorità di controllo si concentri nel verificare che in effetti il codice presentato contribuisca alla corretta applicazione del regolamento in un dato settore e, in particolare:

• soddisfi una particolare esigenza di quel settore o di quella attività di trattamento,

• faciliti l'applicazione del regolamento,

• precisi l'applicazione del regolamento,

• ricomprenda sufficienti garanzie,

• ricomprenda meccanismi efficaci per controllare il rispetto del codice.

Ruolo dell'autorità di controllo

Le Linee Guida EDPB 1/2019 chiariscono con fermezza che il processo di valutazione non dovrà essere inteso come una occasione per approfondire/proseguire le consultazioni con l'autorità di controllo adita. L'interlocuzione con l'autorità andrà quindi impostata secondo l'obiettivo di chiarire i contenuti e agli scopi del codice di condotta ed agevolare la valutazione.

In evidenza

Lo scorso 9 marzo 2023, l'Autorità Garante per la Protezione dei Dati Personali ha approvato il Codice di Condotta per le attività di telemarketing e teleselling. In Italia sono stati approvati, in tutto, quattro codici di condotta compreso quello appena citato.

In Europa, sono stati approvati altri cinque codici di condotta, di cui quattro riferiti a trattamenti in ambito nazionale ed uno riferito a trattamenti in ambito transnazionale.

Organismo di monitoraggio

L'art. 41 GDPR prevede che il controllo della conformità di un codice di condotta possa essere effettuato (fatti salvi i poteri dell'Autorità di controllo) da un organismo di monitoraggio accreditato presso l'Autorità di controllo competente per il Codice di condotta.

A riguardo si evidenza una incongruenza tra quanto definito dal GDPR (la possibilità di affidare il controllo del codice ad un ODM) e quanto invece indicato nelle Linee Guida EDPB 1/2019 in materia di codici di condotta che, invece, riportano come necessaria l'individuazione di uno o più organismi di monitoraggio affinché un codice (nazionale o transnazionale) sia approvato.

L'organismo di monitoraggio, per essere accreditato, dovrà in ogni caso aver dimostrato di possedere stringenti requisiti di competenza, capacità operativa e indipendenza/assenza di conflitti di interesse. Riguardo alla natura giuridica dell'ODM il GDPR concede una certa elasticità, inclusa la possibilità che l'ODM sia esterno alla compagine dei titolari del codice (proponenti).

CASISTICA

Codice di Condotta per il trattamento di dati personali in materia di informazioni commerciali
  • Promotore: ANCIC, approvato in data 29 aprile 2021
  • Il Codice è assistito da un Organismo di Monitoraggio accreditato
  • Ambito tematico: Informazioni Commerciali

Codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti
  • Promotori: AISREC, CTC e ASSILEA, approvato in data 6 ottobre 2022
  • Il Codice è assistito da un Organismo di Monitoraggio
  • Ambito tematico: Sistemi di informazione creditizia

Codice di Condotta per l'utilizzo dei dati sulla salute a fini didattici e di pubblicazione scientifica
  • Promotore: Azienda sanitaria ULSS 9 Scaligera Regione Veneto, approvato in data 14 gennaio 2021
  • Non è previsto Organismo di Monitoraggio
  • Ambito tematico: sanità, ricerca scientifica, anonimizzazione.

Codice di Condotta per le attività di telemarketing e teleselling
  • Promotori: Asseprim, AssoCall, ASSOCONTACT, Assotelecomunicazioni, Confcommercio, Confindustria, DMA – Data & Marketing Association Italia, OIC – Osservatorio Imprese Consumatori, approvato in data 9 marzo 2023, assistito da un Organismo di Monitoraggio in fase di accreditamento.
  • Il Codice è assistito da Organismo di Monitoraggio che, alla data di scritturazione del presente documento, è in fase di accreditamento
  • Ambito tematico: telemarketing e teleselling

Linee guida European data protection board

Tra i vari poteri attribuiti al Comitato Europeo per la Protezione dei Dati (European Data Protection Board) dall'art. 70 GDPR, che assegna al il compito di garantire l'applicazione coerente del Regolamento, vi è quello di emettere Linee guida, raccomandazioni e best practices utili a circostanziare il più possibile le norme del Regolamento.

In assenza di una previsione che sancisca un potere vincolante delle Linee Guida, esse sono da considerare alla stregua dei Codici di condotta per i non aderenti e, cioè, degli utilissimi strumenti di orientamento rispetto alle migliori modalità per assicurare la compliance in materia di protezione dei dati personali. Attualmente tra il 2018 ed il 2023 risultano pubblicate 103 Linee Guida, di cui talune sono ancora in fase di consultazione pubblica.

In evidenza

Alle Linee Guida dello EDPB, si affiancano quelle emesse dagli organismi che lo hanno preceduto e che, se bene siano state emesse prima del GDPR, mantengono (limitatamente agli aspetti compatibili con la nuova disciplina) un forte valore di orientamento.

A riguardo è utilissimo consultare il documento di endorsement che lo EDPB ha emesso in data 25 maggio 2018 e che elenca i documenti emanati dal precedente organismo e che il Board considera come coerenti con le norme del GDPR.

Codici deontologici

L'attuazione del GDPR ha comportato un riordino della disciplina relativa ai cd. “Codici Deontologici”, previsti dalla previgente normativa privacy. La disciplina contenuta nel Codice Privacy promuoveva, infatti, per mano del Garante Privacy, la sottoscrizione di codici deontologici, per alcune specifiche aree di trattamento di dati personali, quali ad esempio il settore del marketing, ad opera dell'oggi abrogato art. 140. I Codici Deontologici approvati dal Garante Privacy nel corso degli anni sono stati successivamente riportati agli allegati A1, A2, A3, A4 e A6 del Codice.

L'avvento del GDPR, e il successivo coordinamento della normativa italiana, ad opera del D.lgs. n. 101/2018, ha reso necessario un aggiornamento dei Codici Deontologici. Sul punto, nello specifico, l'art. 20 del decreto poco sopra citato ha demandato al Garante Privacy il compito di verificare la conformità dei Codici Deontologici. Il mese di dicembre 2018 ha visto il Garante privacy italiano impegnato nella verifica della conformità dei codici di deontologia e nell'aggiornamento formale dei riferimenti al nuovo quadro normativo europeo.

Alla luce delle significative differenze della nuova disciplina sulla protezione dei dati personali, il Garante Privacy ha proceduto ad un completo riordino dei Codici, oggi ridenominati “Regole Deontologiche” e riportati al modulato Allegato A del Codice Privacy.

In evidenza

In Italia sono oggi presenti cinque Regole Deontologiche, ex Codici Deontologici. A seguito della verifica condotta dal Garante Privacy, è stato ritenuto conforme il Codice dei Giornalisti, oggi ridenominato “Regole deontologiche relative al trattamento dei dati personali nell'esercizio dell'attività giornalistica” (G.U. 4 gennaio 2019, n. 3); sono inoltre elencate nell'Allegato A del Codice Privacy le “Regole deontologiche relative ai trattamenti di dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria” (G.U. 15 gennaio 2019, n. 12), le “Regole deontologiche per il trattamento a fini di archiviazione nel pubblico interesse o per scopi di ricerca storica” (G.U.15 gennaio 2019, n. 12), le "Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica effettuati nell'ambito del Sistema statistico nazionale" (G.U. 14 gennaio 2019, n. 11) e le “Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica” (G.U. 14 gennaio 2019, n. 11).

Le Regole Deontologiche hanno natura preminentemente giuridica, sono elaborate dal Garante privacy e rappresentano il frutto della valutazione di compatibilità delle prescrizioni stabilite nei vecchi Codici Deontologici con le norme del GDPR, fissando le condizioni di liceità dei trattamenti dei dati alle quali si riferiscono con la conseguenza che il rispetto di tali regole è condizione essenziale di liceità e correttezza del trattamento, tanto che disattenderle comporta l'applicazione della sanzione di cui all'art. 83, par. 5 GDPR. Il Garante privacy può promuovere la revisione delle regole, secondo la procedura di cui all'art. 2-quater Codice Privacy, in base alla quale lo schema delle Regole Deontologiche, in osservanza del principio di rappresentatività, deve essere sottoposto a consultazione pubblica, per almeno sessanta giorni. L'iter di perfezionamento delle predette Regole si completa con la pubblicazione nella Gazzetta Ufficiale della Repubblica italiana e, mediante decreto del Ministero della Giustizia, vengono riportate nell'allegato A al Codice Privacy. Numerosi i provvedimenti emessi dal Garante Privacy in violazione delle menzionate Regole Deontologiche: tra i più recenti, il provvedimento 28 aprile 2022, n. 165che, in considerazione della violazione delle Regole Deontologiche relative al trattamento dei dati personali nell'esercizio dell'attività giornalistica , ha ammonito alcune “testate”, vietando l'ulteriore trattamento delle fotografie ritraenti l'interessato, con riferimento all'ulteriore diffusione delle stesse, anche on-line, ivi compreso l'archivio storico, eccettuata la mera conservazione degli stessi ai fini di un loro eventuale utilizzo in sede giudiziaria.

Differenze con prescrizioni post autorizzazioni

Già presenti nella disciplina italiana sulla data protection derivante dalla legge n. 675/1995, le Autorizzazioni generali costituivano una condizione di liceità per i trattamenti che avevano ad oggetto le categorie particolari di dati personali (ex “dati sensibili”) di cui all'art. 9 e i dati giudiziari di cui all'art. 10 GDPR; dati che potevano essere trattati solo previo consenso dell'interessato o mediante provvedimento autorizzativo, appunto, del Garante Privacy, su richiesta del titolare del trattamento.

Mediante il d.lgs.10 agosto 2018, n. 108, con cui il legislatore italiano ha dato attuazione al GDPR, adeguando la normativa italiana alle nuove disposizioni comunitarie e novellando il Codice Privacy, è stato assegnato (art. 21) al Garante Privacy il compito di individuare, con provvedimento di  carattere generale, le prescrizioni contenute nelle autorizzazioni generali già adottate (precedentemente all'entrata in vigore del GDPR), relative alle situazioni di trattamento di cui agli artt. 6, par. 1, lett. c) ed e), 9, par. 2, lett. b) e 4, nonché al Capo IX del GDPR che risultano compatibili con le disposizioni dello stesso GDPR e del predetto decreto e di procedere al loro aggiornamento, laddove fosse necessario.

Il riferimento è alle basi giuridiche dell'obbligo legale e dell'esecuzione dell'interesse pubblico (per quanto riguarda i dati comuni) e alla materia di diritto del lavoro e della sicurezza sociale e protezione sociale (per quanto riguarda i dati “particolari”); nonché alle specifiche situazioni di trattamento contenute al Capo IX del GDPR (in cui ricadono: l'ambito dell'informazione; l'accesso del pubblico a documenti ufficiali; il trattamento del numero di identificazione nazionale; il trattamento dei dati nell'ambito dei rapporti di lavoro; e il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici).

Al contempo, il Decreto sopra citato ha sancito la cessazione degli effetti delle autorizzazioni generali risultate incompatibili, a seguito della verifica effettuata dal Garante Privacy, con il GDPR e delle autorizzazioni relative a situazioni di trattamento che non siano collegate alle situazioni di trattamento di cui sopra.

In evidenza

Il Garante Privacy ha individuato, con provvedimento 13 dicembre 2018, n. 497, le prescrizioni contenute nelle Autorizzazioni generali nn. 1/2016 (Prescrizioni relative al trattamento di categorie particolari di dati nei rapporti di lavoro), 3/2016 (Prescrizioni relative al trattamento di categorie particolari di dati da parte degli organismi di tipo associativo, delle fondazioni, delle chiese e associazioni o comunità religiose), 6/2016 (Prescrizioni relative al trattamento di categorie particolari di dati da parte degli investigatori privati), 8/2016 (Prescrizioni relative al trattamento dei dati genetici) e 9/2016 (Prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica).

Le prescrizioni individuate dal Garante Privacy nel provvedimento n. 497/2018 hanno pertanto mantenuto la loro validità, mentre non sono state ritenute compatibili le Autorizzazioni generali nn. 2/2016 (Prescrizioni relative al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale), 4/2016 (Prescrizioni relative al trattamento dei dati sensibili da parte dei liberi professionisti), 5/2016 (Prescrizioni relative al trattamento dei dati sensibili da parte di diverse categorie di titolari), 7/2016 (Prescrizioni relative al trattamento dei dati a carattere giudiziario da parte di privati, di enti pubblici economici e soggetti pubblici). Le prescrizioni che hanno mantenuto validità concentrano la loro attenzione su: 1) ambito di applicazione (riferendosi ai soggetti, persone fisiche e giuridiche, istituti, enti, associazioni ed organismi che effettuano il trattamento oggetto di regolamentazione); 2) finalità del trattamento; 3) interessati a cui si riferiscono; 4) prescrizioni specifiche da tenere in considerazione, specie in relazione alla comunicazione e alla diffusione dei dati.  

Vuoi leggere tutti i contenuti?

Attiva la prova gratuita per 15 giorni, oppure abbonati subito per poter
continuare a leggere questo e tanti altri articoli.

Sommario
Codici di condotta ai sensi dell'art. 40 GDPR
Iter di approvazione dei codici di condotta ai sensi dell'art. 40 GDPR
Ruolo dell'autorità di controllo