XI sessione plenaria del Comitato europeo per la protezione dei dati: adottate le Linee Guida sui codici di condotta e g...
Durante l’undicesima sessione plenaria del 4 giugno scorso l’EDPB ha adottato la versione definitiva delle Linee guida sui codici di condotta, volte a fornire un supporto pratico ed interpretativo degli articoli 40 e 41 GDPR. Obiettivo è quello di chiarire le procedure e le norme relative alla presentazione, all’approvazione e alla pubblicazione dei codici di condotta, a livello sia nazionale che europeo, oltre ad offrire alle singole Autorità nazionali un chiaro quadro di riferimento per valutare i codici di condotta, uniformando le procedure di valutazione.
Preliminarmente, le Linee Guida illustrano quali sono i principi a cui dovranno ispirarsi i codici di condotta, richiamando di fatto il comma II dell’art. 40 GDPR, nonché quali sono i potenziali benefici dell’adozione di un codice di condotta, ossia stabilire un insieme di regole che aiutino nell’applicazione del GDPR titolari e responsabili del trattamento a seconda dei diversi settori di operatività dei soggetti coinvolti (si pensi ad esempio alla specificità dei trattamenti di dati relativi allo stato di salute e/o sanitari, svolti da aziende nel settore della ricerca scientifica: l’adozione di un codice di condotta può certamente agevolare le aziende stesse, stabilendo principi generali in merito alla raccolta e, più in generale, al trattamento di tale categoria particolare di dati personali).
Nelle Linee Guida vengono poi illustrati i requisiti minimi che devono avere i codici di condotta perché possano essere approvati: devono contenere un’illustrazione chiara e precisa delle finalità perseguite, dello scopo del codice e di come lo stesso faciliterà l’applicazione del GDPR, devono essere presentati da un’associazione/un gruppo di associazioni come indicato al comma II dell’art. 40 GDPR, devono essere chiaramente indicate le tipologie di trattamento nonché i dati personali oggetto del trattamento stesso, deve essere specificato l’ambito territoriale di operatività del codice e deve essere sottoposto alla valutazione dell’Autorità di controllo competente (sul punto, l’Allegato 2 delle Linee Guida aiuta a capire come individuare l’Autorità competente quando si tratta di codici transnazionali). Infine vengono indicate le modalità per la presentazione alle Autorità di controllo dei codici di condotta nonché i compiti di queste ultime, ossia limitarsi ad una valutazione circa la compliance dei codici stessi al GDPR.
Durante la medesima sessione plenaria, poi, l’EDPB ha adottato la versione definitiva dell’Allegato 1 alle Linee Guida sull’accreditamento (n. 4/2018) con l’obiettivo di fornire indicazioni sui requisiti aggiuntivi per l’accreditamento degli organismi di certificazione, fornendo dei principi generali, non esaustivi, affinchè le Autorità di controllo possano stabilire in concreto i suindicati requisiti, che andranno in ogni caso sottoposti al vaglio dell’EDPB (art. 64, comma III GDPR) prima dell’adozione da parte dell’autorità stesse.
Viene precisato come le Autorità di controllo possono stabilire requisiti ulteriori, in conformità alla rispettiva normativa nazionale e come, al fine di una corretta lettura dei requisiti indicati nell’Allegato 1, lo stesso andrebbe letto congiuntamente con quanto previsto dalla certificazione ISO/IEC 17065/2012.
Da ultimo, l’EDPB ha adottato una versione definitiva dell’Allegato 2 alle Linee-guida sulla certificazione (n. 1/2018), individuando alcuni elementi di valutazione aggiuntivi, ad esempio se i criteri di certificazione riguardino l’obbligo del titolare o del responsabile del trattamento di designare un responsabile della protezione dei dati e l’obbligo di tenere registri delle attività di trattamento.
Nell’allegato sono individuati i principali elementi che le Autorità di controllo e l’EDPB prenderanno in esame ai fini dell’approvazione di criteri di certificazione riferiti a un meccanismo di certificazione (ad esempio, gli obiettivi perseguiti, le operazioni di trattamento e la loro legittimità, gli obblighi dei titolari e dei responsabili del trattamento, il rispetto dei diritti dei soggetti interessati, le misure tecniche e organizzative poste in essere per la tutela dei dati personali). Anche tale elenco non deve intendersi come esaustivo, ma come base minima dei requisiti da prendere in considerazione.