Gli articoli 40 e 41 del Regolamento (UE) 2016/679 (GDPR) presentano i codici di condotta quale strumento utile per ottenere maggiori livelli di coerenza nella tutela dei diritti in materia di protezione dei dati e ne descrivono dettagliatamente i requisiti di ammissibilità da soddisfare e l’iter di presentazione, approvazione e pubblicazione.
I codici di condotta rientrano, insieme alla certificazione di cui agli articoli 42 e 43 del GDPR, nel novero degli ausili di responsabilizzazione offerti dal GDPR, i quali possono essere volontariamente scelti dai titolari e dai responsabili del trattamento che vogliono applicare operativamente i principi di protezione dei dati stabiliti dalla legislazione europea e nazionale alla progettazione e allo svolgimento delle attività di trattamento.
In altri termini, i codici di condotta sono una modalità concreta per imparare a conoscere e applicare il principio di responsabilizzazione, in quanto insegnano a dimostrare all’esterno la propria conformità al GDPR, coinvolgendo attivamente tutte le parti interessate.
Dopo aver compreso meglio che cosa sono i codici di condotta, di seguito, si vedrà come l’adesione ad un codice di condotta comporti una serie di benefici per le piccole e medie imprese e per quali ragioni specifiche potrebbe costituire una soluzione soddisfacente anche per le esigenze delle micro-organizzazioni. Una ragione in particolare può sintetizzare i vantaggi dell’adesione a un codice di condotta: la possibilità di comunicare al mercato un segnale importante di impegno e ricerca della conformità al GDPR che appunto, tramite l’adesione al codice, diviene dimostrabile.
Infine, si elencheranno i codici di condotta fin ora approvati in Italia che anche in questa occasione si è dimostrata la prima tra gli Stati membri ad avvalersi di questo valido strumento.
Che cosa sono i codici di condotta
I codici di condotta si possono definire come un meccanismo attraverso cui poter dimostrare la conformità al GDPR e, quindi, costituiscono efficaci strumenti volontari di responsabilizzazione che stabiliscono specifiche norme di protezione dei dati per categorie di titolari e di responsabili del trattamento.
Si possono distinguere i codici nazionali dai codici transnazionali a seconda del fatto che essi regolino attività di trattamenti che si svolgono rispettivamente in uno Stato membro o in più Stati membri ricordando che un codice transnazionale può riguardare attività di trattamento svolte da una molteplicità di titolari o responsabili del trattamento senza necessariamente configurare un trattamento transfrontaliero.
Le funzioni principali dei codici di condotta sono rappresentate dalla possibilità di:
- Contribuire a colmare eventuali divari di armonizzazione esistenti tra gli Stati membri nell’applicazione della normativa in materia di protezione dei dati, in particolare quando un codice di condotta si riferisce ad attività di trattamento effettuate in diversi Stati membri;
- Concordare regole pratiche e su misura, di natura giuridica ed etica, per la protezione dei dati con riferimento a determinati settori, anche distinti, che tuttavia svolgono attività comuni di trattamento dei dati condividendo, quindi, le medesime caratteristiche ed esigenze.
È bene ricordare che l’adesione a un codice di condotta non garantisce di per sé la conformità al GDPR né l’immunità del titolare o del responsabile del trattamento da sanzioni o responsabilità previste dal GDPR. La sua funzione consiste nell’aiutare e guidare titolari e responsabili del trattamento all’applicazione pratica del GDPR con riferimento alla specifica natura dell’attività di trattamento o del settore di trattamento.
L’approvazione dei codici di condotta è condizionata alla soddisfazione di una serie di criteri e ad una procedura che coinvolge soggetti diversi. Ogni progetto di codice presentato per l’approvazione deve, innanzitutto, contenere una motivazione chiara e concisa in cui sia specificato lo scopo del codice, l’oggetto (con la descrizione puntuale delle operazioni di trattamento contemplate, le loro caratteristiche e le problematiche che pone), le categorie di titolari o responsabili del trattamento interessate e le modalità con cui si intendono affrontare le problematiche del trattamento e dare applicazione al GDPR.
Il progetto di codice, inoltre, deve:
- includere una documentazione pertinente a supporto delle motivazioni che hanno indotto a considerare necessario il codice;
- indicare se si tratta di un codice nazionale o transnazionale, specificando l’ambito di applicazione territoriale;
- proporre meccanismi attraverso i quali sia possibile vigilare sull’osservanza delle disposizioni da parte dei titolari o responsabili che lo applicano;
- identificare un organismo di monitoraggio accreditato dall’autorità di controllo competente, nel caso in cui il codice contempli attività di trattamento di autorità o enti privati, non pubblici;
- confermare la conformità alla pertinente normativa nazionale, in particolare se il codice riguarda un settore regolato da disposizioni specifiche del diritto nazionale.
Il progetto di codice deve essere presentato da un’associazione (o un consorzio di associazioni) o da altri enti che rappresentano in maniera idonea le categorie di titolari o di responsabili del trattamento, previa consultazione di tutte le parti interessate. Le associazioni o le organizzazioni che elaborano e presentano un codice sono definite i Titolari dei codici, ad essi spetta di individuare l’autorità di controllo competente per l’esame del progetto. All’autorità di controllo prescelta, quindi, compete stabilire se il progetto di codice presentato possa passare alla successiva fase di valutazione completa del contenuto in linea con gli articoli 40 e 41 del GDPR. Se l’autorità di controllo ritiene ammissibile il progetto di codice, allora redige un parere entro un periodo di tempo ragionevole e informa regolarmente i Titolari del progetto sullo stato del procedimento e sulla tempistica indicativamente prevista. A questo punto l’Autorità di controllo può:
- decidere di rifiutare l’approvazione, il processo si conclude e i Titolari dei codici dovranno valutare le conclusioni del parere, riconsiderare il progetto di codice ed eventualmente ripresentarlo nuovamente aggiornato;
- approvare il progetto di codice, registrare e pubblicare il codice sul suo sito web e/o altri mezzi di comunicazione appropriati.
Nell’ipotesi in cui si venga presentato all’autorità di controllo competente un codice transnazionale, la procedura di approvazione prevede dei passaggi ulteriori e il coinvolgimento di altri attori quali tutte le autorità di controllo interessate, i due co-revisori chiamati dall’autorità di controllo competente per la valutazione del contenuto del progetto del codice; il Comitato Europeo della protezione dei dati che rilascia un parere di conformità al GDPR e la Commissione europea che decide che il codice transnazionale approvato ha validità generale all’interno dell’Unione e vi da un’adeguata pubblicità.
Quali sono i vantaggi apportati dai codici di condotta
I codici di condotta possono costituire una soluzione molto vantaggiosa per attività di trattamento che presentano particolari peculiarità/criticità e rappresentano un’opportunità importante sotto due prospettive strettamente collegate. Da un lato, il codice è un’occasione per cucire una serie di regole sulle caratteristiche specifiche di un particolare settore e/o di un trattamento svolto in tale settore ed in quest’ottica le associazioni o le organizzazioni rappresentative di un settore possono elaborare i codici proprio per aiutare le categorie di titolari o di responsabili del trattamento del rispettivo settore. Dall’altro lato, il codice è uno strumento comodo per i titolari e responsabili del trattamento perché facilita e precisa la corretta ed efficace applicazione da parte loro del GDPR. Si può ricordare a tal proposito che un codice di condotta non si limita a parafrasare il GDPR, ma mira a codificare in modo specifico, pratico e preciso modalità applicative del GDPR. Dunque, i titolari e i responsabili del trattamento che aderiscono a un codice di condotta avrebbero allo stesso tempo un doppio vantaggio potendo godere di un insieme di prescrizioni create sulla base delle loro esigenze concrete e potendo applicare più facilmente e precisamente il GDPR.
Come annunciato dallo stesso articolo 40, paragrafo 1, del GDPR, i codici sono una soluzione particolarmente adatta per soddisfare le esigenze di PMI e microimprese perché permettono loro di rispettare le norme sulla protezione dei dati in modo più economico e pratico. Le Linee guida 1/2019 dell’European Data Protection Board ci offrono un esempio concreto a riguardo evidenziando tutti i risvolti benefici di un codice di condotta:
“Le microimprese che svolgono attività simili di ricerca sanitaria potrebbero unirsi tramite le loro associazioni e sviluppare collettivamente un codice che disciplini la raccolta e il trattamento dei dati sanitari, anziché cercare di condurre da sole un’analisi approfondita della protezione dei dati.”
Il codice di condotta così:
- andrà a beneficio delle autorità di controllo perché consentirà loro di comprendere meglio le attività di trattamento di una specifica professione e del settore;
- aiuterà le imprese a disciplinare alcune tematiche che caratterizzano le proprie attività conformemente al GDPR, quali i legittimi interessi, le misure di sicurezza e i propri obblighi;
- consentirà di non dipendere eccessivamente dalle autorità di controllo per disporre di orientamenti più granulari sulle specifiche attività di trattamento;
- offrirà un certo grado di autonomia e controllo nel formulare e concordare le buone prassi per lo specifico settore o comunque consolidarle;
- potrà rivelarsi una risorsa fondamentale al fine di gestire aspetti critici nelle procedure di trattamento e conseguire una migliore osservanza delle norme in materia di protezione dei dati;
- genererà fiducia e certezza del diritto offrendo soluzioni pratiche ai problemi di un particolare settore con riguardo ad attività di trattamento comuni e favorendo lo sviluppo di un approccio collettivo e coerente alle esigenze di trattamento dei dati;
- potrà, quale esempio concreto di trasparenza, essere uno strumento efficace per conquistare la fiducia degli interessati perché potrà affrontare diverse questioni, anche quelle che destano più preoccupazione al pubblico come la comunicazione o la diffusione dei dati, i meccanismi di gestione dei dati in seguito all’esercizio dei diritti, le specifiche misure di sicurezza o i tempi di conservazione dei dati;
- potrà costituire un meccanismo utile nel settore dei trasferimenti internazionali poiché i terzi potranno aderirvi per fornire garanzie adeguate agli interessati e migliorare il livello di protezione dei dati;
- sarà un elemento preso in considerazione dalle autorità di controllo in particolare quando dovrà valutare la necessità di infliggere una sanzione amministrativa pecuniaria ovvero ricorrere a un’altra misura correttiva nell’ipotesi di violazione di una delle disposizioni del GDPR.
Il Codice di condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale
Con il provvedimento n. 181 del 29 aprile 2021 il Garante per la protezione dei dati personali ha approvato la versione definitiva del Codice di condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale che è entrato in vigore il 27 maggio del 2021.
Esso è stato elaborato dall’Associazione nazionale tra imprese di informazioni commerciali e di gestione del credito (ANCIC) per consentire a tutti gli operatori del settore di operare in un quadro di regole certe. Con il Codice, infatti, le società che offrono informazioni sull’affidabilità commerciale di imprenditori e manager potranno trattare i dati personali dei soggetti censiti senza richiederne il consenso, basandosi sul legittimo interesse, ma dovranno garantire maggiori tutele agli interessati, informandoli correttamente sui trattamenti effettuati e assicurando loro il pieno esercizio dei diritti previsti dalla normativa privacy, come l’opposizione al trattamento, la rettifica o l’aggiornamento dei dati.
Il Codice era stato già approvato il 12 giugno del 2019 ma la sua efficacia era stata subordinata al completamento della fase di accreditamento dell’Organismo di monitoraggio avvenuta l’11 febbraio 2021 la quale ha poi comportato la successiva integrazione e aggiornamento del Codice. Il Garante privacy ha attribuito all’Organismo di monitoraggio il compito di verificare il rispetto del Codice da parte degli aderenti e di gestire la risoluzione dei reclami. L’organismo, esterno all’Ancic e con incarico quinquennale non rinnovabile, è formato da cinque componenti dotati di un’approfondita conoscenza in materia di informazioni commerciali e di protezione dei dati e deve assicurare la massima imparzialità e indipendenza per evitare ogni possibile situazione di conflitto di interessi.
Il Codice di condotta per l’utilizzo di dati sulla salute a fini didattici e di pubblicazione scientifica
La Regione Veneto ha presentato, su proposta dell’AULSS 9 Scaligera, il Codice di condotta per l’utilizzo di dati sulla salute a fini didattici e di pubblicazione scientifica affinché le Aziende Sanitarie aderenti potessero adottare modalità e misure comuni, in attuazione al GDPR, di utilizzazione dei dati personali presenti nella documentazione sanitaria per la produzione di elaborati per fini didattici e di pubblicazioni scientifiche.
Il Codice è stato approvato dal Garante per la protezione dei dati personali il 14 gennaio 2021.
Nel Codice si pone particolare attenzione alle misure di sicurezza di natura tecnica con l’obiettivo di evitare la re-identificazione degli interessati ai quali fanno riferimento i dati personali oggetto di elaborazione a fini didattici e, quindi, tutelare la loro sfera privata.
Particolarmente interessante risulta la presentazione dettagliata delle singole tecniche di anonimizzazione e pseudonimizzazione all’interno dell’Allegato 1 del Codice e l’illustrazione delle rispettive debolezze intrinseche rispetto alle tipologie di rischio (di individuazione, di correlabilità o di deduzione).
Tra le principali tecniche per le operazioni di anonimizzazione vengono considerate due tipologie distinte:
- La randomizzazione che consiste nella modifica della veridicità dei dati al fine di eliminare la forte correlazione che esiste tra essi e la persona e che può essere realizzata con diversi metodi (la sostituzione degli attributi, l’aggiunta di rumore statistico, la permutazione e l’uso della privacy differenziale);
- La generalizzazione degli attributi che consiste nel generalizzare gli attributi delle persone interessate modificando la rispettiva scala o ordine di grandezza e che può aver luogo tramite la generalizzazione di singoli attributi o l’aggregazione.
Tra le tecniche di pseudonimizzazione si riportano quelle più comuni quali la crittografia con chiave segreta, la funzione hash e la tokenizzazione.
Tali soluzioni possono essere scelte in fase di progettazione e implementate dai professionisti sanitari sulla base delle caratteristiche peculiari del caso, ma rappresentano un elenco utile per tutti i titolari del trattamento che vogliano minimizzare i rischi per la tutela della sfera privata degli interessati.
Il Codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo
Proposto dalle associazioni di categoria e approvato dal Garante per la privacy il 12 settembre 2019, il nuovo Codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti è il risultato di un complesso lavoro di revisione del vecchio Codice deontologico il quale, dopo l’avvento del GDPR, non era più compatibile e attuale. Le nuove regole per i sistemi di informazione e l’analisi del rischio creditizio, infatti, intendono adeguarsi alle sfide poste dalla digital economy dimostrando apertura verso le nuove tecnologie e ai servizi del Fintech.
Le principali novità introdotte dal Codice riguardano il settore dei prestiti, dei mutui e delle nuove forme di finanziamento (leasing, noleggio a lungo termine, prestiti tra privati gestiti tramite piattaforme tecnologiche Fintech) prevedendo maggiori tutele per i consumatori censiti nelle banche dati del credito e maggiore trasparenza sul funzionamento degli algoritmi che analizzano il rischio nei finanziamenti.
Con l’obiettivo di agevolare il funzionamento del mercato finanziario e creditizio, il Codice prevede la possibilità per le società che partecipano ai Sistemi di informazioni creditizie (“Sic”) di trattare i dati censiti senza il previo consenso degli interessati, avvalendosi della base giuridica del legittimo interesse, rafforzando allo stesso tempo i diritti a tutela della privacy delle persone interessate.
In particolare:
- possono essere trattati solo i dati necessari, pertinenti e non eccedenti le finalità di valutazione del rischio creditizio;
- devono essere rese informazioni più complete e trasparenti sui trattamenti posti in essere e, in caso di negazione del credito sulla base di analisi automatizzate, l’interessato può chiedere di conoscere la logica di funzionamento degli algoritmi;
- è istituito un organismo di monitoraggio indipendente che vigili sull’operato dei Sic;
- si prevedono nuove forme di contatto (anche tramite sistemi di messaggistica istantanea) per avvisare preventivamente gli interessati dell’eventuale iscrizione nei SIC;
- i modelli di analisi statistica e gli algoritmi utilizzati devono essere sottoposti a verifica e aggiornamento con cadenza almeno biennale;
- devono essere adottate particolari misure di sicurezza per evitare gli accessi illeciti e gli algoritmi si possono allenare con dati pseudonimizzati.