Home

Regolamento - 27/04/2016 - n. 679 art. 41 - Controllo dei codici di condotta approvati1

Luca Bolognini
Selina Zipponi

Controllo dei codici di condotta approvati1

1. Fatti salvi i compiti e i poteri dell'autorità di controllo competente di cui agli articoli 57 e 58, il controllo della conformità con un codice di condotta ai sensi dell'articolo 40 può essere effettuato da un organismo in possesso del livello adeguato di competenze riguardo al contenuto del codice e del necessario accreditamento a tal fine dell'autorità di controllo competente.

2. L'organismo di cui al paragrafo 1 può essere accreditato a controllare l'osservanza di un codice di condotta se esso ha2:

a) dimostrato in modo convincente all'autorità di controllo competente di essere indipendente e competente riguardo al contenuto del codice;

b) istituito procedure che gli consentono di valutare l'ammissibilità dei titolari del trattamento e dei responsabili del trattamento in questione ad applicare il codice, di controllare che detti titolari e responsabili ne rispettino le disposizioni e di riesaminarne periodicamente il funzionamento;

c) istituito procedure e strutture atte a gestire i reclami relativi a violazioni del codice o il modo in cui il codice è stato o è attuato da un titolare del trattamento o un responsabile del trattamento e a rendere dette procedure e strutture trasparenti per gli interessati e il pubblico; e

d) dimostrato in modo convincente all'autorità di controllo competente che i compiti e le funzioni da esso svolti non danno adito a conflitto di interessi.

3. L'autorità di controllo competente presenta al comitato il progetto di requisiti per l'accreditamento dell'organismo di cui al paragrafo 1 del presente articolo, ai sensi del meccanismo di coerenza di cui all'articolo 633.

4. Fatti salvi i compiti e i poteri dell'autorità di controllo competente e le disposizioni del capo VIII, un organismo di cui al paragrafo 1 del presente articolo adotta, stanti garanzie appropriate, le opportune misure in caso di violazione del codice da parte di un titolare del trattamento o responsabile del trattamento, tra cui la sospensione o l'esclusione dal codice del titolare del trattamento o del responsabile del trattamento. Esso informa l'autorità di controllo competente di tali misure e dei motivi della loro adozione.

5. L'autorità di controllo competente revoca l'accreditamento dell'organismo di cui al paragrafo 1, se i requisiti per l'accreditamento non sono, o non sono più, rispettati o se le misure adottate dall'organismo violano il presente regolamento4.

6. Il presente articolo non si applica al trattamento effettuato da autorità pubbliche e da organismi pubblici.

[1] Così corretto con avviso di Rettifica pubblicato in G.U.C.E. L 23 maggio 2018, n. 127.

[2] Così corretta con avviso di Rettifica pubblicato in G.U.C.E. L 23 maggio 2018, n. 127.

[3] Così corretto con avviso di Rettifica pubblicato in G.U.C.E. L 23 maggio 2018, n. 127.

[4] Così corretto con avviso di Rettifica pubblicato in G.U.C.E. L 23 maggio 2018, n. 127.

Inquadramento

L'art. 41.1 GDPR prevede che: «Fatti salvi i compiti e i poteri dell'autorità di controllo competente di cui agli artt. 57 e 58, il controllo della conformità con un codice di condotta ai sensi dell'art. 40 può essere effettuato da un organismo in possesso del livello adeguato di competenze riguardo al contenuto del codice e del necessario accreditamento a tal fine dell'autorità di controllo competente».

Prima di passare all'analisi di tali organismi di cui all'art. 41, è bene precisare che la locuzione «il controllo della conformità con un codice di condotta [...] può essere effettuato» lascia intendere che tale funzione di controllo sia demandata in prima istanza alla DPA competente, ma in realtà né l'art. 57 né l'art. 58 le attribuiscono esplicitamente il compito di monitoraggio.

Infatti, l'art. 57.1.m) prevede che essa incoraggi «l'elaborazione di codici di condotta ai sensi dell'art. 40, paragrafo 1, e [fornisca] un parere su tali codici di condotta e [approvi] quelli che forniscono garanzie sufficienti, a norma dell'art. 40, paragrafo 5» ma esso, come si nota, non cita il compito di sorvegliarne l'applicazione. Anche l'art. 58.3.d) GDPR prevede tra i poteri della DPA competente solo che essa rilasci «un parere sui progetti di codici di condotta e approvarli, ai sensi dell'art. 40, paragrafo 5». Il potere di effettuare un monitoraggio rispetto alla reale applicazione dei codici di condotta sembra dunque doversi fondare sulla più generica previsione di cui all'art. 58.1.a) e (b) per cui essa può «ingiungere al titolare del trattamento e al responsabile del trattamento e, ove applicabile, al rappresentante del titolare del trattamento o del responsabile del trattamento, di fornirle ogni informazione di cui necessiti per l'esecuzione dei suoi compiti» e «condurre indagini sotto forma di attività di revisione sulla protezione dei dati».

Fatta questa premessa, l'art. 41.1, come si diceva, prevede che al fine di monitorare la conformità ai codici da parte di titolari o responsabili, le DPA possono ricorrere anche alla nomina di organismi ex art. 57.1.p) attraverso l'uso di due criteri sanciti dal medesimo art. 41.

Il primo è un criterio che si potrebbe definire “sostanziale”, fatto di requisiti tecnici; il secondo è invece più formale, ed è relativo alla nomina, giacché questi organismi devono essere accreditati dalla DPA. Combinando i menzionati requisiti, l'art. 41.2 prescrive che gli organismi abbiano una serie di caratteristiche: innanzitutto, devono aver dimostrato «in modo convincente» all'autorità di controllo di essere indipendenti e competenti riguardo al contenuto del codice (cfr. art. 41.2.a). Sorvolando sul più facilmente interpretabile requisito della competenza, tale per cui un organismo esperto di sicurezza informatica avrà più facilità a sorvegliare sull'applicazione di un codice ad essa relativo, piuttosto che su un codice relativo alle procedure stragiudiziali, il suddetto «modo convincente» (da tradursi, a parere di chi scrive, in “oggettivo e fondato”), se combinato con il requisito di indipendenza, dovrebbe potersi tradurre nel fatto che, essendo i codici di condotta proposti da associazioni o altre organizzazioni che rappresentano le categorie di titolari o di responsabili del trattamento, gli organismi devono essere svincolati da logiche di rappresentanza di interessi o, in generale, essi non devono essere parte del sistema di stakeholder che potrebbe beneficiare (o meno) dall'adozione, modifica o proroga di tali codici.

Tale requisito, a ben guardare, si combina con quello relativo all'aver dimostrato alla DPA competente che i compiti e le funzioni da essi svolti non danno adito a conflitto di interessi, in base al quale potrebbero sfavorire o favorire titolari o responsabili nell'espletamento di procedure di monitoraggio e nei loro esiti (cfr. art. 41.2.d). In secondo luogo, gli organismi devono dare dimostrazione di aver istituito procedure che gli consentano di valutare l'ammissibilità dei titolari del trattamento e dei responsabili del trattamento ad applicare il codice, così da controllare che ne rispettino le disposizioni e da riesaminarne periodicamente il funzionamento (cfr. art. 41.2.b). Questa disposizione si combina con l'art. 40.4 relativo al fatto che i codici debbano contenere anche meccanismi che consentano all'organismo di cui all'art. 41.1, di effettuare il controllo obbligatorio (ex art. 41.2.b) del rispetto delle norme del codice da parte dei titolari del trattamento o dei responsabili del trattamento che si impegnano ad applicarlo. In tal senso, il predetto requisito procede di pari passo con il contenuto stesso dei codici, che devono mettere l'organismo nella condizione di poter esercitare il proprio compito di monitoraggio e, al tempo stesso, quest'ultimo dovrà costruire i suoi meccanismi di controllo tenendo conto di quanto scritto nei codici di condotta.

Prima vengono approvati codici di condotta e poi vengono accreditati gli organismi. Del resto, non può esservi procedura di valutazione rispetto all'applicazione del codice se il codice non esiste. Ancora, l'organismo dovrà istituire procedure e strutture atte a gestire i reclami relativi a violazioni del codice o della sua attuazione da parte di un titolare o di un responsabile del trattamento, rendendo tali procedure e strutture trasparenti per gli interessati e il pubblico (cfr. art. 41.2.c). La ratio di questa previsione è in realtà il criterio fondante del compito stesso di monitoraggio, che non avrebbe senso di esistere se la mancata applicazione dei codici di condotta non fosse debitamente sanzionabile (ad es. con l'esclusione dall'adesione) a seguito di indagine da parte degli organismi o se gli interessati non avessero diritto a segnalarne l'infrazione o a reclamarne la piena applicazione. Il monitoraggio, se effettuato da un apposito organismo accreditato dalla DPA, si sostanzia non solo nella sorveglianza, ma anche nell'adozione di opportune misure ex art. 41.4 adottabili in caso di violazione del codice da parte di un titolare o di un responsabile del trattamento, tra cui, appunto, la sospensione o l'esclusione dal codice. Una volta adottate le misure, l'organismo ne dà comunque informazione all'autorità di controllo competente, motivandone l'adozione – in modo che, presumibilmente, la DPA stessa possa assicurarsi che i criteri di cui all'art. 41.2 vengano rispettati, ad esempio con riferimento all'assenza di conflitto di interessi (cfr. art. 41.2.d).

Con riferimento al secondo requisito generale di cui all'art. 41, quello dell'accreditamento “formale”, l'art. 41.3 precisa che l'autorità di controllo competente presenta al comitato il progetto di decisione relativo ai criteri per l'accreditamento dell'organismo, in ossequio al principio di coerenza. Infatti, se quelli elencati dall'art. 41.2 costituiscono dei “criteri di base”, è plausibile che ciascuna DPA competente valuterà in base ai suoi parametri la rispondenza a simili requisiti. Onde evitare che vi siano discrepanze a livello nazionale, trattandosi di criteri piuttosto generici, essi dovranno essere sottoposti a parere del comitato ex 64.1.c) in modo che esso possa assicurare omogeneità nella valutazione operata dai singoli Stati membri al fine di accreditare gli organismi di monitoraggio.

Si noti, poi, che la nomina degli organismi può essere revocata ex art. 41.5 GDPR dall'autorità di controllo qualora le condizioni per l'accreditamento non fossero più rispettate, come ad esempio la competenza, l'indipendenza o i criteri di cui all'art. 41.2, in particolare se le misure adottate dall'organismo per dare seguito alle procedure di monitoraggio violano il Regolamento – ad esempio qualora esso effettuasse dei favoritismi rispetto ai titolari/responsabili, danneggiando così l'interessato e ledendo i suoi diritti fondamentali (Bolognini, Pelino, Bistolfi).

In data 4 giugno 2019, il Comitato Europeo per la Protezione dei Dati ha adottato una versione finale delle Linee guida sui codici di condotta che, al par. 12, indicano i requisiti necessari per l'accreditamento degli organismi di monitoraggio. Quanto alla possibile struttura di questi organismi, al punto 64 delle linee guida precisa che “Esistono due principali modelli di monitoraggio utilizzabili dai titolari del codice per soddisfare i requisiti relativi all'organismo di monitoraggio: organismo di monitoraggio esterno ovvero organismo di monitoraggio interno. Nell'ambito di questi due modelli di monitoraggio è ammessa una certa flessibilità e sono proponibili versioni diverse, adeguate al contesto del codice. Quali esempi di organismi di monitoraggio interni si possono citare un comitato interno ad hoc o un dipartimento indipendente e distinto all'interno della struttura del titolare del codice. Spetterà a quest'ultimo spiegare l'approccio in materia di gestione dei rischi per quanto riguarda imparzialità e indipendenza dell'organismo”.

I requisiti richiesti dal Comitato, in particolare, sono i seguenti: indipendenza, assenza di conflitto di interessi, competenza, procedure e strutture consolidate incluso per la gestione trasparente dei reclami e per le comunicazioni con l'autorità, meccanismi di riesame ed aggiornamento, status giuridico adeguato allo svolgimento delle funzioni.

Nel caso in cui un organismo non rispetti le disposizioni applicabili del codice, l'autorità competente potrebbe revocarne l'accreditamento. Tuttavia, poiché la revoca dell'unico organismo di monitoraggio previsto in un codice comporterebbe la sospensione o la revoca del codice, per mancanza del controllo, il Comitato precisa che “se le circostanze lo permettono, la revoca dovrebbe avvenire soltanto dopo che l'autorità di controllo competente ha dato all'organismo di monitoraggio l'opportunità di affrontare urgentemente le problematiche o di apportare gli opportuni miglioramenti entro un termine concordato. Quando si tratti di codici transnazionali, l'autorità di controllo competente, prima di concordare con l'organismo di monitoraggio termini specifici per la gestione delle problematiche evidenziate, dovrebbe interpellare in merito le autorità di controllo interessate. La decisione di revocare un organismo di monitoraggio dovrebbe essere comunicata a tutte le autorità di controllo interessate e al comitato (ai sensi dell'art. 40, paragrafo 11)” (cfr. EDPB, LG 1/2019 punto 87)

Quanto ai codici di condotta del settore pubblico, le linee guida al punto 88 specificano quanto segue: “l'articolo 41, paragrafo 6, del regolamento prevede che il monitoraggio dei codici di condotta approvati non si applichi al trattamento effettuato da autorità pubbliche o da organismi pubblici. Sostanzialmente questa disposizione elimina il requisito del monitoraggio del codice da parte di un organismo accreditato, ma non riduce in alcun modo l'obbligo di mettere in atto meccanismi efficaci per monitorare un codice. A tal fine è possibile modificare requisiti esistenti in materia di audit così da includervi il monitoraggio del codice”.

Deroghe al monitoraggio

In virtù dei compiti svolti da autorità pubbliche e da organismi pubblici, l'art. 41.6 GDPR esclude che ad essi si applichino le disposizioni relative al monitoraggio dei codici di condotta. Se ne deduce che in caso di soggetti pubblici l'unico monitoraggio possibile, con riferimento al rispetto dei codici di condotta, sarà quello da parte delle DPA, nei limiti dei loro poteri (Bolognini, Pelino, Bistolfi).

La disciplina italiana sui requisiti di accreditamento degli organismi di monitoraggio dei codici di condotta

Il Garante per la protezione dei dati personali, competente ad approvare i requisiti per l'accreditamento degli Organismi di monitoraggio (Odm) ai sensi dell'art. 57 GDPR, in data 10 giugno 2020 ha emesso il provvedimento “Requisiti di accreditamento degli organismi di monitoraggio dei codici di condotta – 10 giugno 2020” [doc web 9432569] che tiene conto delle osservazioni dell'EDPB, a cui era stato inviato lo schema ai sensi dell'art. 64 GDPR. Il suddetto provvedimento, in linea con quanto stabilito nelle linee guida del Comitato, definisce i criteri di accreditamento e contiene anche una serie di note esplicative, non vincolanti, che mirano a fornire indicazioni pratiche al fine di agevolare l'applicazione dei criteri.

Quanto alla procedura, la richiesta di accreditamento, con i documenti comprovanti i requisiti, deve essere presentata al Garante che, in caso di esito positivo della valutazione, può concedere l'accreditamento per 5 anni (salva la possibilità di revocarlo prima ove emergano elementi sopravvenuti o fattori di rischio che compromettano il rispetto dei requisiti).

Al fine di ottenere l'accreditamento l'Odm (che può essere interno o esterno) deve in primo luogo dimostrare di essere indipendente e imparziale. In particolare, al paragrafo 3 del provvedimento, il Garante precisa che “devono essere predisposte specifiche regole e procedure formali per la costituzione, il funzionamento e la durata del mandato dell'Odm che assicurino che questo possa svolgere le proprie funzioni di controllo senza subire influenze, interferenze o condizionamenti di alcun tipo da parte del soggetto titolare del codice di condotta, degli aderenti o comunque dei soggetti eventualmente riconducibili al settore (professionale, industriale o altro) a cui il codice si applica”.

L'indipendenza e imparzialità è declinata in particolare nei seguenti requisiti:

a) indipendenza “giuridica”: l'Odm deve dimostrare che le modalità di costituzione, le procedure di adozione delle decisioni, le regole di funzionamento e la durata del mandato garantiscono l'indipendenza e imparzialità; che non è soggetto ad alcun controllo o vigilanza da parte del soggetto titolare del codice di condotta/dei soggetti aderenti; che può svolgere i controlli senza alcuna pressione o condizionamento. Per l'Odm interno, devono essere previste misure aggiuntive e specifiche affinché i rapporti con il titolare del codice di condotta non ne compromettano l'indipendenza e l'imparzialità. Per l'Odm esterno, deve essere dimostrato che non fornisce servizi o prodotti al titolare del codice di condotta/ ai soggetti aderenti;

b) autonomia finanziaria: bisogna dimostrare di disporre delle risorse finanziarie necessarie per l'effettivo adempimento dei compiti nonché per far fronte alle responsabilità in modo sostenibile e continuo; di poterle gestire senza alcuna forma di interferenza, condizionamento o controllo; di rendicontare debitamente le modalità di finanziamento;

c) autonomia organizzativa: occorre dimostrare di disporre di risorse umane, tecniche e logistiche adeguate per l'effettivo adempimento degli obblighi di controllo. Il Garante al paragrafo 3 c) precisa che “nel caso in cui ci si avvalga di collaboratori e fornitori esterni di servizi, appositamente delegati, per lo svolgimento di specifiche attività di controllo – ad eccezione di quelle che comportano l'esercizio di poteri decisionali, che non possono essere delegate ad alcuno – devono essere approntate cautele atte a garantire che tali soggetti siano individuati tra coloro che forniscono sufficienti garanzie di competenza e affidabilità, con particolare riferimento alla materia oggetto del codice di condotta. Tali cautele devono assicurare, altresì, che i medesimi requisiti di indipendenza, assenza di conflitto di interessi, rispetto della disciplina rilevante in materia di protezione dei dati personali, adeguatezza delle risorse, confidenzialità e competenza siano soddisfatti anche dai collaboratori e fornitori esterni di servizi appositamente delegati. Inoltre, le misure suddette devono garantire che l'Odm eserciti un controllo efficace sui servizi forniti da collaboratori e fornitori esterni. Infine, l'Odm deve dimostrare che i medesimi obblighi gravanti sullo stesso siano imposti in capo a detti collaboratori e fornitori esterni, restando inteso che l'Odm mantiene la responsabilità delle decisioni connesse alle attività di controllo e risponde in caso di inadempimento dei predetti obblighi da parte dei collaboratori e fornitori esterni”;

d) responsabilizzazione: l'Odm deve dimostrare di essere responsabile per le sue decisioni e azioni (es. attraverso apposite procedure di lavoro, la redazione di relazioni di gestione e l'adozione di politiche di formazione del personale);

e) onorabilità: i componenti dell'Odm con poteri decisionali devono rispettare specifici requisiti di onorabilità previsti al paragrafo 3.e).

Oltre all'autonomia e indipendenza, l'Odm deve garantire l'assenza di conflitti di interesse dei suoi componenti o dell'organismo nella sua collegialità (situazione che ad esempio si potrebbe verificare nel caso in cui uno dei componenti abbia precedentemente lavorato per uno degli aderenti, o nel caso in cui abbia partecipato ai lavori di redazione del codice). L'Odm deve quindi predisporre procedure volte a identificare, valutare, mitigare, rimuovere eventuali conflitti di interesse (ad es. prevedendo l'obbligo di dichiarare per iscritto ogni potenziale conflitto, o l'obbligo per i componenti di astenersi da qualsiasi attività, remunerata o no, che sia incompatibile con le funzioni dell'Odm).

In aggiunta, l'Odm deve dimostrare che i suoi componenti hanno un livello di competenza adeguato per svolgere efficacemente i propri compiti di controllo. In particolare vengono richieste: a) un'approfondita conoscenza ed esperienza (di tipo giuridico e informatico) in materia di protezione dei dati personali; b) un'approfondita conoscenza ed esperienza nel settore specifico o nelle specifiche attività di trattamento a cui si applica il codice di condotta; c) un'approfondita conoscenza ed esperienza nello svolgimento di compiti di vigilanza e controllo (ad esempio nel settore dell'audit o del controllo di qualità). È inoltre necessario un aggiornamento periodico e costante delle competenze.

Ulteriori requisiti da soddisfare per ottenere l'accreditamento sono i seguenti:

1) l'istituzione di procedure e strutture per il monitoraggio del codice di condotta: devono essere adottate procedure per valutare l'ammissibilità dei titolari e dei responsabili del trattamento come aderenti al codice, per controllarne l'osservanza e per riesaminarne periodicamente il funzionamento. Le procedure devono includere la programmazione delle verifiche, la metodologia per condurle e documentarle, la procedura da seguire per la valutazione dei risultati delle verifiche e per la gestione delle violazioni del codice e l'adozione delle misure correttive e sanzionatorie;

2) l'istituzione di procedure per la gestione trasparente dei reclami, inclusa la possibilità di adottare misure correttive e sanzionatorie che, a seconda della gravità della violazione, devono includere anche la sospensione e l'esclusione dal Codice di condotta. Deve inoltre essere garantita la comunicazione all'autorità delle misure adottate, oltre che l'istituzione di un registro dei reclami e delle misure correttive e l'accessibilità pubblica delle decisioni adottate per la definizione dei reclami;

3) l'istituzione di procedure per le comunicazioni all'autorità di controllo a cui dovranno essere rese note senza ritardo le sanzioni più gravi applicate (sospensione e esclusione). Deve inoltre essere previsto un resoconto annuale dei controlli effettuati, dei reclami definiti, delle misure adottate;

4) l'istituzione di meccanismi di riesame per adeguare il codice in caso di modifiche della disciplina applicabile o di sviluppi tecnologici che possano incidere sul trattamento da parte degli aderenti o sulle previsioni del codice.

Infine, l'Odm deve dimostrare di essere stabilito all'interno del SEE e di avere uno status giuridico tale da poter adempiere effettivamente ai propri compiti e far fronte alle proprie responsabilità.

Sanzioni

Una delle novità dell'impianto sanzionatorio del Regolamento consiste nel fatto che le sanzioni amministrative possono essere applicate anche ad altri soggetti che non siano i titolari o i responsabili del trattamento. Ex art. 83.4.c), infatti, se l'organismo di monitoraggio di cui all'art. 41 viola i suoi obblighi di controllo stabiliti dall'art. 41.4, esso è soggetto a sanzione amministrativa pecuniaria fino a 10.000.000 di euro, che, per le imprese – e potrebbe essere il caso dei predetti organismi – si traduce in una somma che può arrivare fino al 2% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore (Bolognini, Pelino, Bistolfi).

Bibliografia

Bolognini, Pelino, Bistolfi, Il regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Milano, 2016.

Vuoi leggere tutti i contenuti?

Attiva la prova gratuita per 15 giorni, oppure abbonati subito per poter
continuare a leggere questo e tanti altri articoli.

Sommario
Testo articolo
Inquadramento
Deroghe al monitoraggio
La disciplina italiana sui requisiti di accreditamento degli organismi di monitoraggio dei codici di condotta
Sanzioni
Bibliografia