Un ruolo rilevante, all'interno della complessa ed estesa normativa in materia di protezione dei dati personali, assumono i codici di condotta previsti dagli artt. 40 e 41 del Reg. UE 679/2016 (G.D.P.R.)
Si tratta di strumenti di auto-regolamentazione, adottati su base volontaria, mediante i quali le associazioni o altre organizzazioni rappresentanti le categorie di titolari o di responsabili del trattamento, possono dare vita a regole comuni per garantire la protezione dei dati personali all'interno di uno specifico settore.
Il G.D.P.R. è fortemente orientato allo sviluppo dei codici di condotta nel tessuto sociale di ogni Stato membro, tanto da prevedere al Considerando 98 che le suddette associazioni debbano essere incoraggiate in questo processo dalle stesse autorità di controllo (Garanti nazionali della privacy).
Il fine è quello di permettere l'assolvimento degli obblighi nascenti dal Regolamento, in primis i principi di accountability, di privacy by design e by default, in maniera uniforme, condivisa, limitando i costi di implementazione, ciò a beneficio soprattutto della micro, piccola e media impresa.
Non solo: la previsione di norme di natura autoregolamentare, raccolte in codici di condotta destinati ad uno specifico settore, permette di definire misure di contenuto tecnico e prassi applicative, che il G.D.P.R., nell'assunzione di principi generali ed astratti, non sviluppa.
Inoltre, va sottolineato come i codici di condotta si adattino meglio ai continui mutamenti in ambito tecnologico, cambiamenti che richiedono un costante aggiornamento delle norme a protezione dei dati personali; il carattere di flessibilità di tali strumenti, consente di apportare correzioni nelle procedure senza dover ricorrere al tortuoso iter legislativo nazionale od europeo.
L'adozione del codice di condotta permette al titolare o al responsabile del trattamento dei dati personali di avvalersi di importanti benefici:
- essere parti "attive" nel percorso di adeguamento, fissando (attraverso le associazioni di categoria) le regole da rispettare ed aumentando, al contempo, la propria conoscenza della materia;
- comprovare il rispetto del principio di responsabilizzazione.
L'art. 83, comma 2, GDPR, prevede, infatti, che l'irrogazione di sanzioni amministrative vada ponderata caso per caso, tenendo conto di diversi elementi, fra i quali "l'adesione ai codici di condotta approvati ai sensi dell'articolo 40".
Nelle "Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del Regolamento UE n. 2016/679" del 3 ottobre 2017, viene chiarito che l'adesione ai codici di condotta approvati può essere utilizzata, rispettivamente, sia dal titolare del trattamento come elemento per dimostrare il rispetto dei suoi obblighi, sia dal responsabile come elemento per dimostrare di aver posto in essere le garanzie sufficienti per i trattamenti effettuati per conto del titolare (ad esempio, misure tecniche e organizzative adeguate).
Il Garante della privacy potrebbe considerare non necessaria l'applicazione di sanzioni pecuniarie nei confronti di soggetti aderenti ai codici, essendo sufficiente che l'organismo di controllo dell'organizzazione di categoria intervenga attraverso la sospensione dell'associato non compliant o attraverso l'applicazione delle sanzioni previste dal codice di condotta.
Il 12 febbraio 2019 sono state adottate dal Comitato Europeo per la Protezione dei Dati ("EDPB") le linee guida in materia di codici di condotta, allo scopo di promuovere ed incentivare lo sviluppo di questi sistemi di auto-regolamentazione.
La bozza del codice di condotta, redatta dalle associazioni di titolari o responsabili del trattamento, deve essere sottoposta ad approvazione del Garante privacy nazionale, e deve contenere alcuni elementi indispensabili, per evitare di essere rigettata:
- l'indicazione delle finalità, dell'ambito di applicazione e di come il codice di condotta aiuti a conformarsi al GDPR;
- deve essere presentato da associazioni di categoria dei titolari o responsabili che dimostrino una rappresentatività effettiva della categoria, ad esempio sulla base del numero di membri che hanno deciso di aderire al codice;
- il dettaglio del trattamento che viene regolamentato, quali operazioni verranno svolte e che tipo di dati personali verranno trattati;
- l'ambito territoriale, se nazionale o transnazionale, identificando altresì la giurisdizione competente;
- in base al Considerando 99, GDPR, "le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o di responsabili del trattamento dovrebbero consultare le parti interessate pertinenti, compresi, quando possibile, gli interessati, e tener conto delle osservazioni ricevute e delle opinioni espresse in riscontro a tali consultazioni";
- l'identificazione di organismi di controllo all'interno delle associazioni di categoria, sulla base di quanto previsto dall'art. 41, GDPR. Infatti, i codici di condotta relativi ad attività svolte da privati o organismi non pubblici devono prevedere la nomina di un organismo di controllo, che abbia un adeguato livello di competenza rispetto al contenuto del codice e che ne monitori l'osservanza ed il rispetto.
Al termine del procedimento di valutazione, l'autorità di controllo potrà rifiutare o accettare la bozza del codice di condotta, nel qual caso la stessa dovrà essere registrata e pubblicata.