
Codici di Condotta e Certificazioni – a che punto siamo
4 Novembre 2019
Una tra le tante caratteristiche del Regolamento Europeo Privacy è che ci sono novità ed aggiornamenti quasi all’ordine del giorno, tutto è in evoluzione e si cercano certezze e punti fissi.
Aspetto ben noto al Garante Privacy che si occupa tra le tante cose di emanare linee guida/provvedimenti che hanno la funzione di supporto per l’applicazione del GDPR e di approvare codici di condotta volontari di associazioni di categoria.
Codice di Condotta: che cos’è?
Il nome stesso ci aiuta a comprendere molto bene di che cosa stiamo parlando – si tratta di un’auto-regolamentazione volontaria prevista dall’articolo 40 del GDPR e messa a punto da rappresentanti e associazioni di categoria con lo scopo di uniformare la protezione dei dati personali all’interno di uno specifico settore.
I Codici di condotta esistevano già con il D. lgs 196/2003 e venivano identificati come codici deontologici. È stato necessario un adeguamento degli stessi, in ottica comunitaria.
Il GDPR risulta molto più incisivo: incoraggia l’elaborazione di codici di condotta destinati a contribuire alla corretta applicazione del Regolamento, in funzione delle specificità settoriali e delle esigenze peculiari delle micro, piccole e medie imprese.
Ciò è evidente anche dal testo coordinato del nuovo Codice della Privacy pubblicato dal Garante dove è presente un lungo elenco di articoli annullati a favore delle nuove regole più chiare e concise.
L’obiettivo di ogni codice di condotta è ovviamente sempre quello di tutelare i dati personali, soprattutto in ambiti particolarmente complessi. Il Comitato dei Garanti europei (EDPB) incentiva lo sviluppo di queste procedure anche per favorire a livello economico le micro e piccole imprese che potranno così garantire l’osservanza dei principi in materia di privacy.
A tal proposito in data 19 settembre 2019 ha pubblicato un comunicato stampa, rendendo noto di aver approvato il Nuovo Codice di Condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti.
Codice di condotta Ancic – ambito gestione del credito
Il primo Codice di Condotta approvato in Europa in seguito dell’entrata in vigore del Regolamento Europeo Privacy è italiano e nasce con l’obiettivo di rendere conforme il rapporto tra GDPR ed informazioni commerciali.
Secondo quanto predisposto dall’Associazione Nazionale tra le Imprese di Informazioni Commerciali e di Gestione del Credito (Ancic), le società che offrono informazioni sull’affidabilità commerciale di imprenditori e manager potranno trattare i dati personali dei soggetti registrati senza richiederne il consenso – basandosi sul legittimo interesse.
Inutile dire che devono essere garantite maggiori tutele agli interessati, informandoli correttamente sui trattamenti effettuati e assicurando loro il pieno esercizio dei diritti previsti dalla normativa privacy, come l’opposizione al trattamento, la rettifica o l’aggiornamento dei dati.
Ti presentiamo alcune delle misure definite da Ancic e approvate dal Garante Privacy dopo un complesso iter di elaborazione:
- Valutazione di impatto sulla protezione dei dati;
- Adeguamento alle best practices europee;
- Nuovi organismi di monitoraggio sulle imprese aderenti al Codice.
Nel Codice di condotta trova concreta applicazione il principio di responsabilizzazione (la cosiddetta accountability), fortemente sostenuto nel GDPR, che impone alle associazioni di categoria e alle imprese un’applicazione consapevole, trasparente, effettiva delle norme regolamentari.
Codice di Condotta SIC: Sistema di informazione creditizia
Nuovo Codice, nuove regole. L’attenzione questa volta ricade suoi consumatori di prestiti, mutui e piattaforme Fintech (piattaforme legate alla tecnofinanza e quindi alla fornitura di servizi finanziari tramite tecnologia ICT).
A tale scopo, i dati censiti -solo i dati necessari, pertinenti e non eccedenti le finalità di valutazione del rischio creditizio – potranno essere trattati senza il consenso degli interessati, sulla base del cosiddetto legittimo interesse delle società partecipanti ai Sic (Sistemi di informazioni creditizie), garantendo però i più ampi diritti previsti dal Regolamento europeo in materia di protezione dei dati.
L’obiettivo del Garante? Assicurare la corretta applicazione del GDPR nel del mercato finanziario e creditizio.
Codici aggiornati
Sono stati poi aggiornati con il D. lgs. 101/2018 i testi relativi ai codici deontologici vigenti sotto il vecchio Codice Privacy e pubblicati in Gazzetta Ufficiale a gennaio 2019, che riguardano:
– archiviazione storica, scientifica o statistica
– attività giornalistica
– investigazioni difensive o difesa di un diritto in sede giudiziaria
Ci si aspetta che col tempo, varie associazioni di categoria, si muoveranno per redigere i propri codici di condotta con l’obiettivo principale di poter avere evidenze oggettive e sostegno del principio dell’accountability.
I Codici elaborati dovranno essere sottoposti al vaglio del Garante che ne valuterà le finalità, la rappresentatività della categoria, la portata del trattamento e se l’applicazione dovrà essere a livello nazionale o territoriale.
A questo punto, il Titolare che vi aderisce, pur mantenendo l’onere oggettivo del proprio operato, può dimostrare il rispetto del principio di responsabilizzazione, tenuto in considerazione anche in caso di controlli ispettivi e sanzioni.
Certificazioni
Sempre in tema di attività volontarie ci sembra opportuno citare un altro ambito in cui ci si aspetta un certo fermento nei prossimi mesi/anni.
Parliamo di certificazioni private dei trattamenti secondo l’articolo 42 del GDPR, in base alle quali l’organismo di accreditamento riconosciuto (per l’Italia è Accredia) può attestare l’adeguatezza delle attività svolte da un Titolare che si certifica volontariamente.
Al momento nessuno schema di certificazione è ancora stato adottato dal Garante privacy.
In ambito ICT si possono già prendere come indicazione le linee guida della Prassi di Riferimento UNI/PdR 43:2018 in cui si definiscono le azioni corrette per garantire il trattamento di dati personali con strumenti elettronici.
Anche in questo caso si può parlare di valore aggiunto a fronte di una possibile sanzione che terrà conto in modo positivo della certificazione (sanzione amministrativa che, come ricordiamo, prevede un massimale di 20 milioni di euro o 4% del fatturato mondiale annuo se superiore).