Il Codice di Condotta e i Sistemi di Gestione

Il Codice di Condotta e i Sistemi di Gestione

Come definire le condizioni essenziali per il corretto trattamento di dati personali. Di Paola Limatola e Sebastiano Plutino.

Nell’articolo 12 del Decreto Legislativo 196/2003 (conosciuto come Codice Privacy), il Garante promuove la sottoscrizione di “codici di deontologia e di buona condotta” che, adottati da soggetti pubblici e/o privati, definiscano le condizioni essenziali per la liceità del trattamento di dati personali da essi stessi effettuato.

I Codici Deontologici sono approvati dall’Autorità Garante che ne cura la pubblicazione sulla Gazzetta Ufficiale: nel tempo, alcuni codici deontologici sono stati inclusi nel Codice come Allegati(al momento da A1 a A7) con appositi decreti.

Il Regolamento Europeo EU 679/2016 non fa alcun riferimento a codici deontologici, ma introduce la possibilità e l’auspicio dell’elaborazione e dell’adozione di Codici di Condotta elaborati da associazioni o da altri organismi rappresentanti le categorie di Titolari e Responsabili.

Pubblicità

Attrezzature e presidi - Cassetta di primo soccorso FarmaStar Cassetta di primo soccorso FarmaStar con contenuto previsto per aziende dei Gruppi A e B (oltre 2 dipendenti)

I Codici di Condotta sono strumenti di governance aziendale abbastanza usuali soprattutto nei paesi che adottano un modello giuridico basato sulla common law, nei quali i precedenti giurisprudenziali sono considerati in certo modo vincolanti e nei quali le dichiarazioni di principio “fatte proprie” da una organizzazione sono ritenute rilevanti.

In Italia, così come in altri paesi basati sulla civil law di derivazione latina, la rilevanza di un Codice di Condotta è meno percepita.

Tuttavia, si pensi per esempio ai sistemi di gestione che fanno riferimento agli standard internazionali ISO (qualità, ambiente, sicurezza, energia, sicurezza delle informazioni….. ): se le norme sono adottate dalle organizzazioni, acquistano per le stesse un valore normativo “stringente” e ne disciplinano le modalità di comportamento, diventando un punto di vanto e valore per l’organizzazione stessa.

Il Codice di Condotta di cui all’art. 40 del Regolamento ha l’obiettivo di precisare l’applicazione delle normative e di contribuire alla loro corretta applicazione. All’interno del Codice di Condotta devono essere contenuti i meccanismi che permettono di controllarne l’applicazione attraverso un’attività di monitoraggio: in questo senso, l’adesione a un Codice di Condotta da parte di un’organizzazione significa uniformarsi a uno standard di comportamento e seguirne le regole, rendendo più semplice e agevole il rispetto del Regolamento.

L’organismo che elabora un progetto di Codice di Condotta deve presentarlo all’Autorità Garante, che esprime un parere sulla conformità del progetto di Codice al Regolamento e lo approva se ritiene che offra in maniera sufficiente garanzie adeguate.

L’adozione di un Codice di Condotta approvato non riduce la responsabilità delle organizzazioni riguardo alla conformità al Regolamento e lascia impregiudicati i compiti e i poteri delle autorità di controllo competenti: tuttavia, le autorità di controllo, al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l'ammontare di una sanzione, terranno conto di molti elementi, uno dei quali è proprio l'adesione ai codici di condotta approvati ai sensi dell'articolo 40 (vedi art. 83 punto j).

Nei successivi articoli 41 e 42, il Regolamento prevede la possibilità che un organismo esterno - in possesso del necessario accreditamento e del livello adeguato di competenza - possa effettuare il controllo della conformità a un codice di condotta e incoraggia inoltre l’istituzione di meccanismi di certificazione, di sigilli e marchi della protezione dei dati, “allo scopo di dimostrare la conformità al Regolamento dei trattamenti effettuati“.

L’organizzazione può quindi scegliere un percorso di certificazione per il rispetto al Codice di Condotta adottato rivolgendosi ad entità appositamente accreditate e tale certificazione può tradursi nell’attribuzione di un apposito “bollino” o “marchio” assegnato da un ente super-partes.

Da quanto sopra detto, appare chiaro che è possibile individuare nel Regolamento gli elementi fondamentali di un Sistema di Gestione della protezione dei dati, che può essere costruito con l’ausilio della metodologia PDCA (Plan-Do-Check-Act) allo scopo di standardizzare i comportamenti dell’organizzazione e in linea con le prassi largamente diffuse nell’ambito dei Sistemi di Gestione della Qualità.

Le organizzazioni che già applicano i principi della ISO 9001 (specie nella versione 2015) e utilizzano le metodologie di approccio al rischio come elemento fondamentale del proprio comportamento nel mercato potranno facilmente contestualizzare il proprio approccio alla Protezione Dati Personali e definire le azioni necessarie a tutelare in modo adeguato e trasparente la propria clientela.

Al momento si ha notizia di un Codice di Condotta elaborato da Uniquality e Federmanager Roma con la partecipazione di CODACONS (DPMS 44001:2016©) e sottoposto per le previste valutazioni all’attenzione dell’’Autorità Garante. Il documento è stato affiancato da un meccanismo di certificazione presentato da un ente di certificazione accreditato (DPMC 44002:2016©).

E’ ipotizzabile che altre organizzazioni o associazioni seguano la stessa strada. Non si esclude, inoltre, che l’Autorità Garante, con la collaborazione degli stakeholder, trasformi gli attuali Codici Deontologici allegati al Dlgs. 196/2003 in Codici di Condotta, allo scopo di agevolare il percorso verso un uso sempre più adeguato e trasparente dei dati personali.

Paola Limatola

Sebastiano Plutino

Regolamento (Ue) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)

Questo articolo è pubblicato sotto una Licenza Creative Commons.