Previous Page  34 / 53 Next Page
Information
Show Menu
Previous Page 34 / 53 Next Page
Page Background

SPECIALE GDPR

64

dicembre 2017

La conformità ai codici di condotta è di regola auto-af-

fermata dai soggetti che vi aderiscono, mentre le certi-

ficazioni consistono in meccanismi di assicurazione della

conformità ai requisiti richiesti da parte di appositi enti

terzi relativi alla materia dei trattamenti dei dati personali.

I soggetti legittimati al rilascio della certificazione sono

per l’Italia l’Autorità di controllo competente (dunque

il Garante per la protezione dei dati personali) oppure

gli organismi di certificazione. Questi ultimi possono es-

sere accreditati o dal garante stesso o dall’Organismo

nazionale di accreditamento (per l’Italia, ACCREDIA).

Va però specificato che nel caso del GDPR le differenze

tra codici e certificazioni risultano abbastanza limitate,

per la semplice ragione che le conformità ai codici di

condotta divengono oggetto di monitoraggio da parte

di appositi organismi terzi, limitando dunque il proprio

‘potere’ autoreferenziale.

L’applicazione di un codice di condotta o di un mec-

canismo di certificazione, che devono essere entram-

bi approvati, può essere utilizzata come elemento per

dimostrare la conformità e il rispetto degli obblighi da

parte del titolare del trattamento.

L’adesione a codici di condotta specifici e il consegui-

mento di una o più certificazioni sarà sicuramente di

supporto al titolare e al responsabile del trattamento

che hanno ‘l’onere della prova’ in relazione all’attuazio-

ne delle misure organizzative e di sicurezza adeguate

alla particolare tipologia di dati e di trattamento che su

questi viene effettuato. Va fatto però notare come allo

stato attuale né il Garante né l’Organismo nazionale

di accreditamento abbiano rilasciato alcun criterio per

la suddetta cer tificazione. All’apparenza, quindi, non

sembrerebbe ancora possibile emettere certificazioni

relative al GDPR.

Un primo esempio virtuoso

Diverse entità stanno oggi lavorando sulla creazione dei

codici di condotta appropriati poichè questa possibilità

risulta essere un’importante occasione per il mondo delle

associazioni poiché l’iniziativa della proposta di bozze di

Codice è rimessa dal GDPR proprio al mondo associativo.

A tal proposito, meritevole di menzione è certamente il

Codice di Condotta europeo per il cloud elaborato da

CISPE (Cloud Infrastructure Services Providers in Euro-

pe), una coalizione di oltre 20 provider di infrastrutture

cloud attivi in Europa. Tale codice si è prefissato l’obiettivo

principale di assicurare ai cittadini il controllo dei propri

dati personali e semplificare il contesto normativo per

il commercio internazionale unificando la regolamenta-

zione all’interno dell’Unione Europea.

Il Codice di Condotta CISPE, infatti, aiuterà i clienti di

tutta Europa a valutare se i servizi di infrastrutture cloud

siano idonei per il trattamento di dati personali di cui

vorrebbero usufruire e che - in caso affermativo - rice-

veranno un marchio di fiducia che potrà essere utilizza-

to dai cloud provider per dimostrare ai clienti di essere

conformi ai requisiti richiesti.

Come nasce un codice di condotta per il GDPR

A norma di quanto disposto dall’art. 40 comma 2 GDPR,

le associazioni e gli altri organismi rappresentanti le cate-

gorie di titolari del trattamento o responsabili del trat-

tamento possono elaborare dei codici di condotta che

sono sottoposti all’Autorità di controllo competente.

Il sistema di tali codici disegnato dal GDPR prevede una

loro entrata in funzione solo a valle di un iter lungo e

complesso. Qualora il progetto di codice, la loro mo-

difica ovvero la proroga, siano approvati, e se il codice

di condotta in questione non si riferisce alle attività di

trattamento in vari Stati membri, l’autorità di controllo

registra e pubblica il codice.

Nel caso in cui il progetto di codice di condotta si ri-

ferisca invece alle attività di trattamento in vari Stati

membri, prima di approvare il progetto, la modifica o

la proroga, l’autorità di controllo (competente ex art

55) lo sottopone (tramite la procedura ex art. 63) al

comitato, il quale formula un parere sulla conformità al

regolamento del progetto di codice.

Qualora il parere confermi che il progetto di codice di

condotta è conforme al regolamento, il comitato tra-

smette il suo parere alla Commissione. La Commissione,

a sua volta, può decidere che il codice di condotta sot-

toposto abbia validità generale all’interno dell’Unione.

Provvederà poi la Commissione a dare un’adeguata pub-

blicità dei codici approvati per i quali è stata decisa la

validità generale. Il comitato invece raccoglierà in un

registro tutti i codici di condotta approvati e li renderà

pubblici mediante mezzi appropriati.

segue da pagina 61

© iStock - denizbayram