privacy

GDPR, a che serviranno i Codici di condotta (ma nessuno ne parla)

I Codici di condotta integreranno il GDPR con norme di dettaglio e semplificazioni, valide per le imprese aderenti. Il rispetto dei Codici determinerà una presunzione di conformità in caso di procedimento. Ma al momento il Garante Privacy non ha fatto sapere nulla sul loro stato di sviluppo

07 Set 2017
Diego Fulco

Direttore Scientifico Istituto Italiano per la privacy e la valorizzazione dei dati

privacy_629187329

Mancano otto mesi ormai al 25 maggio 2018, primo giorno di applicabilità del Regolamento UE 679/2016 sulla protezione dei dati personali (“GDPR”), e molte imprese si stanno già muovendo per adeguarsi.

È risaputo che il GDPR è una normativa dagli impatti organizzativi ed economici importanti, soprattutto per quelle imprese che stanno investendo nel digitale e in tecnologie che comportano tracciatura o monitoraggio di persone o che operano nei settori ad alto impatto come il B/C, la sanità, la ricerca.

Forse, è meno noto che il Regolamento è solo la “base” di un edificio normativo in cui sono ancora in fase di costruzione o di progettazione quei “piani superiori”, fondamentali per le imprese per avere indicazioni certe su come porsi al riparo da sanzioni e per applicare gli istituti del GDPR in modo per loro sostenibile.

Fra i “piani superiori” più importanti dell’edificio normativo ci sono i Codici di condotta, che potranno essere proposti dalle associazioni di categoria alle Autorità Garanti. Se approvati dalle Autorità Garanti nazionali (quando relativi a trattamenti di dati personali con portata nazionale), o dalla Commissione previo parere del Comitato Europeo dei Garanti (quando relativi a trattamenti che si svolgono in vari Stati europei), i Codici di condotta integreranno il GDPR con norme di dettaglio e semplificazioni, valide per le imprese aderenti. Il rispetto dei Codici determinerà una presunzione di conformità in caso di procedimento.

In altri termini, per la protezione dei dati personali il GDPR ha già definito “cosa fare”, cioè, la messa a punto di una serie di adempimenti. I Codici di condotta aiuteranno le imprese che vi aderiscono: 1) a capire meglio “come fare” con la certezza che tale modalità di attuazione è approvata dall’Autorità o dalla Commissione UE; 2) quando – nel fare – è possibile avvalersi di semplificazioni; 3) quando è possibile “non fare” (ad es. non chiedere il consenso), a patto di adottare e documentare specifici accorgimenti.

Certo, il combinato disposto del GDPR e dei provvedimenti delle Autorità Garanti indica già un percorso alle imprese che vogliono adeguarsi entro il 24 maggio 2018. Tuttavia, ci sono molte aree per le quali questo pur corposo framework non fornisce indicazioni su come realizzare gli adempimenti, oppure offre la possibilità di avvalersi di semplificazioni, ma solo a patto che le imprese: a) effettuino un’interpretazione dei criteri normativi documentando per iscritto le proprie scelte (cd. accountability) e sottoponendosi al giudizio dell’Autorità Garante su queste scelte in caso di controllo, nonché alla relativa sanzione, se le scelte sono sbagliate, oppure: b) “facciano gruppo”, proponendo alle Autorità Garanti un Codice di condotta, dove ad ogni semplificazione per i Titolari corrispondono accorgimenti a tutela degli interessati.

Facciamo un esempio. Come già la normativa attuale, anche il GDPR prevede che un’impresa “Titolare”, possa trattare dati personali anche se non obbligatorio per legge, né previsto da un contratto con l’interessato, né basato sul consenso dell’interessato, ove un legittimo interesse del Titolare stesso prevalga sulla privacy. Tuttavia, mentre nella normativa italiana attuale la prevalenza del legittimo interesse può essere riconosciuta solo dall’Autorità Garante (che finora la ha ritenuto sussistente in rari casi, individuati d’ufficio a sua discrezione), secondo il GDPR questa prevalenza può essere: 1) riconosciuta dal Titolare a valle di un test comparativo fra i suoi interessi e la privacy degli interessati, in cui il Titolare verifica in modo rigoroso che i suoi legittimi interessi possono prevalere; oppure 2) prevista esplicitamente all’interno di un Codice di condotta approvato dall’Autorità nazionale oppure  dalla Commissione UE.

Nei considerando, il GDPR ammette un legittimo interesse di un Titolare a trattare e a comunicare dati personali ad altre imprese per fini di marketing diretto. Già prima che i Codici di condotta siano varati, un Titolare potrebbe ritenere il suo legittimo interesse a fare marketing diretto prevalente sulla privacy, ma lo farà a proprio rischio e pericolo: se l’Autorità Garante non condividerà la sua valutazione, quel Titolare potrà incorrere in sanzioni. Per le imprese, sarebbe prezioso potere avere quanto prima la “codifica” di situazioni di prevalenza del legittimo interesse al marketing diretto, e l’indicazione delle cautele da seguire per garantire comunque la privacy dei destinatari del marketing diretto.

Analogo affidamento ai Codici di condotta dell’ultima parola sul “come fare” vale per molti altri ambiti significativi, come: quali documenti redigere per dimostrare in caso di controllo le politiche (policy) aziendali in materia di protezione dei dati personali, quali misure di sicurezza possono essere ritenute adeguate, come disciplinare il rapporto fra Titolari e Responsabili nei vari comparti, come proteggere i dati personali dei minori soprattutto nei contesti digitali e come chiedere il consenso ai genitori, ecc.

Il sistema dei Codici di condotta disegnato dal GDPR prevede una loro entrata in funzione solo a valle di un iter lungo e complesso. I Codici possono essere proposti alle Autorità Garanti da associazioni di categoria, che però devono dimostrare di avere sentito il parere di realtà rappresentative degli interessati. Per essere applicabili, Codici dovranno essere approvati dalle Autorità Garanti (oppure, se hanno valenza europea, dalla Commissione UE, sulla base di un parere del Comitato Europeo). Oltre che dalle Autorità Garanti, la verifica del loro rispetto da parte delle imprese aderenti dovrà essere curata da organismi indipendenti ad hoc, che al momento non esistono e che potranno operare solo dopo essere stati accreditati dalle Autorità Garanti sulla base di criteri proposti dalle Autorità Garanti al Comitato, che dovrà approvarle.

Non ci sembra che l’Autorità Garante italiana abbia fornito, ad oggi, informazioni sullo stato di avanzamento del progetto di definizione dei criteri per l’accreditamento dei costituendi organismi preposti a verificare il rispetto dei Codici di condotta. Considerata l’enorme quantità di lavoro che la nostra Autorità Garante sta affrontando in questa transizione normativa, è verosimile che il progetto sia ancora allo studio.

Viceversa, sarebbe un peccato se le associazioni di categoria italiane non annunciassero quanto prima l’apertura di tavoli di lavoro per la stesura di Codici di condotta. Poiché l’iniziativa della proposta di bozze di Codice è rimessa dal GDPR al mondo associativo, la circostanza che i criteri per l’accreditamento degli organismi di controllo non siano definiti e che l’iter di approvazione dei Codici sarà lungo non dovrebbe costituire motivo di attesa; anzi, dovrebbe indurre a studiare le strategie (ad es. sarebbe opportuno optare per Codici di condotta relativi ad ambiti molto specifici, come le vendite a distanza, i Call Center, la pubblicità nei contesti digitali, perché più rapidamente verificabili dall’Autorità), a valutare chi coinvolgere come realtà rappresentative degli interessati, ad aprire un confronto con associazioni di giuristi e con singoli esperti sui contenuti da proporre. Portarsi avanti sui contenuti oggi, faciliterebbe il percorso domani.

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati