Un codice di condotta si rivela sempre utile

Approfondimento a cura di Stefano Gazzella, DPO DITEDI

Cogliendo lo spunto offerto dall’ultimo codice di condotta approvato dal Garante Privacy per il trattamento dei dati personali effettuato dalle imprese di sviluppo e produzione di software gestionale, può essere utile chiedersi in che modo si possa fare ricorso a questo strumento di autodisciplina specificamente previsto dall’art. 40 GDPR, tanto da parte delle organizzazioni che scelgono di aderire quanto per quelle che operano all’interno dell’ambito di applicazione del codice stesso. Infatti, lo scopo di un codice di condotta è quello di facilitare l’azione di titolari e responsabili precisando l’applicazione della normativa in materia di protezione dei dati personali, definendo degli standard cui fare riferimento in seguito ad un tavolo di consultazione cui partecipano gli stakeholder del settore e l’autorità di controllo.

Per i soggetti che aderiscono al codice di condotta, siano essi titolari o responsabili, è uno strumento che vale a garantire l’osservanza dei principi del GDPR, contribuendo alla documentabilità degli adempimenti svolti. Questo si rivela particolarmente rilevante in ipotesi quali, ad esempio:

• il rispetto del principio di accountability da parte del titolare del trattamento (art. 24 par. 3 GDPR);
• l’individuazione di un responsabile del trattamento che presenti garanzie sufficienti (art. 28 par. 5 GDPR);
• l’adeguatezza delle misure di sicurezza (art. 32 par. 3 GDPR);
• la valutazione d’impatto sulla protezione dei dati (art. 35 par. 8 GDPR).

Per quanto riguarda, invece, i soggetti che scelgono di non aderire al codice di condotta pur operando all’interno del settore, le misure e prescrizioni che lo stesso indica devono essere lette come uno standard di riferimento e best practices di settore. Ovviamente tenendo conto che l’idea di autoregolamentazione volontaria che presiede la redazione dei codici di condotta non considera che essi possano essere in alcun modo obbligatorio né introduce obblighi nei confronti di coloro che non vi aderiscono.

Tutto questo comporta che il titolare, giovandosi della libertà di decisione derivante dal principio di accountability, potrà selezione anche ulteriori e diverse misure analoghe purché queste siano state valutate come equamente tutelanti per gli interessati. Operando questo modo, è possibile seguire correttamente l’approccio basato sul rischio e gli scopi di protezione richiesti dal Regolamento.

Pertanto, chiunque opera negli ambiti coperti da un codice di condotta, può utilmente fare ricorso al contenuto dello stesso per svolgere audit interni, nonché audit di seconda o terza parte, o anche progettare correttamente le proprie attività di trattamento riducendo così le incertezze strategiche e operative derivanti dall’applicazione della norma.

Non da ultimo, deve evidenziarsi la possibilità di impiego dell’adesione al codice di condotta come leva commerciale per l’offerta dei propri servizi per valorizzare la capacità di rispettare la normativa in materia di protezione dei dati personali.