Codice di condotta e certificazioni di qualità per osservare gli obblighi del GDPR

Una volta implementati i processi di gestione dei dati personali nella tua azienda è necessario monitorarli regolarmente attraverso appropriate misure tecniche e organizzative. In questo modo garantisci di rispettare gli obblighi riguardo il regolamento.

Hai mai sentito parlare del codice di condotta?

Foto: Pixabay.com, copyright by geralt, 4015001, CC0 1.0

In un’azienda, solitamente l’amministratore delegato è Responsabile per la tutela dei dati personali. Questo non cambia nemmeno incaricando un RPD (responsabile per la protezione dei dati), che deve prevalentemente controllare la corretta implementazione dei requisiti del GDPR e monitorare se la direzione persegue gli obiettivi attraverso concetti e strategie adeguati.

Ma in che modo l’Amministratore Delegato e il Responsabile per la Protezione dei Dati soddisfano correttamente i propri obblighi?

I più importanti obblighi a riguardo, nel GDPR

Il GDPR ti fornisce alcuni indizi. In primo luogo, descrive l’esatta responsabilità dell’art. 24 e fa specifico riferimento agli articoli 40 e 42. Diamo un’occhiata più da vicino a questi obblighi per scoprire che cosa significano concretamente per te.

Articolo 24 GDPR – La responsabilità del titolare del trattamento

Il legislatore spiega, in quest’articolo, che la persona responsabile deve garantire, attraverso una valutazione del rischio e adeguate misure tecniche e organizzative, che il trattamento dei dati sia conforme al GDPR. Per questo ne è richiesta inoltre la dimostrazione documentata. Come prova, occorre dimostrare l’osservanza del codice di condotta, di cui all’articolo 40, cosi come della procedura di certificazione approvata di cui all’articolo 42.

Le misure di protezione esatte non sono menzionate nel regolamento, ma puoi trovare dei riferimenti nei relativi considerando 74-77, che trattano soprattutto la valutazione del rischio.

Articolo 40 GDPR – Codici di condotta

Qui sono stati formulati 11 punti che ti spiegano quali regole di condotta devono essere elaborate dettagliatamente negli Stati membri. Questi punti sono elencati al numero 2 dove si legge:

  1. Il trattamento corretto e trasparente dei dati;
  2. I legittimi interessi perseguiti dal responsabile del trattamento in contesti specifici;
  3. La raccolta dei dati personali;
  4. La pseudonimizzazione dei dati personali;
  5. L’informazione fornita al pubblico e agli interessati;
  6. L’esercizio dei diritti degli interessati;
  7. L’informazione fornita e la protezione del minore e le modalità con cui è ottenuto il consenso dei titolari della responsabilità genitoriale sul minore;
  8. Le misure e le procedure di cui agli articoli 24 e 25 e le misure volte a garantire la sicurezza del trattamento di cui all’articolo 32;
  9. La notifica di una violazione dei dati personali alle autorità di controllo e la comunicazione di tali violazioni dei dati personali all’interessato;
  10. Il trasferimento di dati personali verso paesi terzi o organizzazioni internazionali;
  11. Le procedure stragiudiziali e di altro tipo per comporre le controversie tra titolari del trattamento e interessati in materia di trattamento, fatti salvi i diritti degli interessati ai sensi degli articoli 77 e 79.

Queste regole sono importanti perché aiutano a soddisfare i requisiti di prova di cui agli articoli 24 e 32. Le regole sono inoltre importanti nel contesto della valutazione d’impatto sulla protezione dei dati di cui all’articolo 35.

Chi è autorizzato a stabilire queste regole?

Queste regole di comportamento sono chiamate anche “Code of Conduct” oppure  “Codice di condotta della privacy”. Sono regole elaborate, in base all’articolo 40, dalle “associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento”, per esempio da associazioni professionali come l’Albo dei Medici o l’Albo degli Avvocati, ma anche la Camera di Commercio oppure i sindacati e le associazioni dei datori di lavoro.

Le associazioni devono prima sottoporre il proprio progetto di codice di condotta elaborato all’autorità di controllo, competente per la revisione e l’approvazione ai sensi dell’articolo 55 del GDPR. Regole nazionali possono essere autorizzate e pubblicate dall’autorità autonomamente. Invece, per progetti di codici di condotta che riguardano attività di trattamento internazionali, l’autorità competente lo sottopone al comitato (art.63), tramite il meccanismo di coerenza, il quale formula un parere sulla conformità.

Chi controlla l’osservanza delle regole?

La sorveglianza è regolata dall’articolo 41. L’articolo afferma che oltre all’autorità di controllo competente (ai sensi degli articoli 57 e 58), anche un cosiddetto “organismo accreditato” controlla la conformità. L’organismo verifica regolarmente la conformità e informa l’autorità di controllo in caso di violazioni.

Articolo 42 – GDPR Certificazione

In questo articolo viene specificato che gli Stati membri e le autorità di controllo incoraggiano l’istituzione di meccanismi di certificazione e di sigilli e marchi di protezione dei dati, allo scopo di dimostrare la conformità dei trattamenti effettuati al GDPR. Nel considerando 100 viene inoltre menzionato che questi marchi e sigilli dovrebbero aiutare agli interessati “a valutare rapidamente il livello di protezione dei dati dei relativi prodotti e servizi”.

Inoltre, la certificazione deve essere volontaria e accessibile attraverso un processo trasparente. Tuttavia, solo perché sei certificato non significa che tu, in quanto responsabile, possa prestare meno attenzione alla conformità. La certificazione non diminuisce le tue responsabilità e nemmeno i compiti e poteri delle autorità di controllo.

La certificazione viene effettuata in base agli articoli 43, 58 o 63  dalle autorità di controllo competenti oppure da organismi di certificazione. Il Responsabile deve fornire all’ente di certificazione tutte le informazioni necessarie per ottenere la certificazione. La certificazione è rilasciata al titolare per un periodo massimo di tre anni e può essere rinnovata alle stesse condizioni, purché continuino a essere soddisfatti i requisiti pertinenti. Nel caso contrario la certificazione può essere anche revocata.

Articolo 43 GDPR Organismi di certificazione

Questo articolo specifica quali enti possono essere accreditati come organismi di certificazione. Gli enti certificatori devono soprattutto essere:

  • indipendenti,
  • in grado di dimostrare all’autorità di controllo di essere competenti riguardo al contenuto della certificazione,
  • impegnati a rispettare i criteri di cui all’articolo 42, 55, 56 e 63
  • dotati di procedure necessarie per l’emissione, organizzati per la revisione periodica e la revoca della certificazione e dei sigilli e marchi di protezione dei dati
  • provvisti di procedure e strutture tramite le quali possono verificare la certificazione
  • in grado di dimostrare, in modo convincente, all’autorità di controllo, che i compiti e le mansioni non comportano un conflitto d’interessi.
Foto: Pixabay.com, copyright by 422737, 445157, CC0 1.0

Cosa fare se non sai più come procedere?

La quantità d’informazioni e obblighi che devono essere tenuti in considerazione, il comportamento corretto, la preparazione e la conduzione delle certificazioni possono essere davvero tante e difficili da gestire. Quindi è molto facile perdere la rotta. Poiché, per te, molto dipende da una certificazione di successo è utile farti consigliare e supportare da qualcuno che sa come funziona. E poiché l’introduzione del GDPR non risale a tanto tempo fa, per te sarebbe la prima volta che affronti la certificazione? Oppure stai pensando di aderire ad un codice di condotta? Niente panico!

Noi di WB Trade-it possiamo aiutarti. Come azienda di servizi con molti anni di esperienza conosciamo molto bene le varie certificazioni e processi. Siamo lieti di assisterti con il nostro team di esperti  e attendiamo il tuo messaggio.