Il mese di dicembre 2018 ha visto il Garante privacy italiano impegnato principalmente nella verifica di conformità dei codici di deontologia e di buona condotta per i trattamenti di dati personali al Regolamento UE 2016/679 sulla protezione dei dati personali (“GDPR”).
Si tratta di una verifica demandata al Garante dall’art. 20 del D.lgs. 101/2018 (decreto di adeguamento della normativa nazionale al GDPR) oltre che un aggiornamento cosiddetto formale dei riferimenti al nuovo quadro normativo europeo il quale ha comportato la cancellazione o la ridefinizione di talune previsioni alla luce del diverso approccio richiesto ai titolari del trattamento dal GDPR in omaggio ai fondamentali principi di accountability, privacy by default e privacy by design.
Più specificatamente, le disposizioni dell’art. 20, comma 4° del D.lgs. 101/2018 hanno espressamente previsto che entro 90 giorni dall’entrata in vigore di detto decreto (avvenuta il 19 settembre 2018) il Garante verificasse la conformità al GDPR delle disposizioni contenute nei codici riportati negli allegati A.1, A.2, A.3, A.4 e A.6 del D.lgs. 196/2003 (cosiddetto Codice Privacy).
Ciò è stato realizzato sostanzialmente ripubblicando i vecchi codici “purgati” dalle prescrizioni incompatibili con il GDPR e ridenominati come regole deontologiche, il tutto senza consultazione pubblica essendo questa la prima applicazione dell’art. 20 del D.lgs. 101/2018.
Le così rinominate regole deontologiche (art. 20, comma 4°, D.lgs. 101/2018) sono ora in corso di pubblicazione nella Gazzetta Ufficiale e sono state trasmesse al Ministero della giustizia per essere riportate con decreto nell’Allegato A del Codice Privacy.
Indice degli argomenti
I codici di condotta e la loro funzione
Occorre precisare che il “Codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti” di cui all’Allegato A.5 del Codice privacy ed il “Codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale” di cui all’Allegato A.7 del Codice Privacy non hanno subito la “trasformazione” in regole deontologiche subita dagli altri codici di cui agli Allegati A.1, A.2, A.3, A.4 e A.6.
Per i codici ex Allegati A.5 e A.7 infatti l’art. 20 del D. Lgs. 101/2018 prevede espressamente che essi continuino a produrre effetti restando in vigore per massimo dodici mesi dall’entrata in vigore del D.lgs. 101/2018, e dunque fino al 19 settembre 2019, purchè si verifichino congiuntamente le condizioni seguenti:
- sottoposizione al Garante da parte delle “associazioni e gli altri organismi rappresentanti le categorie interessate” dei codici di condotta elaborati secondo il paragrafo 2 dell’art.40 del GDPR entro 6 mesi dall’entrata in vigore del D.lgs. 101/2018, e dunque entro il 19 marzo 2019;
- conclusione della procedura di approvazione entro 6 mesi dalla suddetta sottoposizione dei codici di condotta al Garante privacy.
Il solo mancato rispetto di queste due condizioni comporterebbe la cessazione dell’efficacia delle disposizioni del codice di deontologia di cui agli Allegati A.5 e A.7 del Codice Privacy.
Al di là dei differenti aspetti formali e procedurali previsti per gli Allegati A.1, A.2, A.3, A.4 e A.6 da una parte, e per gli Allegati A.5 e A.7 dall’altro, è importante invece provare a cogliere le differenze sostanziali proprie dei due gruppi di allegati, e dunque tra le regole deontologiche, da un lato, ed i codici di condotta dall’altro.
Le regole deontologiche hanno una natura prettamente giuridica, sono elaborate direttamente dal Garante privacy e fissano le condizioni di liceità dei trattamenti dei dati alle quali si riferiscono con la conseguenza che il rispetto di tali regole è condizione essenziale di liceità e correttezza del trattamento.
I codici di condotta non sono invece muniti di un proprio potenziale idoneo a fissare le condizioni essenziali di liceità di un trattamento (detti codici saranno elaborati direttamente dalle associazioni e/o altri organismi rappresentanti le categorie dei titolari o responsabili del trattamento e solo in seguito saranno approvati dal Garante privacy) bensì appaiono invece essere lo strumento prescelto dal legislatore UE per consentire ai players di alcuni settori un margine di “autoregolamentazione” (rectius di precisazione dell’applicazione del GDPR) relativamente ai trattamenti di dati.
Codici di condotta come riferimento per le Autorità e per titolari e responsabili
Un’ulteriore riflessione sui codici di condotta porta a verificarne gli effetti nel contesto di applicazione delle sanzioni amministrative pecuniarie previste dal GDPR.
Dal quadro normativo emerge infatti come l’adesione ad un codice di condotta approvato sia un vero e proprio parametro utilizzabile sia dalle Autorità di Controllo, sia da Titolari e Responsabili rispettivamente per motivare scelte in sede di irrogazione di sanzioni o per dimostrare di aver adempiuto agli obblighi normativi.
L’art. 83.2 del GDPR prevede che, in un caso concreto, al momento della decisione sull’an e sul quantum di una sanzione l’Autorità di controllo (id est Garante privacy) debba tener conto di molteplici elementi tra i quali vi è “[…] l’adesione ai codici di condotta approvati ai sensi dell’art. 40 […]” (art. 83.2, lett. j), GDPR).
Come osservato dal WP 253 nelle “Linee guida riguardanti l’applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del Regolamento UE n. 2016/679” del 3 ottobre 2017 si tratta di un profilo nuovo che potrebbe rappresentare un appesantimento sanzionatorio nel caso di chi abbia disatteso le proprie regole di condotta.
Non solo. l’adesione ad un codice approvato è un parametro che consentirà alle Autorità di scegliere se intervenire con una misura sanzionatoria pecuniaria oppure se con altra misura correttiva.
Osserva infatti il WP 253 che in caso di violazione di una delle disposizioni del GDPR, “l’adesione a un codice di condotta approvato potrà fornire indicazioni circa la portata della necessità di intervenire con una sanzione amministrativa pecuniaria effettiva, proporzionata, dissuasiva o altra misura correttiva da parte dell’autorità di controllo”.
Un’Autorità di controllo potrebbe ritenere sufficiente che la comunità incaricata di gestire il codice intervenga adeguatamente in prima persona nei confronti del proprio membro (titolare o responsabile), ad esempio tramite i regimi di monitoraggio e applicazione dei codici di condotta approvati, i quali, precisa doverosamente il WP 253, conteranno “i meccanismi che consentono all’organismo (di controllo) di effettuare il controllo obbligatorio del rispetto delle norme del codice”. Un’Autorità di controllo quindi potrebbe ritenere che tali misure siano, nel caso concreto, “sufficientemente effettive, proporzionate e dissuasive” senza dover imporre misure aggiuntive.
In ogni caso i poteri dell’organismo di controllo si espletano “fatti salvi i compiti e i poteri dell’autorità di controllo competente”, e dunque che l’Autorità di controllo non ha l’obbligo di tenere conto delle sanzioni precedentemente imposte relative al regime di autoregolamentazione. Osserva infine il WP 253 che “La non conformità con le misure di autoregolamentazione potrebbe altresì rivelare la colpa o il dolo del titolare/responsabile del trattamento”.
Nelle “Linee guida riguardanti l’applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del Regolamento UE n. 2016/679” del 3 ottobre 2017, viene poi chiarito che l’adesione ai codici di condotta approvati può essere utilizzata, rispettivamente, sia dal titolare del trattamento come elemento per dimostrare il rispetto dei suoi obblighi, sia dal responsabile come elemento per dimostrare di aver posto in essere le garanzie sufficienti per i trattamenti effettuati per conto del titolare (ad esempio, misure tecniche e organizzative adeguate).
Inoltre, sia il titolare sia il responsabile potranno utilizzare il “parametro” dell’adesione ad un codice di condotta approvato per dimostrare di aver messo in atto le misure tecniche e organizzative adeguate ex art. 32 GDPR.