Codici di condotta e certificazione
I codici di condotta
Non devono essere confusi con i codici di deontologia e di buona condotta che il precedente Codice Privacy prevedeva per determinati settori di attività e che non furono mai elaborati per taluni settori.
Si tratta di strumenti giuridici innovativi introdotti dal GDPR. Il GDPR incoraggia l’elaborazione di codici di condotta destinati a essere conformi ai principi di protezione dei dati, in funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese. Il GDPR stabilisce che i codici di condotta proposti da associazioni e gli altri organismi rappresentanti le categorie di titolari o responsabili devono contenere almeno determinati elementi.
Prima di essere esecutivi devono essere approvati: nel processo di approvazione sono coinvolte le autorità di controllo nazionali, il Comitato europeo della protezione dei dati («European Data Protection Board – EDPB») e la Commissione europea, a seconda dei casi (validi in un solo Stato membro o se sono coinvolti più Stati membri). Lo stesso processo è applicato se i codici di condotta sono modificati o prorogati. I codici di condotta approvati sono resi pubblici e il Comitato europeo della protezione dei dati («European Data Protection Board – EDPB») o l’autorità di controllo, a seconda dei casi, deve tenere apposito registro.
L’adesione a un codice di condotta può essere utilizzata – sia per titolari sia per responsabili – come elemento per dimostrare il rispetto degli obblighi del GDPR.
La certificazione
Il GDPR incoraggia anche la proposta di meccanismi di certificazione e di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al GDPR, tenendo in considerazione le esigenze specifiche delle micro, piccole e medie imprese.
La certificazione è volontaria e non esime il titolare e il responsabile dalle responsabilità riguardo alla compliance al GDPR. La certificazione deve essere approvata da organismi di certificazione o dall’autorità di controllo, in base alla sua validità territoriale. La certificazione è rilasciata al titolare e al responsabile ed ha scadenza.
Le certificazioni approvate sono rese pubbliche e raccolte in un apposito registro.
L’adesione a un meccanismo di certificazione può essere utilizzata – sia per titolari sia per responsabili – come elemento per dimostrare il rispetto del GDPR.
Per approfondire, clicca qui oppure consulta le FAQ oppure contattatami.