Privacy. GDPR. Domande e risposte
Disponibili una serie di domande e risposte riguardanti il GDPR (General Data Protection Regulation) o Regolamento UE sul trattamento dei dati personali
Assolombarda Confindustria Milano Monza e Brianza pubblica una serie di domande e risposte riguardanti il GDPR (General Data Protection Regulation) o Regolamento UE 679/2016 sul trattamento dei dati personali: dall'informativa alla nuova figura del Data Protection Officer (DPO), dalla valutazione d'impatto privacy (DPIA) al registro dei trattamenti. Tra le altre novità, il diritto all'oblio, il diritto alla portabilità dei dati, le procedure da espletare in caso di violazione dei dati personali (data breach) ed il trasferimento dei dati verso Paesi Terzi.
INDICE
1. Quando entrerà in vigore il Regolamento in materia di protezione di dati personali. Perchè un Regolamento?
2. Quali sono i contenuti dell’informativa secondo il Regolamento?
3. Quali sono i tempi dell’informativa secondo il Regolamento?
4. Quali sono le modalità, secondo il Regolamento, per rendere l’informativa ai soggetti interessati?
5. Il Regolamento prevede casi di esonero dall’informativa?
6. Cosa cambia con riferimento al consenso per il trattamento dei dati personali con il Regolamento?
7. Cosa non cambia con riferimento al consenso per il trattamento dei dati personali con il Regolamento?
8. Resta valido il consenso raccolto precedentemente al 25 maggio 2018?
9. Quali sono le modalità di esercizio dei diritti degli interessati secondo il Regolamento?
10. Cosa si intende per diritto all’oblio o diritto alla cancellazione introdotto dall’art. 17 del Regolamento?
11. Con riferimento all’esercizio dei diritti, cosa non cambia rispetto al Codice Privacy?
12. Cosa si intende per diritto di limitazione del trattamento introdotto dall’art. 18 del Regolamento?
13. Cosa si intende per diritto alla portabilità dei dati introdotto dall’art. 20 del Regolamento?
14. Quali sono le novità che il Regolamento introduce con riferimento alle figure del titolare, del responsabile e dell’incaricato del trattamento?
15. Il Regolamento introduce una nuova figura denominata Responsabile della protezione dei dati (RPD), meglio nota con l’acronimo di DPO (Data Protection Officer). Quali sono i suoi requisiti, in quali casi è obbligatoria la sua nomina e quali sono i suoi compiti?
16. Quali sono le novità che il Regolamento introduce in materia di misure di sicurezza per la tutela dei dati?
17. Cosa devono garantire le misure di sicurezza?
18. Cos'è la valutazione d’impatto privacy (DPIA)?
19. Cos'è il registro dei trattamenti?
20. Cosa cambia con il Regolamento in caso di violazione di dati personali?
21. Cosa cambia con riferimento al trasferimento dei dati verso Paesi Terzi?
22. Il Regolamento introduce codici di condotta e schemi di certificazione, cosa sono?
1. Quando entrerà in vigore il Regolamento in materia di protezione di dati personali? Perchè un Regolamento?
ll 24 maggio 2016 è entrato in vigore il Regolamento 679/2016 sulla protezione dei dati personali di sole persone fisiche (per le persone giuridiche continuerà ad applicarsi il Codice Privacy per i casi in cui le stesse siano destinatarie di comunicazioni elettroniche e di comunicazioni mediante uso di sistemi automatizzati di chiamata o di comunicazione di chiamata senza l’intervento di un operatore, per l’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale, vedi art. 130 del Codice Privacy).
Il Regolamento è citato frequentemente con l’acronimo GDPR - General Data Protection Regulation. Il testo, pubblicato sulla Gazzetta Ufficiale dell'Unione Europea il 4 maggio 2016, diventerà definitivamente applicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018, quando dovrà essere garantito il perfetto allineamento fra la normativa nazionale in materia di protezione dati e le disposizioni del Regolamento.
Il Regolamento si propone di assicurare un livello coerente di protezione dei dati personali, di garantire certezza e trasparenza nel trattamento delle informazioni, di offrire diritti azionabili ed obblighi omogenei tra gli Stati, di assicurare un controllo ed una cooperazione efficace tra le Autorità competenti.
2. Quali sono i contenuti dell’informativa secondo il Regolamento?
I contenuti dell’informativa sono elencati in modo tassativo negli articoli 13, paragrafo 1, e 14, paragrafo 1, del Regolamento ed in parte sono più ampi rispetto al Codice Privacy. In particolare, il titolare deve sempre specificare:
- i dati di contatto del RPD-DPO (Responsabile della protezione dei dati-Data Protection Officer), ove esistente;
- la base giuridica del trattamento, qual è il suo interesse legittimo, se quest’ultimo costituisce la base giuridica del trattamento;
- se trasferisce i dati personali in Paesi Terzi e, in caso affermativo, attraverso quali strumenti (esempio: si tratta di un Paese terzo giudicato adeguato dalla Commissione europea; sono state inserite specifiche clausole contrattuali modello, ecc.).
Il Regolamento prevede anche ulteriori informazioni in quanto “necessarie per garantire un trattamento corretto e trasparente”: in particolare, il titolare deve specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione, e il diritto di presentare un reclamo all’Autorità di controllo.
Se il trattamento comporta processi decisionali automatizzati (anche la profilazione), l’informativa deve specificarlo e deve indicare anche la logica di tali processi decisionali e le conseguenze previste per l’interessato.
3. Quali sono i tempi dell’informativa secondo il Regolamento qualora i dati personali non siano stati ottenuti presso l'interessato?
Ai sensi dell'art. 14 del Regolamento l’informativa deve essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta.
4. Quali sono le modalità, secondo il Regolamento, per rendere l’informativa ai soggetti interessati?
L’informativa è data, in linea di principio, per iscritto e preferibilmente in formato elettronico (soprattutto nel contesto di servizi online: si vedano art. 12, paragrafo 1 del Regolamento, e considerando 58). Può essere fornita anche oralmente. Il Regolamento ammette, soprattutto, l’utilizzo di icone per presentare i contenuti dell’informativa in forma sintetica, ma solo “in combinazione” con l’informativa estesa (art. 12, paragrafo 7); queste icone dovranno essere identiche in tutta l’UE.
5. Il Regolamento prevede casi di esonero dall’informativa?
In linea generale, se la prestazione dell’informativa agli interessati risulta impossibile o implicherebbe uno sforzo sproporzionato (si veda art. 14, paragrafo 5, lettera b).
6. Cosa cambia con riferimento al consenso per il trattamento dei dati personali con il Regolamento?
Per i dati “sensibili” (si veda art. 9 Regolamento) il consenso deve essere “esplicito”; lo stesso dicasi per il consenso a decisioni basate su trattamenti automatizzati (compresa la profilazione).
Non deve essere necessariamente “documentato per iscritto”, né è richiesta la “forma scritta”, anche se questa è modalità idonea a configurare l’inequivocabilità del consenso e il suo essere “esplicito” (per i dati sensibili); inoltre, il titolare deve essere in grado di dimostrare che l’interessato ha prestato il consenso ad uno specifico trattamento.
Il consenso dei minori è valido a partire dai 16 anni; prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci.
7. Cosa non cambia con riferimento al consenso per il trattamento dei dati personali con il Regolamento?
Deve essere, in tutti i casi, libero, specifico, informato e inequivocabile e non è ammesso il consenso tacito o presunto (no a caselle pre-spuntate su un modulo). Deve essere manifestato attraverso “dichiarazione o azione positiva inequivocabile”.
8. Resta valido il consenso raccolto precedentemente al 25 maggio 2018?
In base ad indicazioni fornite dal Garante Privacy il consenso raccolto precedentemente al 25 maggio 2018 resta valido se ha tutte le caratteristiche sopra citate. In caso contrario, è opportuno adoperarsi prima di tale data per raccogliere nuovamente il consenso degli interessati secondo quanto prescrive il Regolamento, se si vuole continuare a fare ricorso a tale base giuridica.
In particolare, occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all’interessato, per esempio all’interno di modulistica. La formula utilizzata per chiedere il consenso deve essere comprensibile, semplice e chiara.
9. Quali sono le modalità di esercizio dei diritti degli interessati secondo il Regolamento?
Le modalità per l’esercizio di tutti i diritti da parte degli interessati sono stabilite, in via generale, negli artt. 11 e 12 del Regolamento.
Il termine per la risposta all’interessato è, per tutti i diritti (compreso il diritto di accesso), 1 mese, estendibile fino a 3 mesi in casi di particolare complessità; il titolare deve comunque dare un riscontro all’interessato entro 1 mese dalla richiesta, anche in caso di diniego.
Spetta al titolare valutare la complessità del riscontro all’interessato e stabilire l’ammontare dell’eventuale contributo da chiedere all’interessato, ma soltanto se si tratta di richieste manifestamente infondate o eccessive (anche ripetitive). Il riscontro all’interessato di regola deve avvenire in forma scritta anche attraverso strumenti elettronici che ne favoriscano l’accessibilità; può essere dato oralmente solo se così richiede l’interessato stesso (art. 12, paragrafo 1; si veda anche art. 15, paragrafo 3).
La risposta fornita all’interessato non deve essere solo “intelligibile”, ma anche concisa, trasparente e facilmente accessibile, oltre a utilizzare un linguaggio semplice e chiaro.
10. Cosa si intende per diritto all’oblio o diritto alla cancellazione introdotto dall’art. 17 del Regolamento?
Il cosiddetto “diritto all’oblio” si configura come un diritto alla cancellazione dei propri dati personali in forma rafforzata. Si prevede, infatti, l’obbligo per i titolari, se hanno “reso pubblici” i dati personali dell’interessato, ad esempio, pubblicandoli su un sito web, di informare della richiesta di cancellazione altri titolari che trattano i dati personali, compresi “qualsiasi link, copia o riproduzione” (si veda art. 17, paragrafo 2).
Ha un campo di applicazione più esteso di quello di cui all’art. 7, comma 3, lettera b), del Codice, poiché l’interessato ha il diritto di chiedere la cancellazione dei propri dati, per esempio, anche dopo revoca del consenso al trattamento (si veda art. 17, paragrafo 1 del Regolamento).
11. Con riferimento all’esercizio dei diritti, cosa non cambia rispetto al Codice Privacy?
ll titolare del trattamento deve agevolare l’esercizio dei diritti da parte dell’interessato adottando ogni misura (tecnica e organizzativa) a ciò idonea. Benché sia il solo titolare a dover dare riscontro in caso di esercizio dei diritti (art. 15-22), il responsabile è tenuto a collaborare con il titolare ai fini dell’esercizio dei diritti degli interessati (art. 28, paragrafo 3, lettera e) del Regolamento).
12. Cosa si intende per diritto di limitazione del trattamento introdotto dall’art. 18 del Regolamento?
Si tratta di un diritto diverso e più esteso rispetto al “blocco” del trattamento di cui all’art. 7, comma 3, lettera a), del Codice. In particolare, è esercitabile non solo in caso di violazione dei presupposti di liceità del trattamento (quale alternativa alla cancellazione dei dati stessi), bensì anche se l’interessato chiede la rettifica dei dati o si oppone al loro trattamento ai sensi dell’art. 21 del Regolamento.
13. Cosa si intende per diritto alla portabilità dei dati introdotto dall’art. 20 del Regolamento?
Si tratta di un diritto non del tutto sconosciuto ai consumatori, si pensi alla portabilità del numero telefonico. Non si applica ai trattamenti non automatizzati (quindi non si applica agli archivi o registri cartacei). In particolare, sono "portabili" solo i dati trattati con il consenso dell’interessato o sulla base di un contratto stipulato con l’interessato.
14. Quali sono le novità che il Regolamento introduce con riferimento alle figure del titolare, del responsabile e dell’incaricato del trattamento?
Con riferimento alla figura del titolare del trattamento, il Regolamento introduce la contitolarità del trattamento (art. 26) e impone ai titolari di definire specificamente (con un atto giuridicamente valido ai sensi del diritto nazionale) il rispettivo ambito di responsabilità e i compiti con particolare riguardo all’esercizio dei diritti degli interessati, che hanno comunque la possibilità di rivolgersi indifferentemente ad uno qualsiasi dei titolari operanti congiuntamente.
Il Regolamento fissa più dettagliatamente (rispetto all’art. 29 del Codice) le caratteristiche dell’atto con cui il titolare designa un responsabile del trattamento attribuendogli specifici compiti: quest'ultimo deve fornire “garanzie sufficienti”, quali, in particolare, la natura, durata e finalità del trattamento o dei trattamenti assegnati, le categorie di dati oggetto di trattamento, le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel Regolamento. È consentita la nomina di sub-responsabili del trattamento da parte di un responsabile (si veda art. 28, paragrafo 4 del Regolamento), per specifiche attività di trattamento, nel rispetto degli stessi obblighi contrattuali che legano titolare e responsabile primario; quest’ultimo risponde dinanzi al titolare dell’inadempimento dell’eventuale sub-responsabile, anche ai fini del risarcimento di eventuali danni causati dal trattamento, salvo dimostri che l’evento dannoso “non gli è in alcun modo imputabile” (si veda art. 82, paragrafo 1 e paragrafo 3).
Il Regolamento non prevede espressamente la figura dell’incaricato del trattamento (art. 30 Codice Privacy). Esso non ne esclude la presenza in quanto fa riferimento a “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile”.
15. Il Regolamento introduce una nuova figura denominata Responsabile della protezione dei dati (RPD), meglio nota con l’acronimo DPO (Data Protection Officer). In quali casi si deve procedere alla nomina, quali sono i suoi requisiti e quali sono i suoi compiti?
Il Responsabile della protezione dei dati (RPD o DPO) è nominato dal titolare del trattamento o dal responsabile del trattamento ogniqualvolta:
- il trattamento è effettuato da un'autorità pubblica (escluse le autorità giurisdizionali nell'esercizio di funzioni giurisdizionali);
- in ambito privato, le attività principali del titolare o del responsabile consistono in trattamenti di dati personali che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala e/o trattamenti su larga scala di categorie particolari di dati ovvero di dati “giudiziari”;
Tra i requisiti, il RPD o DPO deve possedere un'adeguata conoscenza della normativa e delle prassi di gestione dei dati personali, anche in termini di misure tecniche e organizzative o di misure atte a garantire la sicurezza dei dati. Non sono richieste attestazioni formali o l'iscrizione ad appositi albi professionali, anche se la partecipazione a master e corsi di studio/professionali può rappresentare un utile strumento per valutare il possesso di un livello adeguato di conoscenze;
Tra i compiti, il RPD o DPO deve adempiere alle sue funzioni in piena indipendenza e in assenza di conflitti di interesse. In linea di principio, ciò significa che il RPD o DPO non può essere un soggetto che decide sulle finalità o sugli strumenti del trattamento di dati personali.
Inoltre, deve operare alle dipendenze del titolare o del responsabile oppure sulla base di un contratto di servizio (RPD/DPO esterno). Il titolare o il responsabile del trattamento dovranno mettere a disposizione del Responsabile della protezione dei dati le risorse umane e finanziarie necessarie all’adempimento dei suoi compiti.
Il Responsabile della protezione dei dati dovrà, in particolare:
- sorvegliare l’osservanza del Regolamento, valutando i rischi di ogni trattamento alla luce della natura, dell’ambito di applicazione, del contesto e delle finalità;
- collaborare con il titolare/responsabile, laddove necessario, nel condurre una valutazione di impatto sulla protezione dei dati (DPIA);
- informare e sensibilizzare il titolare o il responsabile del trattamento, nonché i dipendenti di questi ultimi, riguardo agli obblighi derivanti dal Regolamento e da altre disposizioni in materia di protezione dei dati;
- cooperare con il Garante e fungere da punto di contatto per il Garante su ogni questione connessa al trattamento;
- supportare il titolare o il responsabile in ogni attività connessa al trattamento di dati personali, anche con riguardo alla tenuta di un registro delle attività di trattamento.
16. Quali sono le novità che il Regolamento introduce in materia di misure di sicurezza per la tutela dei dati?
Il Regolamento non prevede espressamente una disciplina sulle misure di sicurezza come è previsto con l’attuale DLGS. 196/2003 (Allegato B – Disciplinare tecnico). Esso pone con forza l’accento sulla “responsabilizzazione” (accountability) di titolari e responsabili, ossia sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del Regolamento.
17. Cosa devono garantire le misure di sicurezza?
Le misure di sicurezza devono “garantire un livello di sicurezza adeguato al rischio” del trattamento (art. 32, paragrafo 1). Non potranno sussistere dopo il 25 maggio 2018 obblighi generalizzati di adozione di misure “minime” di sicurezza (art. 33 Codice) poiché tale valutazione sarà rimessa, caso per caso, al titolare e al responsabile in rapporto ai rischi specificamente individuati come da art. 32 del regolamento. Esiste, inoltre, la possibilità di utilizzare l’adesione a specifici codici di condotta o a schemi di certificazione per attestare l’adeguatezza delle misure di sicurezza adottate.
Facendo anche riferimento alle prescrizioni contenute, in particolare, nell’Allegato “B” al Codice Privacy, il Garante potrà valutare la definizione di linee-guida o buone prassi sulla base dei risultati positivi conseguiti in questi anni.
18. Cos'è la valutazione d’impatto privacy (DPIA)?
Quando un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate (a causa del monitoraggio sistematico dei loro comportamenti, o per il gran numero dei soggetti interessati di cui sono magari trattati dati sensibili, o anche per una combinazione di questi e altri fattori), il Regolamento obbliga i titolari a svolgere una valutazione di impatto privacy prima di darvi inizio, meglio conosciuta con l'acronimo DPIA "Data Protection Impact Assessment", consultando l'Autorità di controllo in caso le misure tecniche e organizzative da loro stessi individuate per mitigare l'impatto del trattamento non siano ritenute sufficienti, cioè quando resti elevato il rischio residuale per i diritti e le libertà degli interessati.
Si tratta di uno degli elementi di maggiore rilevanza nel nuovo quadro normativo, perché esprime chiaramente la responsabilizzazione (accountability) dei titolari nei confronti dei trattamenti da questi effettuati. I titolari sono infatti tenuti non soltanto a garantire l'osservanza delle disposizioni del Regolamento, ma anche a dimostrare adeguatamente in che modo essi garantiscono tale osservanza.
19. Cos'è il registro dei trattamenti?
Tutti i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio (art. 30, paragrafo 5 del Regolamento), devono tenere un registro delle operazioni di trattamento. Si tratta di uno strumento fondamentale non soltanto ai fini dell'eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all'interno di un'azienda o di un soggetto pubblico, indispensabile per ogni valutazione e analisi del rischio. Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.
20. Cosa cambia con il Regolamento in caso di violazione di dati personali (data breach)?
A partire dal 25 maggio 2018, tutti i titolari dovranno notificare all’Autorità di controllo le violazioni di dati personali (data breach) di cui vengano a conoscenza, entro 72 ore e comunque “senza ingiustificato ritardo”, ma soltanto se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati. Pertanto, la notifica all’Autorità dell’avvenuta violazione non è obbligatoria, essendo subordinata alla valutazione del rischio per gli interessati che spetta al titolare.
Se la probabilità di tale rischio è elevata, si dovrà informare della violazione anche gli interessati, sempre “senza ingiustificato ritardo”; fanno eccezione le circostanze indicate all'art. 34, paragrafo 3, del Regolamento:
- il titolare ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;
- il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati;
- la comunicazione agli interessati richiederebbe sforzi sproporzionati. In tal caso, si procede ad una comunicazione pubblica o ad una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.
21. Cosa cambia con riferimento al trasferimento dei dati verso Paesi Terzi?
In primo luogo, viene meno il requisito dell’autorizzazione nazionale (art. 45, paragrafo 1, e art. 46, paragrafo 2, del Regolamento). Ciò significa che il trasferimento verso un Paese Terzo “adeguato” ai sensi della decisione assunta dalla Commissione Europea, ovvero sulla base di clausole contrattuali modello, debitamente adottate, o di norme vincolanti d’impresa approvate attraverso la specifica procedura di cui all’art. 47 del Regolamento, potrà avere inizio senza attendere l’autorizzazione nazionale del Garante - a differenza di quanto attualmente previsto dall’art. 44 del Codice.
Tuttavia, l’autorizzazione del Garante sarà ancora necessaria se un titolare desidera utilizzare clausole contrattuali ad-hoc (cioè non riconosciute come adeguate tramite decisione della Commissione Europea) oppure accordi amministrativi stipulati tra autorità pubbliche.
Il Regolamento (art. 46) consente di ricorrere anche a codici di condotta ovvero a schemi di certificazione (vedi domanda n. 22) per dimostrare le “garanzie adeguate”. Ciò significa che i titolari o i responsabili del trattamento stabiliti in un Paese Terzo potranno far valere gli impegni sottoscritti attraverso l’adesione al codice di condotta o allo schema di certificazione, ove questi disciplinino anche o esclusivamente i trasferimenti di dati verso Paesi Terzi, al fine di legittimare tali trasferimenti. Tuttavia (si vedano del Regolamento l'art. 40, paragrafo 3 e l'art. 42, paragrafo 2), tali titolari dovranno assumere, inoltre, un impegno vincolante mediante uno specifico strumento contrattuale o un altro strumento che sia giuridicamente vincolante e azionabile dagli interessati.
Il Regolamento chiarisce come sia lecito trasferire dati personali verso un Paese Terzo non adeguato “per importanti motivi di interesse pubblico”, in deroga al divieto generale, ma deve trattarsi di un interesse pubblico riconosciuto dal diritto dello Stato membro del titolare o dal diritto dell’UE (art. 49, paragrafo 4 del Regolamento), e dunque non può essere fatto valere l’interesse pubblico dello Stato Terzo ricevente.
22. Il Regolamento introduce codici di condotta e schemi di certificazione, cosa sono?
Il Regolamento europeo prevede l’onere della prova in capo al titolare e al responsabile del trattamento; questi quindi dovranno essere in grado di dimostrare di aver messo in atto misure organizzative e di sicurezza adeguate. Best practice, codici di condotta e certificazioni possono, di conseguenza, essere utilizzati come elementi di prova.
In particolare, secondo l’art. 40 del Regolamento, codici di condotta riguardano, ad esempio:
- il trattamento corretto e trasparente dei dati,
- i legittimi interessi perseguiti dal responsabile del trattamento in contesti specifici,
- la raccolta dei dati personali,
- la pseudonimizzazione,
- l’informazione fornita al pubblico e agli interessati,
- l’esercizio dei diritti degli interessati,
- la protezione del minore e le modalità con cui è ottenuto il consenso dei titolari della responsabilità genitoriale sul minore,
- le misure di sicurezza,
- la notifica dei data breach e la relativa comunicazione agli interessati,
- il trasferimento di dati personali verso Paesi Terzi,
- le procedure stragiudiziali di composizione delle controversie.
Il progetto di codice dovrà essere sottoposto all’Autorità garante nazionale e questa esprimerà un parere sul progetto. Se il parere è positivo e l’applicazione del Codice riguarda solamente lo Stato membro in cui è presentato, l’Autorità registrerà e pubblicherà il Codice realizzato.
Nel caso in cui, invece, il progetto di codice di condotta si riferisca a trattamenti realizzati in vari Stati membri, prima che vi sia approvazione definitiva, occorre un secondo esame a livello europeo, con il coinvolgimento del Comitato europeo per la protezione dei dati. Qualora anche a seguito di tale controllo, il progetto ottenga un parere favorevole, sarà registrato e pubblicato.
Ai sensi del Regolamento, inoltre, la Commissione Europea ha il potere di decidere che il codice di condotta abbia validità generale all’interno dell’Unione: in tal modo, il codice è reso applicabile a tutto il settore di riferimento, in tutto il territorio dell’UE.
Tutti i Codici di condotta sono raccolti dal Comitato in un apposito registro e la Commissione è tenuta a dare pubblicità a quelli che hanno acquisito validità generale.
Il Regolamento, inoltre, incoraggia l’istituzione di meccanismi di certificazione, sigilli e marchi di protezione dei dati che consentano agli interessati di valutare rapidamente il livello di protezione dei dati.
La certificazione è volontaria, accessibile tramite una procedura trasparente, rilasciata al titolare o al responsabile del trattamento da appositi organismi di certificazione o dall’Autorità garante, per un periodo massimo di tre anni, rinnovabili.
Gli organismi di certificazione devono possedere un livello di conoscenza della materia adeguato, essere indipendenti ed essere accreditati. Per poter ottenere l’accreditamento, gli organismi devono dimostrare indipendenza e competenze specifiche e presentare le procedure che intendono seguire ai fini della verifica del rispetto dei criteri.
L’aver aderito ad un codice di condotta o l’essersi certificato, non libera il titolare né il responsabile del trattamento dalla responsabilità di conformità al Regolamento e lascia impregiudicati i compiti e i poteri delle autorità di controllo competenti.
Contatti
Ulteriori informazioni e chiarimenti possono essere richiesti al Settore Fisco e Diritto d'Impresa, tel. 0258370.267/308, e-mail fisc@assolombarda.it
Non sei associato e ti servono informazioni?
ContattaciAzioni sul documento