Avv. Elpidio Garzillo

La concezione assolutamente innovativa che ritroviamo nel Regolamento Europeo UE 2016/679, è la seguente: a partire dal maggio 2018, il titolare del trattamento assume una veste senza precedenti nel panorama privacy.

Una veste che lo vede come protagonista della corretta gestione ed organizzazione del patrimonio dati ad esso conferito dagli interessati, verso i quali, sfruttandone l’essenza, ne diventa debitore di quella garanzia di protezione.

Sul punto si conviene che per la messa in atto di opportune misure per dimostrare la conformità al GDPR da parte del Titolare del trattamento o dal Responsabile, per quanto riguarda l’individuazione del rischio connesso a tale processo aziendale, importanti appigli potrebbero essere forniti dai Codici di condotta, dalle certificazioni, dalle linee guida fornite dal Comitato europeo per la protezione dei dati (EDPB) o dalle indicazioni fornite da un Responsabile della protezione dei dati.

Tenendo a mente l’art. 40, gli Stati membri, le Autorità di controllo, il Comitato e la Commissione incoraggiano l’elaborazione di codici di condotta destinati a contribuire alla corretta applicazione del Regolamento, in funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese, cuore pulsante della nostra economia.

I codici “deontologici e di buona condotta”, sono autoregolamentazioni di settore promosse ed approvate dall’Autorità Garante italiana, elaborate col concorso delle associazioni di un determinato settore. In tema di attuazione concreta, quindi, il progetto di codice dovrà essere sottoposto prima all’Autorità garante nazionale e questa esprimerà un parere sul progetto.

Se il parere è positivo e l’applicazione del Codice riguarda solamente lo Stato membro in cui è presentato, l’Autorità registrerà e pubblicherà il Codice realizzato.

L’adozione di tali codici è certamente volontaria e ha lo scopo di dimostrare, appunto, la conformità per quanto riguarda l’individuazione del rischio connesso al trattamento: è un elemento che l’Autorità non potrà non tenere in considerazione, ad esempio, nell’applicazione eventuale di una sanzione o nell’analizzare la correttezza di una valutazione di impatto effettuata dal titolare.

Non si può non rilevare che dalla formale approvazione dei codici di condotta da parte dell’Autorità di controllo sorge la legittima aspettativa della conformità del trattamento effettuato agli standard regolamentari.

C’è da dire, però che questo esito non è affatto scontato, prendendo il GDPR l’adesione solo ai fini della sanzione amministrativa (art.83) e non come causa esimente della responsabilità. I Codici di condotta integreranno il GDPR con norme di dettaglio e semplificazioni, valide per le imprese aderenti.

Sul tema, invece, delle certificazioni, gli Stati membri, le Autorità di controllo, il Comitato e la Commissione incoraggiano, in particolare a livello di Unione, l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al  regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento.

Tale meccanismo previsto dall’art. 42, affida un ruolo importante agli organismi di certificazione che, in possesso del livello adeguato di competenze riguardo alla protezione dei dati, rilasciano e rinnovano la certificazione, dopo averne informato l’autorità di controllo al fine di consentire alla stessa di esercitare i suoi poteri a norma dell’articolo 58, paragrafo 2, lettera h), ove necessario.

Le certificazioni garantiscono il rispetto da parte di professionisti, imprese e organizzazioni pubbliche, dei requisiti previsti dalle norme e dagli standard internazionali riguardo la conformità di prodotti, servizi, processi, sistemi e persone. Sono rilasciate in diversi settori merceologici da un organismo di parte terza accreditato ai sensi delle norme ISO/IEC 17065, ISO/IEC 17021-1, ISO/IEC 17024, la cui indipendenza rispetto all’oggetto da certificare – che sia il bene o servizio, l’organizzazione o la persona – è verificata e attestata dall’Ente di accreditamento Accredia.

Anche su questo punto, certificarsi non significa riduzione della responsabilità del titolare del trattamento o del responsabile del trattamento riguardo alla conformità al regolamento.

L’Autorità di controllo, infatti, col supporto del Reparto N.S.P. (Nucleo Speciale Privacy) Guardia di Finanza, continuerà ad effettuare le proprie ispezioni e le proprie verifiche in materia di privacy nei confronti di tutti i soggetti giuridici interessati alla compliance, indipendentemente dal fatto che abbiano scelto di certificarsi o meno!

Aderirvi non è obbligatorio e in ogni caso non significa minore responsabilità in merito al tema privacy.

Di particolare interesse, infine, è la diatriba in merito alla certificazione del DPO.

Quella di Privacy Officer, è anch’essa una certificazione volontaria per ottenere un riscontro oggettivo di un ente terzo sull’effettivo possesso di una serie di competenze in materia di protezione dei dati. Tale attestazione formale non costituisce un’abilitazione o, peggio, un vaccino anti-sanzione.