Il codice di condotta è uno strumento utile per delineare ed uniformare regole di condotta comuni e le best practices. Lo scopo di questi codici è quello di offrire un ulteriore strumento di tutela dei dati personali degli utenti attraverso la descrizione dei comportamenti più opportuni da adottare in diverse fattispecie da un punto vista non solo legale, ma anche etico. Il Reg. UE 2016/679 illustra i possibili campi ed obiettivi di applicazione di tali codici, tra cui (i) il trattamento corretto e trasparente dei dati, (ii) la raccolta e pseudonimizzazione, (iii) l’informativa fornita al pubblico ed agli interessati, (iv) l’esercizio dei diritti degli interessati, ecc. Tali codici, di fatto, sono quindi degli strumenti di autodisciplina e l’adesione ad essi è su base volontaria, non risultando pertanto vincolanti: tuttavia, oltre a facilitare l’ottemperanza alle norme in materia di protezione dei dati, in particolare da parte di quei soggetti che ne abbiano una conoscenza limitata (come consumatori o piccole imprese), l’adozione di un codice di condotta ha una rilevanza (e per questo noi come Studio Legale ne consigliamo l’assunzione mettendo a disposizione la nostra consulenza sul punto) anche da un punto di vista di compliance al GDPR e delle relative sanzioni, senza dimenticare che più l’organismo che li adotta è autorevole maggiore sarà l’ambito di diffusione.

Infatti l’art. 83 co. 2 del Regolamento prevede che, nell’irrogare la sanzione, l’Autorità deve valutare, tra gli altri parametri, anche l’eventuale adesione a codici di condotta, che insieme alle certificazioni possono essere usati come elementi per meglio delineare le responsabilità in caso di violazioni.

Affinché il codice di condotta venga approvato deve contenere, tra gli altri, le finalità perseguite, il relativo ambito di applicazione (territoriale e di competenza) e l’indicazione dell’organismo di vigilanza competente, in Italia ovviamente il Garante. In quest’ottica un ruolo chiave è rivestito dagli Organismi di Monitoraggio (ODM) che si occupano del “controllo della conformità con un codice di condotta”, in modo da permettere a imprese e realtà aziendali di essere GDPR compliant, sulla base anche dell’importanza e della tipologia di dati trattati in relazione al settore in cui operano.

A titolo esemplificativo, si elencano infine, per opportuna consultazione, alcuni codici di condotta approvati e pubblicati all’interno dell’apposito Registro, ossia il codice di condotta predisposto dall’ANCIC (trattamento informazioni commerciali), da AISREC, CTC e ASSILEA (sistemi informativi in tema di crediti a consumo e pagamenti) e dall’Azienda Sanitaria USSL 9 del Veneto (dati scientifici e sulla salute).