|
|
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
DELIBERA 10 giugno 2020
Requisiti di accreditamento degli organismi di monitoraggio dei
codici di condotta. (20A03617)
(GU n.173 del 11-7-2020)
IL GARANTE PER LA PROTEZIONE
DEI DATI PERSONALI
Nella riunione odierna, alla quale hanno preso parte il dott.
Antonello Soro, presidente, la dott.ssa Augusta Iannini,
vicepresidente, la prof.ssa Licia Califano, la dott.ssa Giovanna
Bianchi Clerici, componenti e il dott. Giuseppe Busia, segretario
generale;
Visto il regolamento (UE) 2016/679 del Parlamento europeo e del
Consiglio del 27 aprile 2016 relativo alla protezione delle persone
fisiche con riguardo al trattamento dei dati personali, nonche' alla
libera circolazione di tali dati e che abroga la direttiva 95/46/CE
(di seguito «regolamento»);
Visto il decreto legislativo 30 giugno 2003, n. 196 (Codice in
materia di protezione dei dati personali, di seguito il «Codice»)
come novellato dal decreto legislativo 10 agosto 2018, n. 101 recante
«Disposizioni per l'adeguamento della normativa nazionale alle
disposizioni del regolamento (UE) 2016/679»;
Visto l'art. 40 del regolamento che prevede che le associazioni e
gli altri organismi rappresentanti le categorie di titolari del
trattamento o responsabili del trattamento possano elaborare
(modificare o prorogare) codici di condotta destinati a contribuire
alla corretta applicazione del regolamento in specifici settori di
attivita' e in funzione delle particolari esigenze delle micro,
piccole e medie imprese, e che tali codici devono essere approvati
dall'autorita' di controllo competente;
Visto il considerando 98 del regolamento che prevede che tali
codici possono calibrare gli obblighi del titolare del trattamento e
del responsabile del trattamento, tenuto conto dei potenziali rischi
del trattamento per i diritti e le liberta' degli interessati;
Viste le «Linee guida 1/2019 sui codici di condotta e sugli
organismi di monitoraggio a norma del regolamento (UE) 2016/679»
adottate dal Comitato europeo per la protezione di dati (di seguito
«Comitato») il 4 giugno 2019, all'esito della consultazione pubblica;
Considerato in particolare che l'adesione ad un codice di condotta
puo' essere utilizzata come elemento di responsabilizzazione
(c.d.accountability),in quanto consente di dimostrare la conformita'
dei trattamenti di dati, posti in essere dai titolari e/o dai
responsabili del trattamento che vi aderiscano, ad alcune
disposizioni o principi del regolamento, o al regolamento nel suo
insieme (cfr. cons. 77 e articoli 24, paragrafo 3, e 28, paragrafo 5,
e 32, paragrafo 3 del regolamento);
Considerato che l'art. 41, paragrafo 1, del regolamento prevede
che, fatti salvi i compiti e i poteri dell'autorita' di controllo
competente, la verifica dell'osservanza delle disposizioni di un
codice di condotta, ai sensi dell'art. 40 del regolamento, e'
effettuata da un Organismo di monitoraggio (di seguito «Odm») in
possesso del livello adeguato di competenze riguardo al contenuto del
codice e del necessario accreditamento rilasciato a tal fine dalla
medesima autorita', con la sola eccezione del trattamento effettuato
da autorita' pubbliche e da organismi pubblici per il quale non e'
necessaria l'istituzione di un Odm (art. 41, paragrafo 6 del
regolamento);
Considerato che l'art. 41, paragrafo 3, del regolamento prevede che
la predetta autorita' di controllo presenta al Comitato uno schema di
requisiti per l'accreditamento dell'Odm, ai sensi del meccanismo di
coerenza di cui all'art. 63 del regolamento;
Considerato che l'art. 57, paragrafo 1, lettera p) del regolamento
prevede, in particolare, che ciascuna autorita' di controllo, sul
proprio territorio, definisce e pubblica i requisiti per
l'accreditamento dell'Odm, ai sensi dell'art. 41;
Rilevato che, ai sensi del combinato disposto di cui agli articoli
55 del regolamento e 2-ter del Codice, il Garante e' l'autorita' di
controllo competente ad approvare i presenti requisiti per
l'accreditamento dell'Odm, nell'esercizio del potere conferitole ai
sensi dell'art. 57, paragrafo 1, lettera p, del regolamento;
Considerato che il regolamento e le linee guida del Comitato sopra
citate, fissano un quadro organico di riferimento per la definizione
dei requisiti che l'Odm deve soddisfare per ottenere
l'accreditamento;
Rilevato che il Garante incoraggia lo sviluppo di codici di
condotta per le micro, piccole e medie imprese al fine di promuovere
un'attuazione effettiva del regolamento, aumentare la certezza del
diritto per titolari e responsabili del trattamento e rafforzare la
fiducia degli interessati in ordine alla correttezza dei trattamenti
di dati che li riguardano;
Rilevato, in questo contesto, che l'obbligo di affidare il
monitoraggio dei codici di condotta a un Odm accreditato non dovrebbe
costituire un ostacolo allo sviluppo di tali strumenti e che, quindi,
va riconosciuto un certo margine di flessibilita' ai promotori dei
codici di condotta nell'applicazione dei requisiti di accreditamento
fissati dal Garante al fine di definire il modello di Odm piu'
adeguato a controllarne l'osservanza, fermo restando il rispetto di
quanto previsto dal regolamento, dalle Linee guida e dai pertinenti
pareri del Comitato;
Rilevato altresi' che il Garante nella procedura di accreditamento,
volta a verificare che l'Odm soddisfi i predetti requisiti, tiene in
considerazione le specificita' dei trattamenti di dati personali
afferenti al/i settore/i a cui si applica il codice di condotta e, in
particolare, la natura e la dimensione del settore, la tipologia e il
numero (anche atteso) di soggetti aderenti, la peculiarita' e la
complessita' delle operazioni di trattamento oggetto del codice,
nonche' i rischi per gli interessati;
Visto lo schema di requisiti per l'accreditamento dell'Odm
approvato dal Garante in data 30 gennaio 2020 e sottoposto in data 31
gennaio 2020 al Comitato per il prescritto parere (art. 41 paragrafo
3 e art. 64 paragrafo 1 lettera c), del regolamento);
Viste le osservazioni rese dal Comitato nel parere adottato il 25
maggio 2020 e notificato al Garante il 28 maggio 2020 (disponibile su
https://edpb.europa.eu/);
Ritenuto, in ottemperanza a quanto previsto dall'art. 64, paragrafo
7, del regolamento, di aderire alle osservazioni contenute nel
suddetto parere e di modificare lo schema di requisiti per
l'accreditamento in conformita' a tali osservazioni, dandone
comunicazione alla presidente del Comitato;
Ritenuto quindi ai sensi dell'art. 57, paragrafo1, lettera p), del
regolamento di approvare i requisiti per l'accreditamento dell'Odm,
opportunamente modificati alla luce del suddetto parere ed allegati
al presente provvedimento del quale formano parte integrante;
Vista la documentazione in atti:
Viste le osservazioni formulate dal segretario generale ai sensi
dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore la dott.ssa Giovanna Bianchi Clerici;
Tutto cio' premesso
Il Garante:
a) ai sensi dell'art. 57, paragrafo 1, lettera p), del
regolamento approva i requisiti per l'accreditamento dell'Odm
riportati in allegato al presente provvedimento del quale formano
parte integrante;
b) ai sensi dell'art. 64, paragrafo 7 del regolamento comunica
alla presidente del Comitato il presente provvedimento, che recepisce
i rilievi formulati nel parere richiamato in premessa;
c) invia copia della presente delibera all'Ufficio pubblicazione
leggi e decreti del Ministero della giustizia ai fini della sua
pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.
Roma, 10 giugno 2020
Il presidente: Soro
Il relatore: Bianchi Clerici
Il segretario generale: Busia
Allegato 1
Requisiti per l'accreditamento degli organismi di monitoraggio dei
codici di condotta
1. Procedura di accreditamento.
L'Odm di cui all'art. 41 del regolamento (UE) 2016/679 (di
seguito «regolamento») ottiene l'accreditamento se comprova il
possesso dei requisiti di seguito indicati sulla base di una
richiesta inviata al Garante per la protezione dei dati personali. La
richiesta deve essere presentata in lingua italiana e corredata da
ogni documentazione utile a comprovare il possesso di tali requisiti.
L'accreditamento e' rilasciato dal Garante per un periodo massimo
di cinque anni, ferma restando la possibilita' per i soggetti
titolari del codice di condotta di prevedere nel medesimo codice che
il mandato dell'Odm abbia una durata inferiore.
Fatti salvi i compiti dell'Autorita' connessi alla verifica, in
qualunque momento, del rispetto da parte dell'Odm dei requisiti di
accreditamento e dello svolgimento delle sue funzioni di monitoraggio
in conformita' al regolamento, l'Autorita' si riserva di avviare una
revisione dell'accreditamento prima della sua scadenza qualora venga
a conoscenza, anche a seguito degli esiti di attivita' ispettive, di
elementi o fattori di rischio sopravvenuti che compromettano il
rispetto da parte dell'Odm dei predetti requisiti ovvero dei suoi
obblighi di monitoraggio oppure la conformita' al regolamento delle
misure da questi adottate.
L'Odm manterra' pertanto l'accreditamento per tutta la durata per
cui viene rilasciato a meno che, all'esito della revisione condotta
dal Garante, l'Autorita' non accerti che l'Odm non soddisfi piu' i
requisiti per l'accreditamento o che questi non sia in grado di
adempiere ai suoi obblighi di monitoraggio oppure che le misure da
esso adottate violino il regolamento.
Al fine di ottenere il rinnovo dell'accreditamento la relativa
richiesta potra' essere inviata al Garante fino a tre mesi prima
della scadenza del termine.
I presenti requisiti di accreditamento si applicano all'Odm che
lo richiede, sia nel caso in cui si tratti di organismo interno sia
nel caso in cui si tratti di organismo esterno al soggetto titolare
del codice di condotta per il quale si richiede l'accreditamento (di
seguito «Odm interno» o «Odm esterno») (1) a meno che non sia
espressamente specificato che un determinato requisito e' richiesto
soltanto per una tipologia di Odm.
Poiche' nell'applicazione di tali requisiti l'Autorita' tiene in
adeguata considerazione le specificita' del/i settore/i a cui si
applica il codice di condotta, affinche' un Odm, accreditato per il
monitoraggio di un determinato codice, possa svolgere compiti di
controllo nei riguardi di un altro codice di condotta, sara'
necessario avanzare al Garante una diversa richiesta di
accreditamento.
I requisiti di accreditamento di seguito indicati sono corredati
da alcune note esplicative, riportate in corsivo, che non hanno
carattere vincolante, essendo volte a fornire indicazioni pratiche ed
esempi che possono agevolare l'applicazione dei medesimi requisiti
sia per la predisposizione della richiesta di accreditamento sia per
il mantenimento dell'accreditamento stesso.
2. Richiesta di accreditamento
La richiesta di accreditamento deve essere redatta in lingua
italiana e deve contenere le seguenti informazioni:
i dati identificativi del richiedente o, in caso di societa',
associazioni, fondazioni o altri enti, i dati identificativi del
rappresentante legale e delle persone eventualmente preposte
all'adozione delle decisioni relative alle attivita' di monitoraggio
aventi rilevanza esterna;
il codice fiscale/la partita IVA e, se del caso, con
riferimento alle societa' registrate, il numero del registro delle
imprese;
la residenza del richiedente, o in caso di societa',
associazioni, fondazioni o altri enti, la sede legale che deve essere
in ogni caso all'interno dello Spazio economico europeo;
l'eventuale censimento all'interno dell'Indice nazionale dei
domicili digitali delle imprese e dei professionisti (INI-PEC
www.inipec.gov.it - art. 6-bis Codice amministrazione digitale -
decreto legislativo n. 82/2005) o nell'Indice dei domicili digitali
delle pubbliche amministrazioni e dei gestori di pubblici servizi
(IPA www.indicepa.gov.it - art. 6-ter Codice amministrazione digitale
- decreto legislativo n. 82/2005);
nel caso di societa', associazioni, fondazioni o altri enti, lo
statuto e l'atto costitutivo;
il recapito prescelto per le comunicazioni relative alla
domanda di accreditamento;
l'indicazione della tipologia di Odm (ossia, interno od
esterno);
l'indicazione del codice di condotta per il quale e' richiesto
l'accreditamento;
l'ambito nazionale o transnazionale di applicazione del codice
di condotta.
La richiesta di accreditamento puo' essere inviata per posta o
recapitata a mano al seguente indirizzo: Garante per la protezione
dei dati personali, Piazza Venezia n. 11 - 00187 Roma oppure inviata
in via telematica alla casella di posta elettronica:
odm.accreditamento@gpdp.it
Nella richiesta di accreditamento, l'Odm assume formalmente
l'impegno di osservare ogni normativa applicabile allo svolgimento
delle sue funzioni e, in particolare, le disposizioni rilevanti del
regolamento e del decreto legislativo 30 giugno 2003 n. 196 recante
il Codice in materia di protezione dei dati personali (di seguito
«Codice»).
Il soggetto che effettua la richiesta di accreditamento mediante
la sottoscrizione e l'invio della stessa si assume la
responsabilita', anche ai sensi dell'art. 168 del Codice, della
veridicita' di quanto dichiarato.
Alla richiesta di accreditamento deve, altresi', essere allegata
ogni documentazione utile idonea a comprovare il possesso dei
requisiti di accreditamento di seguito individuati.
3. Indipendenza e imparzialita'
L'Odm deve dimostrare di poter assolvere ai propri compiti di
controllo con piena indipendenza e imparzialita'.
In particolare, devono essere predisposte specifiche regole e
procedure formali per la costituzione, il funzionamento e la durata
del mandato dell'Odm che assicurino che questo possa svolgere le
proprie funzioni di controllo senza subire influenze, interferenze o
condizionamenti di alcun tipo da parte del soggetto titolare del
codice di condotta, degli aderenti o comunque dei soggetti
eventualmente riconducibili al settore (professionale, industriale o
altro) a cui il codice si applica.
Per ottenere l'accreditamento, il possesso, in capo all'Odm,
dell'indipendenza e imparzialita' necessarie per adempiere ai propri
obblighi di controllo deve essere comprovato in relazione ai seguenti
profili:
a) forma giuridica e procedure decisionali;
b) autonomia finanziaria;
c) autonomia organizzativa;
d) responsabilizzazione.
3.a) Forma giuridica e procedure decisionali
Le modalita' di costituzione dell'Odm e di composizione del suo
personale con poteri decisionali, le procedure di adozione e
applicazione delle decisioni, le regole di funzionamento e la durata
del mandato dell'Odm devono garantire che questi assolva ai suoi
obblighi di controllo con piena indipendenza e imparzialita'. In
particolare, l'Odm deve dimostrare di non essere soggetto, in via
diretta o indiretta, ad alcuna forma di controllo, direzione o
vigilanza da parte del soggetto titolare del codice di condotta, dei
soggetti aderenti o eventualmente riconducibili al settore
(professionale, industriale o altro) a cui il codice si applica.
Inoltre, l'Odm deve dimostrare di poter condurre le proprie attivita'
di controllo senza subire alcuna forma di pressione esterna, di
interferenza o condizionamento diretti o indiretti. L'Odm fornisce
informazioni su eventuali legami di natura giuridica o economica con
il soggetto titolare del codice di condotta e i soggetti aderenti,
fornendo prova del fatto che tali legami non ne compromettono
l'indipendenza ne' l'imparzialita'.
Nel caso di un Odm interno, devono essere previste misure
aggiuntive e specifiche tali da garantire che i rapporti con il
soggetto titolare del codice di condotta non ne compromettano
l'indipendenza e l'imparzialita' ne' l'effettiva operativita' dei
suoi compiti di controllo.
Nel caso di un Odm esterno, va comprovato che questi non fornisca
al soggetto titolare del codice di condotta, ai soggetti aderenti al
codice o eventualmente riconducibili al settore (professionale,
industriale o altro) a cui il codice si applica, alcun prodotto o
servizio che possa in qualche modo compromettere la sua indipendenza
e imparzialita' ovvero l'effettiva operativita' dei suoi compiti di
controllo.
Nota esplicativa:
Cio' puo' essere comprovato, ad esempio, attraverso la seguente
documentazione:
statuto e atto costitutivo dell'Odm e del soggetto titolare del
codice di condotta;
regole e procedure di selezione, nomina, modalita' di
remunerazione e durata del mandato dei componenti dell'Odm incaricati
di assumere le decisioni attinenti alle attivita' di controllo;
documentazione comprovante i rapporti commerciali, finanziari,
contrattuali o di altro genere che intercorrono tra l'Odm, il
soggetto titolare del codice di condotta e gli aderenti al codice
nonche' le idonee misure adottate allo scopo di ridurre al minimo
eventuali rischi per l'indipendenza e l'imparzialita' dell'Odm
suddetto.
3.b) Autonomia finanziaria
L'Odm deve dimostrare di disporre delle risorse finanziarie
necessarie per l'effettivo adempimento dei suoi compiti nonche' per
far fronte alle sue responsabilita'. Inoltre, l'Odm deve dimostrare
che le regole e/o le modalita' di finanziamento garantiscono la
sostenibilita' e la continuita' delle attivita' di monitoraggio, in
particolare qualora una o piu' fonti di tale finanziamento vengano a
mancare successivamente, per esempio, in caso di ritiro o di
esclusione di uno degli aderenti al codice di condotta, ove l'Odm sia
finanziato attraverso le quote versate dagli aderenti stessi.
Nel valutare le proprie risorse finanziarie, l'Odm tiene conto
del numero, delle dimensioni e della complessita' organizzativa degli
aderenti al codice di condotta, della natura e degli ambiti delle
rispettive attivita' come definite dal codice e dei rischi connessi
ai trattamenti cui il codice si applica.
L'Odm deve essere in grado di gestire le proprie risorse
finanziarie in modo autonomo e indipendente senza alcuna forma di
interferenza, condizionamento o controllo da parte del soggetto
titolare del codice di condotta, degli aderenti allo stesso o
comunque dei soggetti eventualmente riconducibili al settore
(professionale, industriale o altro) a cui il codice si applica.
L'Odm deve dimostrare che le sue modalita' di finanziamento sono
approntate in modo tale da non pregiudicare l'indipendenza e
l'imparzialita' delle sue funzioni di controllo, nonche' che siano
oggetto di debita rendicontazione.
3.c) Autonomia organizzativa
L'Odm deve dimostrare di disporre di risorse umane, tecniche e
logistiche adeguate per l'effettivo adempimento dei suoi obblighi di
controllo, avuto riguardo in particolare alla specificita' del/i
settore/i a cui si applica il codice di condotta, tra cui, la natura
e la dimensione del settore, la tipologia e il numero (anche atteso)
dei soggetti aderenti, la delicatezza e la complessita' dei
trattamenti di dati oggetto del codice, i rischi per gli interessati.
Tali risorse devono consentire all'Odm di svolgere le proprie
funzioni di monitoraggio con piena indipendenza e imparzialita' e
senza subire alcuna forma di interferenza, condizionamento o
sanzione, a causa dell'assolvimento delle stesse, ad opera del
soggetto titolare del codice, dei soggetti aderenti o eventualmente
riconducibili al settore (professionale, industriale o altro) a cui
il codice si applica.
Nel caso di un Odm interno, quest'ultimo deve dimostrare che la
sua struttura organizzativa sia configurata in modo tale da
assicurare la sua indipendenza e imparzialita', nonche' l'effettiva
operativita' delle sue funzioni di controllo.
Nota esplicativa:
Cio' puo' essere comprovato tramite la predisposizione di
specifici modelli organizzativi e gestionali, di processi operativi
che assicurino, ad esempio, la separazione organizzativa, gestionale
e funzionale dell'Odm dal soggetto titolare del codice di condotta,
nonche' la confidenzialita' delle informazioni trattate (per esempio:
gestione amministrativa separata delle retribuzioni, sistemi
contabili con distinti centri di imputazione di responsabilita',
barriere informative e ogni altra misura atta a garantire la
separazione delle funzioni gestionali e operative fra Odm e soggetto
titolare del codice di condotta).
L'Odm deve dimostrare di disporre di personale qualificato, anche
fornito da altro organismo indipendente dal soggetto titolare del
codice, dai soggetti aderenti o eventualmente riconducibili al
settore (professionale, industriale o altro) a cui il codice si
applica. Tale personale, in ogni caso, deve essere soggetto alla
direzione e alla vigilanza esclusiva dello stesso Odm e vincolato a
specifici obblighi di confidenzialita' nello svolgimento del suo
operato.
Nota esplicativa:
Ad esempio, l'Odm puo' avvalersi di personale reclutato da un
ente esterno indipendente che fornisce servizi di ricerca, formazione
e selezione di risorse umane.
Qualora l'Odm si avvalga di collaboratori e fornitori esterni di
servizi, appositamente delegati, per lo svolgimento di specifiche
attivita' di controllo - ad eccezione di quelle che comportano
l'esercizio di poteri decisionali, che non possono essere delegate ad
alcuno - devono essere approntate cautele atte a garantire che tali
soggetti siano individuati tra coloro che forniscono sufficienti
garanzie di competenza e affidabilita', con particolare riferimento
alla materia oggetto del codice di condotta. Tali cautele devono
assicurare, altresi', che i medesimi requisiti di indipendenza,
assenza di conflitto di interessi, rispetto della disciplina
rilevante in materia di protezione dei dati personali, adeguatezza
delle risorse, confidenzialita' e competenza siano soddisfatti anche
dai collaboratori e fornitori esterni di servizi appositamente
delegati. Inoltre, le misure suddette devono garantire che l'Odm
eserciti un controllo efficace sui servizi forniti da collaboratori e
fornitori esterni. Infine, l'Odm deve dimostrare che i medesimi
obblighi gravanti sullo stesso siano imposti in capo a detti
collaboratori e fornitori esterni, restando inteso che l'Odm mantiene
la responsabilita' delle decisioni connesse alle attivita' di
controllo e risponde in caso di inadempimento dei predetti obblighi
da parte dei collaboratori e fornitori esterni.
Nota esplicativa:
Cio' puo' essere comprovato, ad esempio, tramite:
documentate procedure e regole organizzative per la selezione e
l'utilizzo di collaboratori e fornitori esterni di servizi che
definiscono le condizioni alle quali si possa ricorrere a tali
soggetti, il processo autorizzativo e le modalita' di controllo del
loro operato;
documentate procedure e regole organizzative atte a garantire la
competenza e l'affidabilita' di collaboratori e fornitori esterni di
servizi;
contratti o altri atti giuridici che individuino le rispettive
responsabilita', ivi comprese quelle relative alla riservatezza e
alla confidenzialita' dei dati e delle altre informazioni trattate.
3.d) Responsabilizzazione
L'Odm deve dimostrare di essere responsabile per le sue decisioni
e azioni, ad esempio, definendo una serie di misure volte a
documentare i processi decisionali, vigilare sul rispetto delle
procedure interne di funzionamento e rendicontare le attivita' di
controllo, in modo da garantire indipendenza e imparzialita'.
Nota esplicativa:
Cio' puo' essere comprovato, ad esempio, tramite la descrizione
delle procedure di lavoro, la redazione di relazioni di gestione e
l'adozione di politiche di formazione del personale volte a renderlo
edotto delle misure adottate.
Qualsiasi decisione assunta dall'Odm nell'ambito delle sue
funzioni di controllo non deve essere soggetta all'approvazione di
nessun altro ente, associazione o organizzazione, ivi inclusi il
soggetto titolare del codice di condotta, gli aderenti allo stesso o
i soggetti eventualmente riconducibili al settore (professionale,
industriale o altro) a cui il codice si applica.
3.e) Onorabilita'
I componenti dell'Odm incaricati di assumere le decisioni
attinenti alle attivita' di controllo garantiscono i seguenti
requisiti di onorabilita':
non trovarsi in una delle condizioni previste dall'art. 2382
del codice civile;
non essere stati radiati da albi professionali per motivi
disciplinari ne' per altri motivi;
non aver riportato condanne per delitti non colposi o a pena
detentiva per contravvenzioni, salvi gli effetti della
riabilitazione;
non essere stati sottoposti a misure di prevenzione o di
sicurezza personali.
Il possesso dei predetti requisiti di onorabilita' nel caso di
societa', associazioni, fondazioni ed altri enti (persone giuridiche)
devono essere riferiti al rappresentante legale e alle altre persone
eventualmente preposte all'adozione delle decisioni relative alle
attivita' di monitoraggio aventi rilevanza esterna.
4. Conflitto di interessi
L'Odm deve disporre di procedure documentate atte a prevenire,
individuare, valutare, mitigare o rimuovere il rischio di eventuali
conflitti di interesse per l'intera durata del suo mandato, avuto
riguardo, in particolare, alle specificita' del/i settore/i a cui si
applica il codice di condotta. In particolare, tali procedure devono
garantire che i singoli componenti dell'Odm con poteri decisionali e
l'Odm nel suo complesso si astengano da qualunque azione
incompatibile con le funzioni e gli obblighi di quest'ultimo e che
non esercitino alcuna attivita', remunerata o meno, con essi
incompatibili. I componenti dell'Odm devono impegnarsi a rispettare
tali procedure e a segnalare qualsiasi situazione che possa creare
eventuali conflitti di interessi.
Nota esplicativa:
Ad esempio, puo' insorgere un conflitto di interessi nel caso in
cui il personale dell'Odm con poteri decisionali abbia lavorato in
precedenza per il soggetto titolare del codice o per uno degli
aderenti oppure sia stato coinvolto nei lavori di redazione del
codice di condotta. In casi del genere devono essere fornite
all'Autorita' garanzie idonee a mitigare sufficientemente il rischio
di un eventuale conflitto di interessi.
La procedura di gestione dei conflitti di interesse puo'
prevedere, ad esempio, che il personale dell'Odm con poteri
decisionali sia tenuto a dichiarare per iscritto ogni potenziale
conflitto di interessi o rischio per la propria indipendenza.
L'Odm deve predisporre misure atte ad assicurare che questi non
solleciti o accetti istruzioni da alcuno, in particolare nella
formazione, assunzione e applicazione delle decisioni attinenti
all'assolvimento dei propri compiti di controllo.
L'Odm deve predisporre misure atte a evitare che lo stesso possa
essere rimosso, sanzionato o penalizzato, direttamente o
indirettamente, a causa dell'adempimento dei suoi compiti dai
soggetti titolari del codice di condotta, dagli aderenti o dai
soggetti in qualche modo riconducibili al settore (professionale,
industriale o altro) a cui il codice si applica.
Nota esplicativa:
Ad esempio, l'assenza di conflitto di interessi puo' essere
dimostrata attraverso elementi di valutazione desunti dalle procedure
di selezione dei componenti dell'Odm con poteri decisionali, dalle
relative modalita' di remunerazione, dalla sottoscrizione di codici
etici e dalle regole disciplinanti le condizioni per il rinnovo del
loro incarico alla scadenza.
5. Competenza
L'Odm deve dimostrare di possedere un adeguato livello di
competenza per il corretto ed efficiente svolgimento dei propri
compiti di controllo in relazione allo specifico codice di condotta
per il cui monitoraggio si richiede l'accreditamento.
In particolare, l'Odm deve dimostrare che i componenti che
assumono le decisioni attinenti alle funzioni di monitoraggio, ivi
compresi eventuali sostituti, posseggano, singolarmente o nel loro
insieme:
un'approfondita conoscenza ed esperienza (di tipo giuridico e
informatico) in materia di protezione dei dati personali;
un'approfondita conoscenza ed esperienza nel settore specifico
o nelle specifiche attivita' di trattamento a cui si applica il
codice di condotta;
un'approfondita conoscenza ed esperienza nello svolgimento di
compiti di vigilanza e controllo (ad esempio nel settore dell'audit o
del controllo di qualita').
L'Odm deve dimostrare che il livello di conoscenza ed esperienza
posseduto nei campi sopraindicati sia adeguato all'effettivo
assolvimento dei suoi obblighi di controllo in relazione al codice di
condotta per il quale viene richiesto l'accreditamento, avuto
riguardo, in particolare, alle specificita' del/i settore/i a cui si
applica il codice, alla categoria dei dati trattati e alla
complessita' delle attivita' di trattamento, ai diversi interessi
coinvolti, alla tipologia e al numero (anche atteso) di soggetti
aderenti, nonche' ai rischi per gli interessati.
L'Odm deve dimostrare altresi' di possedere gli specifici
requisiti di competenza definiti nel codice di condotta.
L'Odm deve garantire che la competenza posseduta sia oggetto di
aggiornamento periodico in relazione all'evolversi della disciplina
applicabile e della tecnologia utilizzata nel settore di riferimento
del codice di condotta.
Nota esplicativa:
Requisiti di competenza piu' dettagliati sono fissati dal codice
di condotta e sono considerati parte dell'accreditamento.
Si considera «adeguato» il livello di competenza necessario
all'effettivo svolgimento delle funzioni di controllo assegnate
all'Odm in relazione al codice di condotta per il quale viene
richiesto l'accreditamento, avuto riguardo, in particolare, alle
specificita' del/i settore/i a cui si applica il codice, alla
categoria dei dati trattati e alla complessita' delle attivita' di
trattamento, ai diversi interessi coinvolti, alla tipologia e al
numero (anche atteso) di soggetti aderenti nonche' ai rischi per gli
interessati.
Tali requisiti possono essere comprovati tramite il conseguimento
di corsi di formazione professionale, diplomi di laurea, titoli di
specializzazione o perfezionamento o master di durata almeno annuale,
dottorati di ricerca, ovvero dal possesso di qualifiche ed esperienze
professionali debitamente documentate o, ancora, da pubblicazioni a
carattere scientifico o da ogni altro titolo comprovante qualificate
esperienze professionali, di studio o di ricerca.
6. Procedure e strutture istituite per il monitoraggio del codice
di condotta
L'Odm deve dimostrare di disporre di procedure idonee a valutare
l'ammissibilita' dei titolari e dei responsabili del trattamento ad
aderire e ad applicare il codice di condotta, controllare
l'osservanza delle sue disposizioni da parte di questi ultimi e
riesaminare periodicamente il funzionamento del codice. Tali
procedure devono essere approntate avendo riguardo a: la categoria
dei dati trattati, la complessita' delle attivita' di trattamento e i
rischi derivanti per gli interessati, nonche' la tipologia e il
numero (anche atteso) dei soggetti aderenti al codice, l'ambito
geografico in cui questo si applica, i reclami ricevuti e le
violazioni eventualmente accertate.
La predetta procedura deve garantire che le richieste di adesione
al codice di condotta da parte di titolari e responsabili del
trattamento, se pervenute successivamente alla sua entrata in vigore
del codice, siano esaminate entro termini ragionevoli.
L'Odm deve dimostrare che siffatta procedura preveda:
la programmazione delle verifiche (iniziali, ad hoc e
periodiche) durante un periodo di tempo definito e sulla base di
criteri preventivamente individuati, quali la tipologia e il numero
di aderenti al codice di condotta, l'ambito geografico, i reclami
ricevuti, le violazioni accertate, ecc.;
la conduzione delle verifiche sulla base di una metodologia
definita, con particolare riferimento, al tipo di verifica da
utilizzare (autovalutazione, audit, ispezioni, con o senza preavviso,
in loco o in remoto, questionari, relazioni periodiche, ecc.), ai
criteri oggetto di verifica e alle modalita' di documentazione e
gestione dei relativi risultati;
la valutazione dei risultati delle verifiche che, nel rispetto
dei principi di partecipazione, imparzialita' e garanzia del
contradditorio, consenta di identificare, istruire e gestire
eventuali violazioni del codice di condotta da parte degli aderenti e
di adottare entro termini ragionevoli, opportune misure correttive,
anche sanzionatorie, volte a porre rimedio a tali violazioni e a
prevenire il loro ripetersi, sulla base di quanto previsto dal codice
di condotta in caso di violazione delle sue regole;
che i soggetti aderenti al codice di condotta prestino la
massima collaborazione ai fini del proficuo svolgimento di tali
attivita' di controllo.
L'Odm e' responsabile per la gestione di tutte le informazioni
raccolte o utilizzate durante le procedure di controllo e, a tal
fine, garantisce che il proprio personale mantenga riservate tali
informazioni, fermo restando il rispetto di eventuali obblighi di
legge che prevedano diversamente.
Nota esplicativa:
I requisiti sopra indicati sono volti a dimostrare che le
procedure di monitoraggio proposte, anche in termini di strutture e
risorse a cio' dedicate, siano trasparenti, appropriate al controllo
del codice di condotta per cui si richiede l'accreditamento, nonche'
praticabili dal punto di vista operativo, efficaci e verificabili.
Tali procedure possono prevedere la pubblicazione di relazioni
riguardanti le verifiche effettuate o di rapporti periodici o
sintetici sulle attivita' svolte dall'Odm e le complessive risultanze
di tali attivita'.
7. Gestione trasparente dei reclami
L'Odm deve dimostrare di avere a disposizione un meccanismo che
gli permetta di gestire in modo trasparente e imparziale i reclami
aventi ad oggetto le violazioni del codice di condotta da parte degli
aderenti o il modo in cui il codice di condotta e' stato o e' attuato
da questi ultimi.
Fatto salvo il diritto degli interessati di presentare reclamo al
Garante o ricorso all'autorita' giudiziaria ai sensi degli articoli
77 e 79 del regolamento e degli art. 140-bis e ss. del Codice,
siffatto meccanismo deve garantire che un interessato ovvero un
organismo, organizzazione o associazione rappresentativa o attiva nel
settore della protezione dei dati personali, possa proporre reclamo
all'Odm, inviando apposita istanza che contenga una breve descrizione
dei fatti e del pregiudizio lamentato.
A tal fine, l'Odm deve dimostrare di aver messo in atto un
adeguato quadro di procedure e strutture per la ricezione,
l'istruttoria e la definizione dei reclami secondo quanto stabilito
nel dettaglio nello stesso codice. Tali procedure devono essere
trasparenti, intellegibili e facilmente accessibili a chiunque,
nonche' supportate da risorse appropriate in modo da garantire
un'efficace gestione dei reclami.
La procedura di gestione dei reclami deve prevedere le modalita'
per la proposizione del reclamo nonche' stabilire le modalita' di
definizione dello stesso, nel rispetto dei principi di
partecipazione, imparzialita' e garanzia del contradditorio. In
particolare, tale procedura deve prevedere che l'Odm informi il
reclamante dello stato e dell'esito del reclamo entro tempi
ragionevoli, tali da consentire un'analisi accurata di quanto
lamentato.
Fermo restando il rispetto dei predetti principi e garanzie,
l'Odm deve dimostrare di poter adottare una o piu' misure correttive
- anche sanzionatorie - come individuate nel codice di condotta, in
caso di violazioni delle sue regole da parte degli aderenti, volte a
porre rimedio a tali violazioni e a prevenire il loro ripetersi. Tali
misure, a seconda della gravita' della violazione riscontrata, devono
poter includere la sospensione o l'esclusione dal codice di condotta
del titolare/responsabile aderente al codice.
L'Odm deve dimostrare di aver approntato una procedura per
informare senza indebito ritardo l'Autorita' delle misure adottate e
dei motivi della loro adozione nel caso di violazioni che comportino
la sospensione o l'esclusione del titolare/responsabile aderente al
codice.
L'Odm deve istituire e tenere costantemente aggiornato un
registro di tutti i reclami e le azioni correttive, anche
sanzionatorie, adottate a cui l'Autorita' puo' accedere in qualsiasi
momento.
L'Odm deve rendere pubblicamente accessibili le decisioni
adottate all'esito della definizione dei reclami, previo oscuramento
dei dati personali eventualmente presenti (in quanto riferiti a
persone fisiche) anche attraverso informazioni di sintesi relative
alle medesime decisioni, secondo quanto stabilito dalla procedura di
gestione dei reclami e avuto riguardo alla gravita' delle violazioni
riscontrate e delle conseguenti misure impartite al
titolare/responsabile aderente al codice.
Tali informazioni di sintesi devono, in ogni caso, comprendere i
dati relativi a tutte le violazioni riscontrate che comportino la
sospensione o l'esclusione dal codice e l'indicazione dei destinatari
di tali misure nonche', a titolo esemplificativo e non esaustivo,
informazioni riguardanti il numero e il tipo di reclami ricevuti, il
tipo di violazioni riscontrate e le misure correttive impartite.
Nota esplicativa:
Un meccanismo di gestione dei reclami trasparente, imparziale e
facilmente accessibile agli interessati e' un elemento essenziale ai
fini del monitoraggio del codice di condotta.
8. Comunicazioni all'Autorita' di controllo
L'Odm deve dimostrare di aver approntato una procedura efficace
per informare senza indebito ritardo l'Autorita' dell'adozione delle
misure piu' gravi adottate nei confronti del titolare/responsabile
aderente al codice - quali la sospensione o l'esclusione dal medesimo
codice - dei motivi della loro adozione e, in particolare, delle
violazioni riscontrate, nonche' delle azioni poste in essere dal
titolare/responsabile sospeso o escluso dal codice per ottemperare a
siffatte misure. Siffatta procedura deve consentire, altresi',
all'Odm di informare senza indebito ritardo l'Autorita' in caso di
eventuale revoca di tali misure e delle motivazioni sottostanti.
La medesima procedura deve consentire all'Odm di fornire
all'Autorita', su base annuale, un resoconto riassuntivo dei
controlli effettuati, delle procedure di reclamo definite e delle
misure eventualmente adottate nei confronti dei titolari/responsabili
aderenti al codice.
In presenza di sopravvenute modifiche sostanziali ai requisiti,
sulla base dei quali e' stato rilasciato l'accreditamento, l'Odm
dovra' senza indebito ritardo informarne l'Autorita'.
Ogni modifica sostanziale sopravvenuta comporta la necessita' di
chiedere un nuovo accreditamento all'Autorita'.
In particolare, per modifiche sostanziali sopravvenute si
intendono quelle modifiche ai requisiti sulla base dei quali e' stato
rilasciato l'accreditamento che incidono sulla capacita' dell'Odm di
adempiere ai sui obblighi di monitoraggio in modo indipendente ed
efficace, con le competenze adeguate e in assenza di conflitti
d'interesse.
9. Meccanismi di riesame
L'Odm deve dimostrare di poter contribuire al riesame del
funzionamento del codice di condotta tramite documentate procedure,
in conformita' a quanto stabilito nel medesimo codice e richiesto dal
soggetto titolare del codice, al fine di garantire che quest'ultimo
rimanga attuale e continui a contribuire alla corretta applicazione
della disciplina sulla protezione dei dati personali.
In particolare, tali procedure assicurano che l'Odm fornisca
periodicamente al soggetto titolare del codice di condotta - o a ogni
altra associazione, organismo o ente previsto dal medesimo codice -
informazioni significative sul suo funzionamento specie quelle che
evidenziano la necessita' di apportare modifiche o proroghe allo
stesso.
L'Odm garantisce che le predette informazioni sul funzionamento
del codice di condotta siano memorizzate e rese disponibili
all'Autorita', ove richiesto.
Nota esplicativa:
Gli organismi di controllo svolgono un ruolo chiave nel
contribuire alla revisione del codice di condotta in conformita' alle
procedure di revisione indicate nel medesimo codice. Ad esempio, si
dovrebbero prevedere meccanismi di riesame per adeguare il codice di
condotta all'evolversi della disciplina applicabile o qualora gli
sviluppi tecnologici possano incidere sul trattamento dei dati
personali da parte degli aderenti o sulle previsioni del medesimo
codice. All'esito di tali procedure, il soggetto titolare del codice
puo' proporre modifiche o proroghe al codice da sottoporre
all'Autorita' ai sensi dell'art. 40, par. 5 e ss., del regolamento. A
titolo esemplificativo e non esaustivo, si considerano significative
le seguenti informazioni riguardanti il funzionamento del codice:
quelle relative a nuovi soggetti aderenti, a eventuali sospensioni ed
esclusioni dei membri del codice, alle violazioni riscontrate, ai
reclami gestiti e, in generale, alle risultanze delle attivita' di
controllo poste in essere dall'Odm.
10. Status giuridico
L'Odm deve dimostrare di essere stabilito all'interno del SEE.
Fermi restando i compiti e i poteri dell'Autorita' secondo quanto
previsto dal regolamento e dal Codice in materia di protezione dei
dati personali, l'Odm (interno o esterno) deve dimostrare di avere
uno status giuridico tale da poter adempiere effettivamente ai suoi
obblighi di controllo e far fronte alle connesse responsabilita'.
Le modalita' di costituzione dell'Odm e di composizione del suo
personale con poteri decisionali, le procedure decisionali, le regole
di funzionamento e la durata del mandato nonche' le risorse di cui
dispone devono garantire che l'Odm assolva ai suoi obblighi di
controllo e possa far fronte alle connesse responsabilita' per tutta
la durata del suo mandato.
__________
(1) L'Odm non puo' essere costituito all'interno di un soggetto
aderente al codice di condotta.
|
Home
