L'articolo 40 del Regolamento europeo (GDPR) regolamenta i codici di condotta, ossia strumenti di autodisciplina che stabiliscono regole di protezione dei dati per categorie di titolari e responsabili del trattamento.
L'adozione di codici di condotta è su base volontaria e possono essere uno strumento utile per la responsabilizzazione, fornendo un dettaglio di comportamenti più appropiati non solo dal punto di vista legale ma anche etico. In genere le regole non sono vincolanti, ma l'autorevolezza del'organismo le rende di vasta applicazione.
L'European Data Protection Board ha adottato le Linee guida sui codici di condotta e le autorità di vigilanza, con lo scopo di fornire assistenza interpretativa in relazione all'attuazione degli articoli 40 e seguenti del GDPR. In particolare sulle procedure di presentazione e approvazione dei codici di condotta. Con il provvedimento del 10 giugno 2020 n. 98 l'Autorità di controllo nazionale (Garante Privacy) ha approvato i requisiti per l'accreditamente degli Organismi di monitoraggio (Odm) dei codici di condotta previsti dal Regolamento europeo. Su tali requisiti si era già espresso l'EDPB con parere del 25 maggio 2020. In tal modo sarà possibile procedere con l'accreditamento degli Odm, condizione necessaria per l'approvazione di un codice di condotta da parte del Garante.
Per l'accreditamento l'Odm dovrà dimostrare specifici requisiti:
- poter assolvere ai propri compiti di controllo con piena indipendenza e imparzialità e in assenza di conflitti di interesse;
- disporre di procedure documentate atte a gestire il rischio di eventuali conflitti di interesse per l’intera durata del suo mandato;
- possedere un adeguato livello di competenza per il corretto svolgimento dei propri compiti di controllo in relazione allo specifico codice di condotta;
- disporre di procedure idonee a valutare l’ammissibilità dei titolari e dei responsabili del trattamento ad aderire e ad applicare il codice di condotta;
- riuscire a gestire in modo trasparente e imparziale i reclami aventi ad oggetto le violazioni del codice di condotta da parte degli aderenti;
- effettuare un monitoraggio efficace sul rispetto da parte dei propri associati dei principi contenuti nel codice.
Il Garante ha accreditato l'OdM con provvedimento dell'11 febbraio 2021 n. 59.
I codici di condotta hanno lo scopo di facilitare l’ottemperanza delle norme in materia di protezione dei dati personali da parte di un’intera categoria di titolari o responsabili, prescrivendo i comportamenti legali e etici considerati più appropriati nel settore di riferimento. In tal modo si fornisce un utile strumento alla categoria per affrontare in modo efficiente e uniforme difficoltà comuni relative a specifiche attività e specialmente le piccole imprese possono ridurre i costi per la conformità alle norme. Analogamente l'adesione ad un codice di condotta è considerato elemento di valutazione per la conformità al GDPR in caso di verifiche.
L'art. 83, comma 2, del GDPR, infatti, prevede che l'irrogazione di sanzioni amministrative debba essere valutata tenendo conto, tra l'altro, anche dell'adesione ai codici di condotta. E' evidente che l'autorità di controllo potrebbe anche decidere di non applicare sanzioni ai soggetti aderenti ad un codice di condotta, ritenendo sufficiente che l'organismo di vigilanza dell'organizzazione di categoria intervenga con le specifiche sanzioni previste dal codice di condotta.
Per l'approvazione il codice di condotta dovra contenere una serie di elementi, tra i quali:
- una spiegazione chiara e concisa sullo scopo del codice e il suo ambito di applicazione;
- specificazione dell'ambito territoriale;
- indicazione dell'organismo di vigilanza competente in base all'art. 55 del GDPR.
Il Garante Privacy ha predisposto una pagina web con i codici di condotta già approvati.
Codice di condotta per il trattamento dei dati personali in materia di informazioni commerciali
Il 12 giugno 2019 l’Autorità Garante per la protezione dei dati personali ha approvato il Nuovo Codice di condotta predisposto dall’Associazione Nazionale tra le Imprese di Informazioni Commerciali e di Gestione del Credito (ANCIC), e che ha sostituito il precedente del 2016.
Codice di condotta per le attività di telemarketing e teleselling
A marzo del 2023 il Garante ha approvato il Codice di condotta per il telemarketing e teleselling stabilendo delle fasce di orario per le chiamate e nuovi obblighi per le società aderenti.