I codici di condotta sono regole di condotta o pratiche uniformi che i diversi organi comunitari e/o internazionali nonché i singoli Stati adottano regolare i propri rapporti commerciali e politici.
Il Regolamento Europeo n. 679/2016 (GDPR) ha promosso l’utilizzo dei codici di condotta, cercando di adattare questo istituto alle logiche e alle direttive dell’Unione europea.
Ed invero, ai sensi degli artt. 40, gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano l’elaborazione di codici di condotta destinati a contribuire alla corretta applicazione del presente regolamento, in funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese.
Le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o responsabili del trattamento possono elaborare i codici di condotta, modificarli o prorogarli, allo scopo di precisare l’applicazione del presente regolamento, ad esempio relativamente a:
a) il trattamento corretto e trasparente dei dati;
b) i legittimi interessi perseguiti dal responsabile del trattamento in contesti specifici;
c) la raccolta dei dati personali;
d) la pseudonimizzazione dei dati personali;
e) l’informazione fornita al pubblico e agli interessati;
f) l’esercizio dei diritti degli interessati;
g) l’informazione fornita e la protezione del minore e le modalità con cui è ottenuto il consenso dei titolari della responsabilità genitoriale sul minore;
h) le misure e le procedure di cui agli articoli 24 e 25 e le misure volte a garantire la sicurezza del trattamento di cui all’articolo 32;
i) la notifica di una violazione dei dati personali alle autorità di controllo e la comunicazione di tali violazioni dei dati personali all’interessato;
j) il trasferimento di dati personali verso paesi terzi o organizzazioni internazionali; o
k) le procedure stragiudiziali e di altro tipo per comporre le controversie tra titolari del trattamento e interessati in materia di trattamento.
Possono aderire a tali codici di condotta anche i titolari del trattamento o i responsabili del trattamento che non sono soggetti al presente regolamento ai sensi dell’articolo 3 GDPR, al fine di fornire adeguate garanzie nel quadro dei trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali alle condizioni di cui all’articolo 46, paragrafo 2, lettera e). Detti titolari del trattamento o responsabili del trattamento assumono l’impegno vincolante e azionabile, mediante strumenti contrattuali o di altro tipo giuridicamente vincolanti, di applicare le stesse adeguate garanzie anche per quanto riguarda i diritti degli interessati.
Il codice di condotta contiene i meccanismi che consentono all’organismo in possesso del livello adeguato di competenze riguardo al contenuto del codice e del necessario accreditamento a tal fine dell’autorità di controllo competente di effettuare il controllo obbligatorio del rispetto delle norme del codice da parte dei titolari del trattamento o dei responsabili del trattamento che si impegnano ad applicarlo, fatti salvi i compiti e i poteri delle autorità di controllo competenti.
Le associazioni e gli altri organismi che intendono elaborare un codice di condotta o modificare o prorogare un codice esistente sottopongono il progetto di codice, la modifica o la proroga all’autorità di controllo competente. L’autorità di controllo esprime un parere sulla conformità al presente regolamento del progetto di codice, della modifica o della proroga e approva tale progetto, modifica o proroga, se ritiene che offra in misura sufficiente garanzie adeguate.
9La Commissione può decidere, mediante atti di esecuzione, che il codice di condotta, la modifica o la proroga approvati, che le sono stati sottoposti hanno validità generale all’interno dell’Unione.
L’organismo può essere accreditato a monitorare l’osservanza di un codice di condotta se esso ha:
a) dimostrato in modo convincente all’autorità di controllo competente di essere indipendente e competente riguardo al contenuto del codice;
b) istituito procedure che gli consentono di valutare l’ammissibilità dei titolari del trattamento e dei responsabili del trattamento in questione ad applicare il codice, di controllare che detti titolari e responsabili ne rispettino le disposizioni e di riesaminarne periodicamente il funzionamento;
c) istituito procedure e strutture atte a gestire i reclami relativi a violazioni del codice o il modo in cui il codice è stato o è attuato da un titolare del trattamento o un responsabile del trattamento e a rendere dette procedure e strutture trasparenti per gli interessati e il pubblico; e
d) dimostrato in modo convincente all’autorità di controllo competente che i compiti e le funzioni da esso svolti non danno adito a conflitto di interessi.