Diritti interna

Doveri interna

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Requisiti di accreditamento degli organismi di monitoraggio dei codici di condotta - 10 giugno 2020 [9432569]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
9432569
Data:
10/06/20
Argomenti:
Accountability
Tipologia:
Provvedimenti a carattere generale

VEDI ANCHE: comunicato stampa del 9 luglio 2020

 

[doc. web n. 9432569]

Requisiti di accreditamento degli organismi di monitoraggio dei codici di condotta - 10 giugno 2020
(Pubblicato sulla Gazzetta Ufficiale n. 173 dell'11 luglio 2020)

Registro dei provvedimenti
n. 98 del 10 giugno 2020

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il dott. Antonello Soro, presidente, la dott.ssa Augusta Iannini, vicepresidente, la prof.ssa Licia Califano, la dott.ssa Giovanna Bianchi Clerici, componenti e il dott. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito il “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679”;

VISTO l’art. 40 del Regolamento che prevede che le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o responsabili del trattamento possano elaborare (modificare o prorogare) codici di condotta destinati a contribuire alla corretta applicazione del Regolamento in specifici settori di attività e in funzione delle particolari esigenze delle micro, piccole e medie imprese, e che tali codici devono essere approvati dall’autorità di controllo competente;

VISTO il considerando 98 del Regolamento che prevede che tali codici possono calibrare gli obblighi del titolare del trattamento e del responsabile del trattamento, tenuto conto dei potenziali rischi del trattamento per i diritti e le libertà degli interessati;

VISTE le “Linee guida 1/2019 sui codici di condotta e sugli organismi di monitoraggio a norma del Regolamento (UE) 2016/679” adottate dal Comitato europeo per la protezione di dati (di seguito “Comitato”) il 4 giugno 2019, all’esito della consultazione pubblica;

CONSIDERATO in particolare che l’adesione ad un codice di condotta può essere utilizzata come elemento di responsabilizzazione (c.d. accountability), in quanto consente di dimostrare la conformità dei trattamenti di dati, posti in essere dai titolari e/o dai responsabili del trattamento che vi aderiscano, ad alcune disposizioni o principi del Regolamento, o al Regolamento nel suo insieme (cfr. cons. 77 e artt. 24, par. 3, e 28, par. 5, e 32, par. 3 del Regolamento);

CONSIDERATO che  l’art. 41, par. 1, del Regolamento prevede che, fatti salvi i compiti e i poteri dell'autorità di controllo competente, la verifica dell’osservanza delle disposizioni di un codice di condotta, ai sensi dell'articolo 40 del Regolamento, è effettuata da un Organismo di monitoraggio (di seguito “Odm”) in possesso del livello adeguato di competenze riguardo al contenuto del codice e del necessario accreditamento rilasciato a tal fine dalla medesima autorità, con la sola eccezione del trattamento effettuato da autorità pubbliche e da organismi pubblici per il quale non è necessaria l’istituzione di un Odm (art. 41, par. 6 del Regolamento);

CONSIDERATO che l’art. 41, par. 3, del Regolamento prevede che la predetta autorità di controllo presenta al Comitato uno schema di requisiti per l'accreditamento dell'Odm, ai sensi del meccanismo di coerenza di cui all'art. 63 del Regolamento;

CONSIDERATO che l’art. 57, par. 1, lett. p) del Regolamento prevede, in particolare, che ciascuna autorità di controllo, sul proprio territorio, definisce e pubblica i requisiti per l'accreditamento dell’Odm, ai sensi dell'art. 41;

RILEVATO che, ai sensi del combinato disposto di cui agli artt. 55 del Regolamento e 2-ter del Codice, il Garante è l’autorità di controllo competente ad approvare i presenti requisiti per l'accreditamento dell'Odm, nell’esercizio del potere conferitole ai sensi dell’art. 57, par. 1, lett. p, del Regolamento;

CONSIDERATO che il Regolamento e le Linee guida del Comitato sopra citate, fissano un quadro organico di riferimento per la definizione dei requisiti che l’Odm deve soddisfare per ottenere l’accreditamento;

RILEVATO che il Garante incoraggia lo sviluppo di codici di condotta per le micro, piccole e medie imprese al fine di promuovere un'attuazione effettiva del Regolamento, aumentare la certezza del diritto per titolari e responsabili del trattamento e rafforzare la fiducia degli interessati in ordine alla correttezza dei trattamenti di dati che li riguardano;

RILEVATO, in questo contesto, che l’obbligo di affidare il monitoraggio dei codici di condotta a un Odm accreditato non dovrebbe costituire un ostacolo allo sviluppo di tali strumenti e che, quindi, va riconosciuto un certo margine di flessibilità ai promotori dei codici di condotta nell’applicazione dei requisiti di accreditamento fissati dal Garante al fine di definire il modello di Odm più adeguato a controllarne l’osservanza, fermo restando il rispetto di quanto previsto dal Regolamento, dalle Linee guida e dai pertinenti pareri del Comitato;

RILEVATO altresì che il Garante nella procedura di accreditamento, volta a verificare che l’Odm soddisfi i predetti requisiti, tiene in considerazione le specificità dei trattamenti di dati personali afferenti al/i settore/i a cui si applica il codice di condotta e, in particolare, la natura e la dimensione del settore, la tipologia e il numero (anche atteso) di soggetti aderenti, la peculiarità e la complessità delle operazioni di trattamento oggetto del codice, nonché i rischi per gli interessati;

VISTO lo schema di requisiti per l'accreditamento dell'Odm approvato dal Garante in data 30 gennaio 2020 e sottoposto in data 31 gennaio 2020 al Comitato per il prescritto parere (art. 41 par. 3 e art. 64 par. 1 lett. c), del Regolamento);

VISTE le osservazioni rese dal Comitato nel parere adottato il 25 maggio 2020 e notificato al Garante il 28 maggio 2020 (disponibile su https://edpb.europa.eu/);

RITENUTO, in ottemperanza a quanto previsto dall’art. 64, par. 7, del Regolamento, di aderire alle osservazioni contenute nel suddetto parere e di modificare lo schema di requisiti per l’accreditamento in conformità a tali osservazioni, dandone comunicazione alla presidente del Comitato;

RITENUTO quindi ai sensi dell’art. 57, par.1, lett. p), del Regolamento di approvare i requisiti per l’accreditamento dell’Odm, opportunamente modificati alla luce del suddetto parere ed allegati al presente provvedimento del quale formano parte integrante;

VISTA la documentazione in atti:

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

TUTTO CIÒ PREMESSO IL GARANTE:

a) ai sensi dell’art. 57, par. 1, lett. p), del Regolamento approva i requisiti per l'accreditamento dell'Odm riportati in allegato al presente provvedimento del quale formano parte integrante;

b) ai sensi dell’art. 64, par. 7 del Regolamento comunica alla presidente del Comitato il presente provvedimento, che recepisce i rilievi formulati nel parere richiamato in premessa;

c) invia copia della presente deliberazione all’Ufficio pubblicazione leggi e decreti del Ministero della giustizia ai fini della sua pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana.

Roma, 10 giugno 2020

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia

 

All.: n. 1 - Requisiti per l’accreditamento degli organismi di monitoraggio dei codici di condotta

1. Procedura di accreditamento.

L’Odm di cui all’art. 41 del Regolamento (Ue) 2016/679 (di seguito “Regolamento”) ottiene l’accreditamento se comprova il possesso dei requisiti di seguito indicati sulla base di una richiesta inviata al Garante per la protezione dei dati personali. La richiesta deve essere presentata in lingua italiana e corredata da ogni documentazione utile a comprovare il possesso di tali requisiti.

L’accreditamento è rilasciato dal Garante per un periodo massimo di 5 anni, ferma restando la possibilità per i soggetti titolari del codice di condotta di prevedere nel medesimo codice che il mandato dell’Odm abbia una durata inferiore.

Fatti salvi i compiti dell’Autorità connessi alla verifica, in qualunque momento, del rispetto da parte dell’Odm dei requisiti di accreditamento e dello svolgimento delle sue funzioni di monitoraggio in conformità al Regolamento, l’Autorità si riserva di avviare una revisione dell’accreditamento prima della sua scadenza qualora venga a conoscenza, anche a seguito degli esiti di attività ispettive, di elementi o fattori di rischio sopravvenuti che compromettano il rispetto da parte dell’Odm dei predetti requisiti ovvero dei suoi obblighi di monitoraggio oppure la conformità al Regolamento delle misure da questi adottate.

L'Odm manterrà pertanto l’accreditamento per tutta la durata per cui viene rilasciato a meno che, all'esito della revisione condotta dal Garante, l’Autorità non accerti che l’Odm non soddisfi più i requisiti per l'accreditamento o che questi non sia in grado di adempiere ai suoi obblighi di monitoraggio oppure che le misure da esso adottate violino il Regolamento.

Al fine di ottenere il rinnovo dell’accreditamento la relativa richiesta potrà essere inviata al Garante fino a tre mesi prima della scadenza del termine.

I presenti requisiti di accreditamento si applicano all’Odm che lo richiede, sia nel caso in cui si tratti di organismo interno sia nel caso in cui si tratti di organismo esterno al soggetto titolare del codice di condotta per il quale si richiede l’accreditamento (di seguito “Odm interno” o “Odm esterno”)1, a meno che non sia espressamente specificato che un determinato requisito è richiesto soltanto per una tipologia di Odm.

Poiché nell’applicazione di tali requisiti l’Autorità tiene in adeguata considerazione le specificità del/i settore/i a cui si applica il codice di condotta, affinché un Odm, accreditato per il monitoraggio di un determinato codice, possa svolgere compiti di controllo nei riguardi di un altro codice di condotta, sarà necessario avanzare al Garante una diversa richiesta di accreditamento.

I requisiti di accreditamento di seguito indicati sono corredati da alcune note esplicative, riportate in corsivo, che non hanno carattere vincolante, essendo volte a fornire indicazioni pratiche ed esempi che possono agevolare l’applicazione dei medesimi requisiti sia per la predisposizione della richiesta di accreditamento sia per il mantenimento dell’accreditamento stesso.

2. Richiesta di accreditamento

La richiesta di accreditamento deve essere redatta in lingua italiana e deve contenere le seguenti informazioni:

• i dati identificativi del richiedente o, in caso di società, associazioni, fondazioni o altri enti, i dati identificativi del rappresentante legale e delle persone eventualmente preposte all’adozione delle decisioni relative alle attività di monitoraggio aventi rilevanza esterna;

• il codice fiscale/la partita IVA e, se del caso, con riferimento alle società registrate, il numero del registro delle imprese;

• la residenza del richiedente, o in caso di società, associazioni, fondazioni o altri enti, la sede legale che deve essere in ogni caso all’interno dello Spazio Economico Europeo;

• l’eventuale censimento all’interno dell’Indice nazionale dei domicili digitali delle imprese e dei professionisti (INI-PEC www.inipec.gov.it - art. 6-bis Codice Amministrazione Digitale - D. Lgs. n. 82/2005) o nell’Indice dei domicili digitali delle pubbliche amministrazioni e dei gestori di pubblici servizi (IPA www.indicepa.gov.it - art. 6-ter Codice Amministrazione Digitale - D.Lgs. n. 82/2005);

• nel caso di società, associazioni, fondazioni o altri enti, lo statuto e l’atto costitutivo;

• il recapito prescelto per le comunicazioni relative alla domanda di accreditamento;

• l’indicazione della tipologia di Odm (ossia, interno od esterno);

• l’indicazione del codice di condotta per il quale è richiesto l’accreditamento;

• l’ambito nazionale o transnazionale di applicazione del codice di condotta.

La richiesta di accreditamento può essere inviata per posta o recapitata a mano al seguente indirizzo: Garante per la protezione dei dati personali, Piazza Venezia, 11 – 00187 ROMA oppure inviata in via telematica alla casella di posta elettronica: odm.accreditamento@gpdp.it.

Nella richiesta di accreditamento, l’Odm assume formalmente l’impegno di osservare ogni normativa applicabile allo svolgimento delle sue funzioni e, in particolare, le disposizioni rilevanti del Regolamento e del d. lgs. 30 giugno 2003 n. 196 recante il Codice in materia di protezione dei dati personali (di seguito “Codice”).

Il soggetto che effettua la richiesta di accreditamento mediante la sottoscrizione e l’invio della stessa si assume la responsabilità, anche ai sensi dell’art. 168 del Codice, della veridicità di quanto dichiarato.

Alla richiesta di accreditamento deve, altresì, essere allegata ogni documentazione utile idonea a comprovare il possesso dei requisiti di accreditamento di seguito individuati.

3. Indipendenza e imparzialità

L’Odm deve dimostrare di poter assolvere ai propri compiti di controllo con piena indipendenza e imparzialità.

In particolare, devono essere predisposte specifiche regole e procedure formali per la costituzione, il funzionamento e la durata del mandato dell’Odm che assicurino che questo possa svolgere le proprie funzioni di controllo senza subire influenze, interferenze o condizionamenti di alcun tipo da parte del soggetto titolare del codice di condotta, degli aderenti o comunque dei soggetti eventualmente riconducibili al settore (professionale, industriale o altro) a cui il codice si applica.

Per ottenere l’accreditamento, il possesso, in capo all’Odm, dell’indipendenza e imparzialità necessarie per adempiere ai propri obblighi di controllo deve essere comprovato in relazione ai seguenti profili: a) forma giuridica e procedure decisionali; b) autonomia finanziaria; c) autonomia organizzativa; d) responsabilizzazione.

 3.a) Forma giuridica e procedure decisionali

Le modalità di costituzione dell’Odm e di composizione del suo personale con poteri decisionali, le procedure di adozione e applicazione delle decisioni, le regole di funzionamento e la durata del mandato dell’Odm devono garantire che questi assolva ai suoi obblighi di controllo con piena indipendenza e imparzialità. In particolare, l’Odm deve dimostrare di non essere soggetto, in via diretta o indiretta, ad alcuna forma di controllo, direzione o vigilanza da parte del soggetto titolare del codice di condotta, dei soggetti aderenti o eventualmente riconducibili al settore (professionale, industriale o altro) a cui il codice si applica. Inoltre, l’Odm deve dimostrare di poter condurre le proprie attività di controllo senza subire alcuna forma di pressione esterna, di interferenza o condizionamento diretti o indiretti. L’Odm fornisce informazioni su eventuali legami di natura giuridica o economica con il soggetto titolare del codice di condotta e i soggetti aderenti, fornendo prova del fatto che tali legami non ne compromettono l’indipendenza né l’imparzialità.

Nel caso di un Odm interno, devono essere previste misure aggiuntive e specifiche tali da garantire che i rapporti con il soggetto titolare del codice di condotta non ne compromettano l’indipendenza e l’imparzialità né l’effettiva operatività dei suoi compiti di controllo.

Nel caso di un Odm esterno, va comprovato che questi non fornisca al soggetto titolare del codice di condotta, ai soggetti aderenti al codice o eventualmente riconducibili al settore (professionale, industriale o altro) a cui il codice si applica, alcun prodotto o servizio che possa in qualche modo compromettere la sua indipendenza e imparzialità ovvero l’effettiva operatività dei suoi compiti di controllo.

Nota esplicativa:

Ciò può essere comprovato, ad esempio, attraverso la seguente documentazione:

• statuto e atto costitutivo dell’Odm e del soggetto titolare del codice di condotta;

• regole e procedure di selezione, nomina, modalità di remunerazione e durata del mandato dei componenti dell’Odm incaricati di assumere le decisioni attinenti alle attività di controllo;

• documentazione comprovante i rapporti commerciali, finanziari, contrattuali o di altro genere che intercorrono tra l’Odm, il soggetto titolare del codice di condotta e gli aderenti al codice nonché le idonee misure adottate allo scopo di ridurre al minimo eventuali rischi per l’indipendenza e l’imparzialità dell’Odm suddetto.

3.b) Autonomia finanziaria

L’Odm deve dimostrare di disporre delle risorse finanziarie necessarie per l'effettivo adempimento dei suoi compiti nonché per far fronte alle sue responsabilità. Inoltre, l’Odm deve dimostrare che le regole e/o le modalità di finanziamento garantiscono la sostenibilità e la continuità delle attività di monitoraggio, in particolare qualora una o più fonti di tale finanziamento vengano a mancare successivamente, per esempio, in caso di ritiro o di esclusione di uno degli aderenti al codice di condotta, ove l’Odm sia finanziato attraverso le quote versate dagli aderenti stessi.

Nel valutare le proprie risorse finanziarie, l’Odm tiene conto del numero, delle dimensioni e della complessità organizzativa degli aderenti al codice di condotta, della natura e degli ambiti delle rispettive attività come definite dal codice e dei rischi connessi ai trattamenti cui il codice si applica.

L'Odm deve essere in grado di gestire le proprie risorse finanziarie in modo autonomo e indipendente senza alcuna forma di interferenza, condizionamento o controllo da parte del soggetto titolare del codice di condotta, degli aderenti allo stesso o comunque dei soggetti eventualmente riconducibili al settore (professionale, industriale o altro) a cui il codice si applica.

L’Odm deve dimostrare che le sue modalità di finanziamento sono approntate in modo tale da non pregiudicare l’indipendenza e l’imparzialità delle sue funzioni di controllo, nonché che siano oggetto di debita rendicontazione.

3.c) Autonomia organizzativa

L’Odm deve dimostrare di disporre di risorse umane, tecniche e logistiche adeguate per l'effettivo adempimento dei suoi obblighi di controllo, avuto riguardo in particolare alla specificità del/i settore/i a cui si applica il codice di condotta, tra cui, la natura e la dimensione del settore, la tipologia e il numero (anche atteso) dei soggetti aderenti, la delicatezza e la complessità dei trattamenti di dati oggetto del codice, i rischi per gli interessati. Tali risorse devono consentire all’Odm di svolgere le proprie funzioni di monitoraggio con piena indipendenza e imparzialità e senza subire alcuna forma di interferenza, condizionamento o sanzione, a causa dell’assolvimento delle stesse, ad opera del soggetto titolare del codice, dei soggetti aderenti o eventualmente riconducibili al settore (professionale, industriale o altro) a cui il codice si applica.

Nel caso di un Odm interno, quest’ultimo deve dimostrare che la sua struttura organizzativa sia configurata in modo tale da assicurare la sua indipendenza e imparzialità, nonché l’effettiva operatività delle sue funzioni di controllo.

Nota esplicativa:

Ciò può essere comprovato tramite la predisposizione di specifici modelli organizzativi e gestionali, di processi operativi che assicurino, ad esempio, la separazione organizzativa, gestionale e funzionale dell’Odm dal soggetto titolare del codice di condotta, nonché la confidenzialità delle informazioni trattate (per esempio: gestione amministrativa separata delle retribuzioni, sistemi contabili con distinti centri di imputazione di responsabilità,  barriere informative e ogni altra misura atta a garantire la separazione delle funzioni gestionali e operative fra Odm e soggetto titolare del codice di condotta).

L’Odm deve dimostrare di disporre di personale qualificato, anche fornito da altro organismo indipendente dal soggetto titolare del codice, dai soggetti aderenti o eventualmente riconducibili al settore (professionale, industriale o altro) a cui il codice si applica. Tale personale, in ogni caso, deve essere soggetto alla direzione e alla vigilanza esclusiva dello stesso Odm e vincolato a specifici obblighi di confidenzialità nello svolgimento del suo operato.

Nota esplicativa:

Ad esempio, l’Odm può avvalersi di personale reclutato da un ente esterno indipendente che fornisce servizi di ricerca, formazione e selezione di risorse umane.

Qualora l’Odm si avvalga di collaboratori e fornitori esterni di servizi, appositamente delegati, per lo svolgimento di specifiche attività di controllo  - ad eccezione di quelle che comportano l’esercizio di poteri decisionali, che non possono essere delegate ad alcuno - devono essere approntate cautele atte a garantire che tali soggetti siano individuati tra coloro che forniscono sufficienti garanzie di competenza e affidabilità, con particolare riferimento alla materia oggetto del codice di condotta. Tali cautele devono assicurare, altresì, che i medesimi requisiti di indipendenza, assenza di conflitto di interessi, rispetto della disciplina rilevante in materia di protezione dei dati personali, adeguatezza delle risorse, confidenzialità e competenza siano soddisfatti anche dai collaboratori e fornitori esterni di servizi appositamente delegati. Inoltre, le misure suddette devono garantire che l’Odm eserciti un controllo efficace sui servizi forniti da collaboratori e fornitori esterni. Infine, l’Odm deve dimostrare che i medesimi obblighi gravanti sullo stesso siano imposti in capo a detti collaboratori e fornitori esterni, restando inteso che l’Odm mantiene la responsabilità delle decisioni connesse alle attività di controllo e risponde in caso di inadempimento dei predetti obblighi da parte dei collaboratori e fornitori esterni.

Nota esplicativa:

Ciò può essere comprovato, ad esempio, tramite:

• documentate procedure e regole organizzative per la selezione e l’utilizzo di collaboratori e fornitori esterni di servizi che definiscono le condizioni alle quali si possa ricorrere a tali soggetti, il processo autorizzativo e le modalità di controllo del loro operato;

• documentate procedure e regole organizzative atte a garantire la competenza e l’affidabilità di collaboratori e fornitori esterni di servizi;

• contratti o altri atti giuridici che individuino le rispettive responsabilità, ivi comprese quelle relative alla riservatezza e alla confidenzialità dei dati e delle altre informazioni trattate.

3.d) Responsabilizzazione

L’Odm deve dimostrare di essere responsabile per le sue decisioni e azioni, ad esempio, definendo una serie di misure volte a documentare i processi decisionali, vigilare sul rispetto delle procedure interne di funzionamento e rendicontare le attività di controllo, in modo da garantire indipendenza e imparzialità.

Nota esplicativa:

Ciò può essere comprovato, ad esempio, tramite la descrizione delle procedure di lavoro, la redazione di relazioni di gestione e l’adozione di politiche di formazione del personale volte a renderlo edotto delle misure adottate.

Qualsiasi decisione assunta dall'Odm nell’ambito delle sue funzioni di controllo non deve essere soggetta all'approvazione di nessun altro ente, associazione o organizzazione, ivi inclusi il soggetto titolare del codice di condotta, gli aderenti allo stesso o i soggetti eventualmente riconducibili al settore (professionale, industriale o altro) a cui il codice si applica.

3.e) OnorabilitàI componenti dell’Odm incaricati di assumere le decisioni attinenti alle attività di controllo garantiscono i seguenti requisiti di onorabilità:

non trovarsi in una delle condizioni previste dall’art. 2382 del codice civile;

non essere stati radiati da albi professionali per motivi disciplinari né per altri motivi;

non aver riportato condanne per delitti non colposi o a pena detentiva per contravvenzioni, salvi gli effetti della riabilitazione;

non essere stati sottoposti a misure di prevenzione o di sicurezza personali.

Il possesso dei predetti requisiti di onorabilità nel caso di società, associazioni, fondazioni ed altri enti (persone giuridiche) devono essere riferiti al rappresentante legale e alle altre persone eventualmente preposte all’adozione delle decisioni relative alle attività di monitoraggio aventi rilevanza esterna.

4.  Conflitto di interessi

L’Odm deve disporre di procedure documentate atte a prevenire, individuare, valutare, mitigare o rimuovere il rischio di eventuali conflitti di interesse per l’intera durata del suo mandato, avuto riguardo, in particolare, alle specificità del/i settore/i a cui si applica il codice di condotta. In particolare, tali procedure devono garantire che i singoli componenti dell’Odm con poteri decisionali e l’Odm nel suo complesso si astengano da qualunque azione incompatibile con le funzioni e gli obblighi di quest’ultimo e che non esercitino alcuna attività, remunerata o meno, con essi incompatibili. I componenti dell'Odm devono impegnarsi a rispettare tali procedure e a segnalare qualsiasi situazione che possa creare eventuali conflitti di interessi.

Nota esplicativa:

Ad esempio, può insorgere un conflitto di interessi nel caso in cui il personale dell’Odm con poteri decisionali abbia lavorato in precedenza per il soggetto titolare del codice o per uno degli aderenti oppure sia stato coinvolto nei lavori di redazione del codice di condotta. In casi del genere devono essere fornite all’Autorità garanzie idonee a mitigare sufficientemente il rischio di un eventuale conflitto di interessi.

La procedura di gestione dei conflitti di interesse può prevedere, ad esempio, che il personale dell’Odm con poteri decisionali sia tenuto a dichiarare per iscritto ogni potenziale conflitto di interessi o rischio per la propria indipendenza.

L’Odm deve predisporre misure atte ad assicurare che questi non solleciti o accetti istruzioni da alcuno, in particolare nella formazione, assunzione e applicazione delle decisioni attinenti all’assolvimento dei propri compiti di controllo.

L’Odm deve predisporre misure atte a evitare che lo stesso possa essere rimosso, sanzionato o penalizzato, direttamente o indirettamente, a causa dell’adempimento dei suoi compiti dai soggetti titolari del codice di condotta, dagli aderenti o dai soggetti in qualche modo riconducibili al settore (professionale, industriale o altro) a cui il codice si applica.

Nota esplicativa:

Ad esempio, l’assenza di conflitto di interessi può essere dimostrata attraverso elementi di valutazione desunti dalle procedure di selezione dei componenti dell’Odm con poteri decisionali, dalle relative modalità di remunerazione, dalla sottoscrizione di codici etici e dalle regole disciplinanti le condizioni per il rinnovo del loro incarico alla scadenza.

5. Competenza

L’Odm deve dimostrare di possedere un adeguato livello di competenza per il corretto ed efficiente svolgimento dei propri compiti di controllo in relazione allo specifico codice di condotta per il cui monitoraggio si richiede l’accreditamento.

In particolare, l’Odm deve dimostrare che i componenti che assumono le decisioni attinenti alle funzioni di monitoraggio, ivi compresi eventuali sostituti, posseggano, singolarmente o nel loro insieme:

• un’approfondita conoscenza ed esperienza (di tipo giuridico e informatico) in materia di protezione dei dati personali;

• un’approfondita conoscenza ed esperienza nel settore specifico o nelle specifiche attività di trattamento a cui si applica il codice di condotta;

• un’approfondita conoscenza ed esperienza nello svolgimento di compiti di vigilanza e controllo (ad esempio nel settore dell’audit o del controllo di qualità).

L’Odm deve dimostrare che il livello di conoscenza ed esperienza posseduto nei campi sopraindicati sia adeguato all’effettivo assolvimento dei suoi obblighi di controllo in relazione al codice di condotta per il quale viene richiesto l’accreditamento, avuto riguardo, in particolare, alle specificità del/i settore/i a cui si applica il codice, alla categoria dei dati trattati e alla complessità delle attività di trattamento, ai diversi interessi coinvolti, alla tipologia e al numero (anche atteso) di soggetti aderenti, nonché ai rischi per gli interessati.

L’Odm deve dimostrare altresì di possedere gli specifici requisiti di competenza definiti nel codice di condotta.

L’Odm deve garantire che la competenza posseduta sia oggetto di aggiornamento periodico in relazione all’evolversi della disciplina applicabile e della tecnologia utilizzata nel settore di riferimento del codice di condotta.

Nota esplicativa:

Requisiti di competenza più dettagliati sono fissati dal codice di condotta e sono considerati parte dell'accreditamento.

Si considera “adeguato” il livello di competenza necessario all’effettivo svolgimento delle funzioni di controllo assegnate all’Odm in relazione al codice di condotta per il quale viene richiesto l’accreditamento, avuto riguardo, in particolare, alle specificità del/i settore/i a cui si applica il codice, alla categoria dei dati trattati e alla complessità delle attività di trattamento, ai diversi interessi coinvolti, alla tipologia e al numero (anche atteso) di soggetti aderenti nonché ai rischi per gli interessati.

Tali requisiti possono essere comprovati tramite il conseguimento di corsi di formazione professionale, diplomi di laurea, titoli di specializzazione o perfezionamento o master di durata almeno annuale, dottorati di ricerca, ovvero dal possesso di qualifiche ed esperienze professionali debitamente documentate o, ancora, da pubblicazioni a carattere scientifico o da ogni altro titolo comprovante qualificate esperienze professionali, di studio o di ricerca.

6. Procedure e strutture istituite per il monitoraggio del codice di condotta

L’Odm deve dimostrare di disporre di procedure idonee a valutare l’ammissibilità dei titolari e dei responsabili del trattamento ad aderire e ad applicare il codice di condotta, controllare l’osservanza delle sue disposizioni da parte di questi ultimi e riesaminare periodicamente il funzionamento del codice. Tali procedure devono essere approntate avendo riguardo a: la categoria dei dati trattati, la complessità delle attività di trattamento e i rischi derivanti per gli interessati, nonché la tipologia e il numero (anche atteso) dei soggetti aderenti al codice, l’ambito geografico in cui questo si applica, i reclami ricevuti e le violazioni eventualmente accertate.

La predetta procedura deve garantire che le richieste di adesione al codice di condotta da parte di titolari e responsabili del trattamento, se pervenute successivamente alla sua entrata in vigore del codice, siano esaminate entro termini ragionevoli.

L’Odm deve dimostrare che siffatta procedura preveda:

- la programmazione delle verifiche (iniziali, ad hoc e periodiche) durante un periodo di tempo definito e sulla base di criteri preventivamente individuati, quali la tipologia e il numero di aderenti al codice di condotta, l'ambito geografico, i reclami ricevuti, le violazioni accertate, ecc.;

- la conduzione delle verifiche sulla base di una metodologia definita, con particolare riferimento, al tipo di verifica da utilizzare (autovalutazione, audit, ispezioni, con o senza preavviso, in loco o in remoto, questionari, relazioni periodiche, ecc.), ai criteri oggetto di verifica e alle modalità di documentazione e gestione dei relativi risultati;

- la valutazione dei risultati delle verifiche che, nel rispetto dei principi di partecipazione, imparzialità e garanzia del contradditorio, consenta di identificare, istruire e gestire eventuali violazioni del codice di condotta da parte degli aderenti e di adottare entro termini ragionevoli, opportune misure correttive, anche sanzionatorie, volte a porre rimedio a tali violazioni e a prevenire il loro ripetersi, sulla base di quanto previsto dal codice di condotta in caso di violazione delle sue regole;

- che i soggetti aderenti al codice di condotta prestino la massima collaborazione ai fini del proficuo svolgimento di tali attività di controllo.

L’Odm è responsabile per la gestione di tutte le informazioni raccolte o utilizzate durante le procedure di controllo e, a tal fine, garantisce che il proprio personale mantenga riservate tali informazioni, fermo restando il rispetto di eventuali obblighi di legge che prevedano diversamente.

Nota esplicativa:

I requisiti sopra indicati sono volti a dimostrare che le procedure di monitoraggio proposte, anche in termini di strutture e risorse a ciò dedicate, siano trasparenti, appropriate al controllo del codice di condotta per cui si richiede l’accreditamento, nonché praticabili dal punto di vista operativo, efficaci e verificabili. Tali procedure possono prevedere la pubblicazione di relazioni riguardanti le verifiche effettuate o di rapporti periodici o sintetici sulle attività svolte dall’Odm e le complessive risultanze di tali attività.

7. Gestione trasparente dei reclami

L’Odm deve dimostrare di avere a disposizione un meccanismo che gli permetta di gestire in modo trasparente e imparziale i reclami aventi ad oggetto le violazioni del codice di condotta da parte degli aderenti o il modo in cui il codice di condotta è stato o è attuato da questi ultimi.

Fatto salvo il diritto degli interessati di presentare reclamo al Garante o ricorso all’autorità giudiziaria ai sensi degli artt. 77 e 79 del Regolamento e degli art. 140-bis e ss. del Codice, siffatto meccanismo deve garantire che un interessato ovvero un organismo, organizzazione o associazione rappresentativa o attiva nel settore della protezione dei dati personali, possa proporre reclamo all’Odm, inviando apposita istanza che contenga una breve descrizione dei fatti e del pregiudizio lamentato.

A tal fine, l’Odm deve dimostrare di aver messo in atto un adeguato quadro di procedure e strutture per la ricezione, l’istruttoria e la definizione dei reclami secondo quanto stabilito nel dettaglio nello stesso codice. Tali procedure devono essere trasparenti, intellegibili e facilmente accessibili a chiunque, nonché supportate da risorse appropriate in modo da garantire un’efficace gestione dei reclami.

La procedura di gestione dei reclami deve prevedere le modalità per la proposizione del reclamo nonché stabilire le modalità di definizione dello stesso, nel rispetto dei principi di partecipazione, imparzialità e garanzia del contradditorio. In particolare, tale procedura deve prevedere che l’Odm informi il reclamante dello stato e dell’esito del reclamo entro tempi ragionevoli, tali da consentire un’analisi accurata di quanto lamentato.

Fermo restando il rispetto dei predetti principi e garanzie, l'Odm deve dimostrare di poter adottare una o più misure correttive - anche sanzionatorie - come individuate nel codice di condotta, in caso di violazioni delle sue regole da parte degli aderenti, volte a porre rimedio a tali violazioni e a prevenire il loro ripetersi. Tali misure, a seconda della gravità della violazione riscontrata, devono poter includere la sospensione o l’esclusione dal codice di condotta del titolare/responsabile aderente al codice.

L'Odm deve dimostrare di aver approntato una procedura per informare senza indebito ritardo l’Autorità delle misure adottate e dei motivi della loro adozione nel caso di violazioni che comportino la sospensione o l'esclusione del titolare/responsabile aderente al codice.

L’Odm deve istituire e tenere costantemente aggiornato un registro di tutti i reclami e le azioni correttive, anche sanzionatorie, adottate a cui l'Autorità può accedere in qualsiasi momento.

L’Odm deve rendere pubblicamente accessibili le decisioni adottate all’esito della definizione dei reclami, previo oscuramento dei dati personali eventualmente presenti (in quanto riferiti a persone fisiche) anche attraverso informazioni di sintesi relative alle medesime decisioni, secondo quanto stabilito dalla procedura di gestione dei reclami e avuto riguardo alla gravità delle violazioni riscontrate e delle conseguenti misure impartite al titolare/responsabile aderente al codice.

Tali informazioni di sintesi devono, in ogni caso, comprendere i dati relativi a tutte le violazioni riscontrate che comportino la sospensione o l'esclusione dal codice e l’indicazione dei destinatari di tali misure nonché, a titolo esemplificativo e non esaustivo, informazioni riguardanti il numero e il tipo di reclami ricevuti, il tipo di violazioni riscontrate e le misure correttive impartite.

Nota esplicativa:

Un meccanismo di gestione dei reclami trasparente, imparziale e facilmente accessibile agli interessati è un elemento essenziale ai fini del monitoraggio del codice di condotta.

8. Comunicazioni all’Autorità di controllo

L’Odm deve dimostrare di aver approntato una procedura efficace per informare senza indebito ritardo l’Autorità dell’adozione delle misure più gravi adottate nei confronti del titolare/responsabile aderente al codice - quali la sospensione o l'esclusione dal medesimo codice - dei motivi della loro adozione e, in particolare, delle violazioni riscontrate, nonché delle azioni poste in essere dal titolare/responsabile sospeso o escluso dal codice per ottemperare a siffatte misure. Siffatta procedura deve consentire, altresì, all’Odm di informare senza indebito ritardo l’Autorità in caso di eventuale revoca di tali misure e delle motivazioni sottostanti.

La medesima procedura deve consentire all’Odm di fornire all’Autorità, su base annuale, un resoconto riassuntivo dei controlli effettuati, delle procedure di reclamo definite e delle misure eventualmente adottate nei confronti dei titolari/responsabili aderenti al codice.

In presenza di sopravvenute modifiche sostanziali ai requisiti, sulla base dei quali è stato rilasciato l’accreditamento, l’Odm dovrà senza indebito ritardo informarne l’Autorità.

Ogni modifica sostanziale sopravvenuta comporta la necessità di chiedere un nuovo accreditamento all’Autorità.

In particolare, per modifiche sostanziali sopravvenute si intendono quelle modifiche ai requisiti sulla base dei quali è stato rilasciato l’accreditamento che incidono sulla capacità dell’Odm di adempiere ai sui obblighi di monitoraggio in modo indipendente ed efficace, con le competenze adeguate e in assenza di conflitti d’interesse.

9. Meccanismi di riesame

L’Odm deve dimostrare di poter contribuire al riesame del funzionamento del codice di condotta tramite documentate procedure, in conformità a quanto stabilito nel medesimo codice e richiesto dal soggetto titolare del codice, al fine di garantire che quest’ultimo rimanga attuale e continui a contribuire alla corretta applicazione della disciplina sulla protezione dei dati personali.

In particolare, tali procedure assicurano che l’Odm fornisca periodicamente al soggetto titolare del codice di condotta - o a ogni altra associazione, organismo o ente previsto dal medesimo codice - informazioni significative sul suo funzionamento specie quelle che evidenziano la necessità di apportare modifiche o proroghe allo stesso.

L'Odm garantisce che le predette informazioni sul funzionamento del codice di condotta siano memorizzate e rese disponibili all'Autorità, ove richiesto.

Nota esplicativa:

Gli organismi di controllo svolgono un ruolo chiave nel contribuire alla revisione del codice di condotta in conformità alle procedure di revisione indicate nel medesimo codice. Ad esempio, si dovrebbero prevedere meccanismi di riesame per adeguare il codice di condotta all’evolversi della disciplina applicabile o qualora gli sviluppi tecnologici possano incidere sul trattamento dei dati personali da parte degli aderenti o sulle previsioni del medesimo codice. All’esito di tali procedure, il soggetto titolare del codice può proporre modifiche o proroghe al codice da sottoporre all’Autorità ai sensi dell’art. 40, par. 5 e ss., del Regolamento. A titolo esemplificativo e non esaustivo, si considerano significative le seguenti informazioni riguardanti il funzionamento del codice: quelle relative a nuovi soggetti aderenti, a eventuali sospensioni ed esclusioni dei membri del codice, alle violazioni riscontrate, ai reclami gestiti e, in generale, alle risultanze delle attività di controllo poste in essere dall’Odm.

10. Status giuridico

L’Odm deve dimostrare di essere stabilito all’interno del SEE.

Fermi restando i compiti e i poteri dell’Autorità secondo quanto previsto dal Regolamento e dal Codice in materia di protezione dei dati personali, l’Odm (interno o esterno) deve dimostrare di avere uno status giuridico tale da poter adempiere effettivamente ai suoi obblighi di controllo e far fronte alle connesse responsabilità.

Le modalità di costituzione dell’Odm e di composizione del suo personale con poteri decisionali, le procedure decisionali, le regole di funzionamento e la durata del mandato nonché le risorse di cui dispone devono garantire che l’Odm assolva ai suoi obblighi di controllo e possa far fronte alle connesse responsabilità per tutta la durata del suo mandato.

 

(1) L’Odm non può essere costituito all’interno di un soggetto aderente al codice di condotta.