Il codice di condotta è una guida specifica del settore per l’applicazione della legge sulla protezione dei dati adottata dall’ufficio del garante della protezione dei dati. Nel settore privato, l’attuazione del codice di condotta è controllata da un organismo di controllo accreditato dall’autorità e in Finlandia l’ufficio del Commissario per la protezione dei dati è l’accreditatore. L’impegno a rispettare il codice di condotta aiuta le organizzazioni a rispettare il regolamento sulla protezione dei dati e ad adempiere all’obbligo di dimostrazione.
Il codice di condotta è redatto da associazioni o altri soggetti che rappresentano titolari del trattamento e responsabili del trattamento dei dati personali nel loro ambito. I titolari del trattamento e gli incaricati del trattamento possono scegliere di aderire al codice di condotta e quindi garantire che applichino correttamente il regolamento sulla protezione dei dati alle questioni di protezione dei dati tipiche del loro settore.
Il codice di condotta può essere nazionale o sovranazionale. Affinché il codice di condotta possa essere applicato in modo efficace, esso deve essere monitorato secondo determinati meccanismi di controllo. Si raccomanda che i creatori del codice propongano già un organismo di monitoraggio nella fase di preparazione del codice. Se il codice di condotta viene applicato nel settore privato, è necessario un organismo di controllo accreditato dall’autorità di controllo. Se il codice di condotta riguarda autorità pubbliche o altri enti pubblici, non è richiesto un organo di controllo.
L’organismo di vigilanza deve essere competente e imparziale
Secondo i criteri di accreditamento dell’ufficio del GEPD, l’organismo di controllo deve essere funzionalmente indipendente e imparziale. L’organismo di vigilanza deve disporre di competenze sufficienti e di procedure adeguate e trasparenti per garantire un controllo efficace del rispetto del codice di condotta. L’Organismo di Vigilanza presenta inoltre una relazione annuale di attività all’Ufficio del responsabile della protezione dei dati.
I criteri di accreditamento ora pubblicati sono stati sviluppati dal GEPD e affrontati nel meccanismo di armonizzazione del comitato europeo per la protezione dei dati. Lo scopo della discussione congiunta tra le autorità è armonizzare i criteri per gli organi di controllo e la supervisione del codice di condotta in tutti i paesi del SEE.
Il codice di condotta specifico del settore può, ad esempio, specificare come deve essere pianificato il trattamento dei dati personali e valutati i rischi, quali interessi legittimi può avere il titolare del trattamento e come saranno garantiti i diritti dell’interessato. Il codice di condotta può anche fornire orientamenti, tra le altre cose, sull’attuazione della protezione dei dati dei minori o sulla pseudonimizzazione dei dati personali.