Sebbene si stia avvicinando l’approvazione dei primi codici di condotta, in Polonia non disponiamo ancora di un documento del genere da utilizzare. Ci sono diversi motivi per questa situazione.
Il GDPR, ovvero il Regolamento generale sulla protezione dei dati, per definizione offre ai titolari del trattamento molta libertà in merito alle soluzioni utilizzate. Grazie a ciò, possono adattare l’organizzazione del loro sistema di protezione dei dati alle specifiche della loro attività. Questa flessibilità significa anche che i titolari del trattamento devono essere creativi e proattivi nel garantire la conformità con il GDPR. Non è sempre facile. Ogni settore è diverso e alcune soluzioni che funzioneranno, ad esempio, in un grande negozio online, non saranno necessariamente adatte a una struttura medica.
Il ruolo dei codici di condotta
Un codice di condotta può essere utile per scegliere le soluzioni giuste e adeguate alle specificità di un determinato settore. Si tratta di uno strumento volontario previsto dal GDPR, che dettaglia l’applicazione delle disposizioni in materia di protezione dei dati personali da parte di amministratori e responsabili del trattamento di uno specifico settore. Possono anche essere una sorta di istruzione dettagliata, un insieme di regole che garantiranno che l’amministratore aderendo a tale iniziativa e rispettando le disposizioni di tale documento abbia maggiore certezza di agire in conformità con il GDPR. I codici hanno lo scopo di dettagliare molte questioni e consigliare gli amministratori, tra gli altri: come procedere durante la raccolta dei dati, come affrontare l’adempimento degli obblighi di informazione e i diritti delle persone di cui trattano i dati, o quali misure tecniche e organizzative dovrebbero essere applicate in la loro industria,
Lavora sulla bozza del codice
L’iniziativa di elaborare un codice e di sottoporlo all’approvazione del Presidente dell’Ufficio per la protezione dei dati personali può essere presentata da associazioni e altri enti che rappresentano determinate categorie di titolari o incaricati del trattamento. Le informazioni sulle consultazioni svolte e il loro risultato sono allegate alla domanda.
L’Ufficio per la protezione dei dati personali valuta il progetto presentato. Durante tale valutazione potrà contattare rappresentanti delle organizzazioni che hanno predisposto la bozza di codice di condotta per ottenere chiarimenti o ulteriori risposte.
L’Ufficio fornisce quindi il proprio parere sulla conformità della bozza di codice con il GDPR. Vale la pena sottolineare qui che, come indicato dal Comitato europeo per la protezione dei dati nelle Linee guida 1/2019 sui codici di condotta e gli enti di monitoraggio ai sensi del Regolamento 2016/679 , la procedura di approvazione del codice dovrebbe essere affrontata con pieno impegno e preparazione.
A causa del fatto che il GDPR non specifica esattamente come dovrebbe essere la procedura di approvazione del codice, l’Ufficio per la protezione dei dati personali soddisfa ogni iniziativa impegnandosi a chiarire eventuali dubbi relativi alle disposizioni e alle linee guida riguardanti il codice prima di presentare una domanda formale di approvazione . Molto spesso ciò si concretizza in incontri con gli autori dei progetti al fine di ottenere chiarimenti e trasmettere dubbi o individuare problematiche che, in un determinato caso, comporteranno conflitti con le disposizioni in materia di protezione dei dati personali.
Necessità di indicare l’ente di monitoraggio
Ciascun codice di condotta deve indicare un soggetto che monitora il rispetto del presente documento da parte delle organizzazioni che vi aderiscono. Ciò non si applica ai codici che si applicano solo al trattamento dei dati da parte delle autorità pubbliche. Tuttavia, ciò non significa una mancanza di supervisione: il monitoraggio viene quindi eseguito da un altro soggetto che controlla tale soggetto pubblico.
Un’entità che monitora la conformità a un determinato codice deve soddisfare determinati requisiti, come avere esperienza nel campo coperto dal codice, mantenere l’indipendenza, disporre di procedure per valutare se gli amministratori stanno rispettando il codice e per trattare i reclami relativi a violazioni di il codice.
L’ente di monitoraggio deve inoltre soddisfare i requisiti di accreditamento specificati dall’Ufficio per la protezione dei dati personali e valutati dal Comitato europeo per la protezione dei dati al fine di garantire la coerenza nell’applicazione delle disposizioni del GDPR in tutti gli Stati membri.
I requisiti di accreditamento polacco per i controllori hanno recentemente ricevuto un parere dall’EDPB. Allo stesso tempo, sono pendenti i procedimenti sulle bozze di codice che sono state sottoposte all’approvazione dell’Ufficio per la protezione dei dati personali. Il lavoro dell’Ufficio di valutazione delle soluzioni dettagliate può continuare, sebbene la piena applicazione del Codice sia subordinata alla nomina di un soggetto che ne monitori il rispetto.
Soluzioni dettagliate, non ripetendo il GDPR
L’istituzione di codici di condotta ha suscitato grande interesse in Polonia. Finora sono state presentate all’Ufficio per la protezione dei dati personali otto domande di approvazione di codici di condotta. Secondo i resoconti dei media, ci sono anche iniziative che non sono state sottoposte all’approvazione dell’Ufficio per la protezione dei dati personali, ma sono in fase di elaborazione in singoli settori. Gli esperti dell’Ufficio si sono incontrati con alcuni dei rappresentanti di queste industrie o hanno chiarito costantemente eventuali dubbi relativi alla legge applicabile. È vero che al momento l’epidemia di COVID rende difficili i contatti diretti, ma l’Ufficio per la protezione dei dati personali (UODO) non rinuncia a incoraggiare lo sviluppo di codici di condotta che aumenteranno il livello di protezione dei dati in Polonia.
In alcuni casi, tuttavia, dopo l’interesse iniziale per i codici, il lavoro è stato abbandonato o il lavoro concettuale sulle bozze di tali documenti è stato esteso. È successo quando l’Ufficio per la protezione dei dati personali ha spiegato agli interessati quali requisiti il GDPR impone ai codici.
Tra le parti delle bozze di codici presentate, si può notare che i promotori del progetto comprendono i principi di creazione e approvazione dei codici di condotta. Gli iniziatori sono anche fortemente coinvolti nella costruzione di soluzioni trasparenti che saranno utili per le entità che applicano le soluzioni.
Tuttavia, esistono anche tali bozze di codici che regolano brevemente singole questioni di protezione dei dati personali in un determinato settore o costituiscono una sconsiderata ripetizione delle disposizioni del GDPR. In altri, gli autori del progetto hanno presentato soluzioni che non hanno portato a disposizioni dettagliate sulla protezione dei dati personali e non sono servite a garantire la trasparenza e l’affidabilità del trattamento dei dati personali. Inoltre, i meccanismi di monitoraggio della conformità ai codici a volte non erano in linea con i requisiti degli orientamenti EDPB. Il presente documento, esplicitamente esplicativo delle disposizioni dell’art. 40 e 41 del GDPR e contenenti i criteri di ammissibilità del progetto dovrebbero essere dettagliatamente utilizzati dagli autori affinché la futura procedura di approvazione del codice possa andare a buon fine.
Nel caso di alcune bozze di codice, alcuni mesi fa l’Ufficio ha presentato commenti ai suoi autori. Se gli autori di questi codici sono stati coinvolti attivamente nel lavoro su questi documenti durante questo periodo, ci si dovrebbe aspettare che il codice sarà presto presentato all’autorità di controllo, che può essere approvata.
Il codice porta vantaggi
Il codice di condotta, che sarà redatto in conformità alle disposizioni in materia di protezione dei dati personali, risponderà ai requisiti per esso fissati e non sarà solo una ripetizione del GDPR, ma soprattutto chiarirà molte questioni tenendo conto delle specificità di un determinato settore, gli porterà molti vantaggi. Faciliterà l’applicazione delle normative e l’adempimento di una serie di obblighi ai titolari del trattamento e agli incaricati del trattamento che sono membri del codice e mostrerà le giuste soluzioni dove oggi ci sono dilemmi. Aiuterà anche a organizzare adeguatamente l’intero sistema di protezione dei dati personali in un determinato settore. Questo sarà un aspetto positivo non solo per gli amministratori, i responsabili del trattamento, ma anche per le persone i cui dati vengono elaborati, perché potranno inoltre contare su uno standard simile di protezione dei dati e servizio nell’attuazione dei propri diritti da parte di un determinato settore.
Il vantaggio di un codice opportunamente predisposto non è solo garanzia di certezza nell’applicazione di specifiche soluzioni approvate dal Presidente del Servizio Protezione Dati Personali. Gli amministratori possono inoltre contare sulla supervisione sul trattamento dei dati personali da parte di un ente indipendente che monitora il codice.
Pertanto, il Presidente dell’Ufficio per la protezione dei dati personali incoraggia altre industrie a intraprendere tali iniziative e coloro che lo hanno già fatto, a impegnarsi in ulteriori lavori sulla forma finale dei codici di condotta.
edpb_guidelines_201901_v2.0_codesofconduct_pl
FONTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA POLONIA – UODO