Cosa sono i codici di condotta?

Nel Regolamento Europeo si fa riferimento a codici di condotta ed a schemi di certificazione che possono essere messi a disposizione dal Legislatore (comunitario o nazionale) per dimostrare l’adeguatezza del trattamento e delle relative misure di sicurezza. Tale argomento è trattato nel Capo IV sezione 5 – Codici di condotta e certificazioni oltre che in diversi considerando (98,99,100,167,168).

Lo scopo e l’utilità dei codici di condotta e delle certificazioni vengono indicati in più punti del Regolamento. Si vogliono qui di seguito riportare i principali riferendosi in particolare alla figura del Titolare del trattamento :

Capo IV – Sezione 1 – Art. 24 Responsabilità del Titolare del Trattamento – paragrafo 3
“L’adesione ai codici di condotta di cui all’articolo 40 o a un meccanismo di certificazione di cui all’articolo 42 può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del Titolare del trattamento.”

Capo IV – Sezione 2 – Art. 32 – Sicurezza del Trattamento – paragrafo 3
“L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo.”

Capo IV – Sezione 3 – Art. Valutazione d’impatto sulla protezione dei dati – paragrafo 8
“Nel valutare l’impatto del trattamento effettuato dai relativi titolari o responsabili è tenuto in debito conto il rispetto da parte di questi ultimi dei codici di condotta approvati di cui all’articolo 40, in particolare ai fini di una valutazione d’impatto sulla protezione dei dati.”

Considerando 77
“Gli orientamenti per la messa in atto di opportune misure e per dimostrare la conformità da parte del Titolare del trattamento o dal responsabile del trattamento in particolare per quanto riguarda l’individuazione del rischio connesso al trattamento, la sua valutazione in termini di origine, natura, probabilità e gravità, e l’individuazione di migliori prassi per attenuare il rischio, potrebbero essere forniti in particolare mediante codici di condotta approvati, certificazioni approvate, linee guida fornite dal comitato o indicazioni fornite da un responsabile della protezione dei dati. Il comitato può inoltre pubblicare linee guida sui trattamenti che si ritiene improbabile possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche e indicare quali misure possono essere sufficienti in tali casi per far fronte a tale rischio.”

Il registro dei trattamenti è importate averlo, redigerlo e aggiornarlo perché in caso di controllo permette di valutare la metodologia utilizzata all’interno dell’azienda per la sicurezza dei dati, è un po’ come il DVR nell’ambito della sicurezza, dove una volta evidenziato il risultato in misura bassa, media o alta si determina il grado di Compliance dell’impresa.

Domanda

Quando è consigliato e invece è obbligatorio il Registro dei Trattamenti?