Other Info

La dimostrazione della conformità di tutti gli operatori e i loro incaricati è un incarico difficile per ogni autorità regolante e per questo il GDPR consente l’utilizzo dei codici di condotta e delle certificazioni. Hanno lo scopo di fornire la guida relativa ai requisiti del Regolamento, nonché di richiamare l’attenzione delle persone interessate e delle autorità regolanti in riferimento alla conformazione al GDPR.

Codici di condotta

Tali codici di condotta sono creati dalle associazioni o organizzazioni rappresentate e sono poi approvati, registrati e pubblicati da un’autorità di supervisione o dall’Autorità Europea per la Protezione dei Dati (quando le attività di trattamento sono realizzate in più di uno Stato membro).

I codici di condotta possono essere inoltre emessi dall’AEDP e poi implementati dalla Commissione dell’Unione Europea, avendo validità generale nell’ambito dell’UE.

I codici di condotta devono includere informazioni relative a:

Raccolta dei dati personali

Pseudonimizzazione dei dati

Esercizio dei diritti delle persone interessate

Interesse reale nei dati raccolti

Notifiche nel caso della violazione della sicurezza dei dati

Obblighi degli operatori di dati per la protezione dei dati

Procedure di risoluzione delle controversie

Nel caso in cui i codici di condotta siano predisposti dalle associazioni private, ne sono incoraggiate dalla Considerazione 99 a consultare le parti interessate come le persone interessate, se possibile e a prendere in considerazione anche le loro opinioni.

Nel caso degli importatori di dati collocati fuori dell’UE, l’adesione a tali codici è una modalità di dimostrare il rispetto del Regolamento da parte degli operatori di dati e delle loro persone incaricate.

I codici di condotta sono una buona modalità di stabilire e aggiornare la miglior pratica di conformità nei contesti del trattamento specifico.

Certificazioni, Qualificativi e Sigilli

In modo simile ai codici di condotta, le certificazioni, i sigilli e i qualificativi sono un altro meccanismo che consente alle compagnie di dimostrare la conformità con il GDPR nei confronti dei potenziali clienti.

Nell’ambito del GDPR le certificazioni sono emesse da un organismo di certificazioni accreditato, gli Stati membri UE o AEPD.

Le certificazioni non sono obbligatorie, però hanno due vantaggi chiave:

Permettono sia agli operatori di dati che ai loro incaricati di dimostrarne la loro conformità, soprattutto in riferimento all’implementazione delle misure organizzative o tecniche.

Possono dimostrare che gli importatori di dati non collocati nell’UE hanno implementato le misure per il rispetto dell’Articolo 46

I criteri per l’emissione di tali certificazioni saranno stabiliti dall’AEPD e saranno disponibili al pubblico.