È notizia di questi giorni che il Codice di Condotta del Telemarketing e Teleselling vede aumentare le proprie adesioni – sono ormai oltre 30 gli aderenti – e vede (finalmente) aderire il primo operatore energetico ed altri sono al lavoro per definire le procedure necessarie e sono attesi a breve.
Prestiti aziendali immediati
anche per liquidità
Cos’è un codice di condotta Gdpr e come nasce
L’occasione è dunque buona per fare il punto su cosa sia un Codice di Condotta GDPR, quale la sua valenza e quale il portato dell’adesione.
Con l’approvazione di un certo numero di Codici di Condotta, nell’ultimo anno per vari settori di mercato – tra cui telemarketing, informazioni commerciali, software, agenzie per il lavoro, informazioni creditizie – il Garante Privacy ha avviato i lavori dei relativi organismi di monitoraggio, che ha via via accreditato.
I Codici di Condotta previsti dal GDPR, a differenza di quelli approvati d’imperio da altre Autorità (pensiamo per il telemarketing al Codice di Condotta approvato dall’AGCOM) non sono regolamentazioni obbligatorie e calate dall’alto: si tratta di regole definite dalle associazioni rappresentative del mercato e della categoria interessata, poste in consultazione tra gli operatori del mercato e, solo in ultima analisi, approvate dal Garante, il cui ruolo è quello di verificare se le regole del codice di condotta proposta, siano complete ed esaustive degli accorgimenti da adottare per una seria ed efficace tutela dei dati personali.
Il ruolo degli organismi di monitoraggio nel sistema Gdpr
Chi propone un Codice di Condotta ha anche la facoltà di farlo “sorvegliare” da un organismo di monitoraggio.
Gli organismi di monitoraggio sono un nuovo tipo di soggetto, la cui istituzione è prevista dall’art. 41 del GDPR. Il loro ruolo non è forse ancora del tutto chiaro ad aziende e utenti.
Mutuo casa veloce
Mutuo fino al 100%
È bene dunque spiegare quale sia il ruolo ed i poteri di tali organismi e, nel farlo, tentare di dare qualche risposta alla domanda che – forse più di ogni altra – è posta dalle imprese delle categorie interessate da un Codice di Condotta approvato dal Garante: visto che l’adesione non è obbligatoria conviene aderire? Quali sono i vantaggi?
L’accountability e le difficoltà delle imprese nella gestione privacy
Le imprese le cui attività sono basate sui dati personali sono abituate a fare molta attenzione alle sanzioni emanate dal Garante, leggendo le quali si può determinare quali siano le modalità accettabili e legittime di gestione dei dati personali e quali i comportamenti da evitare.
D’altra parte, il Regolamento GDPR ha introdotto il principio della c.d. “accountability”: ogni titolare del trattamento deve fare tutto il necessario per essere certo di trattare i dati personali in maniera conforme al Regolamento e deve essere pronto a dimostrare che le misure adottate sono quelle adeguate ed idonee.
Il sistema dell’accountability pone sovente una notevole complessità nelle scelte aziendali poiché il Garante non rilascia “visti” preliminari alle modalità di trattamento dati adottate dalle imprese: in poche parole, sino a che non arriva un’ispezione del Garante e relativo provvedimento, non è possibile sapere con certezza assoluta che il proprio sistema privacy sia conforme al GDPR e, per settori di mercato particolarmente complessi, l’impresa che deve trattare dati personali, spende soldi, risorse e tempo per tentare di strutturare procedure privacy sicure, col rischio però che il Garante possa avere idee diverse e procedere a sanzione.
Come il codice di condotta limita il rischio sanzionatorio
Lo strumento dei Codici di Condotta è molto utile per cercare di ridurre questo tipo di rischio: il Codice di Condotta offre un sistema procedurale di gestione dei dati personali per una determinata attività, fatto e finito e preapprovato dal Garante: chi attua quelle regole e dimostra di averle puntualmente attuate, non sarà sanzionato. Non può cioè il Garante esigere qualcosa di diverso relativamente a quanto sia espressamente regolamentato da un codice di condotta approvato ai sensi del GDPR.
Adesione formale e verifica iniziale da parte dell’Organismo di Monitoraggio
Il ruolo dell’Organismo di Monitoraggio in questo sistema è quello di sorvegliare l’applicazione del Codice di Condotta, la cui applicazione non è un atto unilaterale dell’impresa: per poter essere considerata un soggetto che attua il Codice di Condotta, un’impresa deve formalmente comunicare al relativo Organismo di Monitoraggio l’adesione al Codice di Condotta e pagare la relativa quota – che finanzia il funzionamento dell’Organismo.
L’Organismo, all’atto dell’adesione, effettua un primo screening dell’aderente, confermando che non risultano motivi ostativi all’adesione e, progressivamente effettua procedure di audit sugli aderenti al Codice per confermare che gli aderenti abbiano effettivamente implementato tutte le procedure previste dal Codice.
Il processo di audit e le implicazioni reputazionali
L’Organismo, a tal fine, raccoglie anche segnalazioni dagli utenti e dalle imprese su possibili violazioni del Codice e attua le necessarie verifiche: se vi sono numerose segnalazioni di una certa violazione, può decidere di disporre una procedura di audit straordinaria dell’aderente interessato o richiedere informazioni e chiarimenti.
Aste immobiliari
il tuo prossimo grande affare ti aspetta!
L’Organismo, a differenza del Garante, non ha poteri sanzionatori: esso valuta soltanto se l’impresa aderente sia o meno rispettosa del Codice: se ritiene che un aderente abbia posto in essere gravi violazioni del proprio Codice, può sospendere o revocare l’adesione – agendo così sul piano reputazionale dell’aderente, che non potrà più affermare di essere un’impresa che applica il Codice di Condotta. E’ certamente possibile – anche se non automatico – che questa sanzione reputazionale, “catturi” anche l’interesse del Garante – con cui gli OdM sono costantemente in contatto e che il Garante si interessi ulteriormente della violazione rilevata dall’Organismo.
Funzione preventiva e collaborativa dell’organismo di monitoraggio
È però anche vero che un organismo di monitoraggio, prima di applicare una sanzione come la sospensione o la revoca, dialogherà con l’impresa e – laddove ve ne siano le condizioni – aiuterà la medesima a ripristinare la completa osservanza del Codice.
Un Organismo di Monitoraggio, insomma, è un entità che offre all’impresa che aderisce al proprio Codice l’opportunità di comprendere e rimediare alle violazioni del trattamento dei dati che rientrano nel perimetro del Codice, prima che – divenute patologiche – siano notate e sanzionate dal Garante.
È dunque preferibile – ad avviso di chi scrive – per l’impresa che opera in settori regolati da Codici di Condotta, implementare il Codice ed aderire allo stesso, in maniera da rientrare nel gruppo delle imprese virtuose, supportate dai lavori del relativo organismo di monitoraggio.
Rientra certamente nella discrezionalità del Garante, il valutare se una impresa sia anche sorvegliata da un Organismo di Monitoraggio nel decidere le priorità delle proprie ispezioni.
L’importanza della formale adesione e del monitoraggio attivo
Bisogna sottolineare con forza che l’adesione deve essere formalizzata: il dichiarare che si aderisce “ai principi” di un Codice di Condotta o che lo si rispetta, senza aver aderito, non porta nessuno dei vantaggi derivanti dall’adesione e, addirittura, il comunicare di rispettare un Codice di Condotta senza aver richiesto e ottenuto l’adesione, potrebbe essere considerato ingannevole nei confronti dei consumatori.
Perché conviene aderire al codice nei settori regolamentati
È infatti proprio il sottoporsi al monitoraggio periodico degli OdM che denota l’effettivo rispetto di un Codice di Condotta. Chi affermasse di seguire “i principi” di un Codice di Condotta, senza però consentire all’organismo deputato di verificarli, sarebbe poco credibile dal punto di vista reputazionale, un poco come chi si proclami professionista ma non risulti iscritto al relativo ordine.
Contabilità
Buste paga
L’effetto mitigante dell’adesione sul piano sanzionatorio
Ho già detto prima che l’adesione a un Codice consente all’aderente di avere un set di regole che, se puntualmente seguite, mettono in sicurezza rispetto ad attività sanzionatorie del Garante e, a ben vedere, anche se vi fossero contestazioni e sanzioni per ulteriori aspetti del trattamento dati (evidentemente diversi da quelli regolati dal Codice) il Garante, ai sensi dell’art. 83 GDPR, dovrebbe tener conto dell’adesione al Codice di Condotta, nel determinare la sanzione. Rispetto a qualcuno che non è in grado di dimostrare i propri sforzi ed investimenti per la compliance, l’aderente ha quindi un vantaggio e potrà beneficiare in ipotesi – se vi fossero problemi con il Garante- di un trattamento migliore.
Supporto procedurale e certificazione degli sforzi di compliance
Non bisogna poi sottovalutare che nel momento in cui si aderisce a un Codice di Condotta si frappone tra l’impresa ed il Garante un soggetto diverso: appunto l’organismo di monitoraggio; all’organismo l’impresa può chiedere chiarimenti ed ottenere risposte con valore ufficiale e, se l’impresa passa l’audit periodico da parte dell’organismo, avrà in mano un documento che documenta e certifica i propri sforzi di compliance e potrà certamente essere speso in casi di contestazioni da parte del Garante; anche nell’evenienza che l’impresa non fosse ritenuta conforme nell’ispezione periodica da parte dell’Organismo di Monitoraggio vi sarebbe una sorta di vantaggio: in quel caso l’impresa potrebbe – come si diceva – concordare con l’organismo come rimediare alle mancate conformità, senza che vi sia una immediata sanzione pecuniaria – la quale potrebbe discendere solamente da un successivo procedimento ispettivo del Garante e non certo dall’attività portata avanti dall’Organismo.
Vantaggi reputazionali e gestionali delle segnalazioni tramite l’organismo
Al contempo – una volta che saranno pienamente operative le procedure di segnalazione agli organismi di monitoraggio (l’Organismo del Telemarketing sta lavorando alacremente per avviare la propria piattaforma segnalazioni a brevissimo), vi sarà – secondo chi scrive – un ulteriore vantaggio reputazionale ad aderire: immaginiamo l’utente che, ritenendosi danneggiato da attività di telemarketing, decida di inviare una segnalazione al relativo organismo di monitoraggio.
Se l’impresa che segnala non ha ancora aderito riceverebbe risposta che l’organismo non può prendere in carico la segnalazione perché l’impresa non fa parte del Codice di Condotta e l’unica soluzione sarebbe inviare la medesima segnalazione al Garante. Se invece, l’impresa risulterà aver aderito, l’organismo potrà gestire la segnalazione con effetto deflattivo, dando modo all’impresa di rimediare e, al contempo, rassicurando l’utente che potrà avere risposta alle proprie preoccupazioni, proprio perché si tratta di un impresa che attua i sistemi e tutele contenuti nel Codice di Condotta.
Conclusioni sull’opportunità di aderire al codice di condotta
È dunque auspicabile che, man mano che gli organismi di monitoraggio dei vari Codici di Condotta esistenti organizzano le proprie attività ed iniziano la raccolta delle segnalazioni e l’auditing, tutte le imprese che rientrano nel perimetro applicativo dei vari Codici valutino seriamente di conformare il proprio sistema privacy alle prescrizioni e metodiche regolate dai codici di condotta, in maniera da essere pronte ad aderire, beneficiando dei vantaggi che ho sopra descritto.
Cessione crediti fiscali
procedure celeri
***** l’articolo pubblicato è ritenuto affidabile e di qualità*****
Visita il sito e gli articoli pubblicati cliccando sul seguente link
