Monitoring bodies: accreditation requirements approved.

As a result of a complex process also involving the European Data Protection Board, the Italian Data Protection Authority has definitively approved the requirements for the accreditation of the Monitoring Bodies to which the Regulation EU 2016/679 confers the task of monitoring the compliance with the provisions of the codes of conduct drawn up by associations and other bodies representing categories of controllers or processors after the approval by the competent supervisory authority.

IL FATTO:

Con il provvedimento n. 98 del 10 giugno 2020, l’Autorità ha pubblicato nel Registro dei provvedimenti il documento contenete i requisiti per l’accreditamento degli Odm dei codici di condotta previsti dall’art. 40 del GDPR e gli estremi della procedura di accreditamento presso il Garante stesso, facendo proprie ai fini della redazione del testo definitivo le osservazioni del Comitato Europeo con il parere 13/2020 del 25 maggio 2020.

I requisiti individuati dal provvedimento possono individuarsi in 4 diverse macro-aree: (i) garanzie di autonomia ed indipendenza, (ii) competenza, (iii) corretto funzionamento e (iv) collaborazione con l’autorità di controllo, cui si aggiunge un requisito di carattere geografico, in quanto l’Odm è tenuto a dimostrare di avere sede all’intero dello Spazio Economico Europeo. Le suddette caratteristiche – al di fuori di alcune specificazioni – sono richieste a prescindere dal fatto che l’Odm sia interno o esterno al soggetto titolare del codice di condotta per cui si richiede l’accreditamento.

Sotto il profilo dell’autonomia ed indipendenza, il Garante prevede stringenti requisiti, che dovranno essere comprovati dagli aspiranti organismi in ciascuno degli ambiti indicati nel provvedimento, che si vanno qui di seguito a riassumere:

  • indipendenza giuridica, identificabile nell’assenza di controllo, direzione o vigilanza, diretti o indiretti, da parte degli aderenti al codice di condotta;
  • autonomia finanziaria, non solo al fine di far fronte alle proprie responsabilità, ma anche per garantire la sostenibilità e la continuità dei compiti di monitoraggio sui soggetti aderenti;
  • autonomia organizzativa e responsabilizzazione, si da consentire lo svolgimento imparziale delle proprie funzioni;
  • onorabilità dei membri, nello specifico del legale rappresentante e dei soggetti preposti all’adozione delle decisioni relative alle attività di monitoraggio.

L’Odm deve inoltre disporre di procedure atte a prevenire, individuare, valutare, mitigare o rimuovere il rischio di eventuali conflitti di interesse.

Lato competenze, il Garante prevede in capo agli organismi accreditandi il possesso di un adeguato livello di competenza per il corretto ed efficiente svolgimento dei propri compiti di controllo, non solo a livello generale (ad es. a livello di conoscenza ed esperienza in materia di privacy), ma anche nelle specifiche attività di trattamento soggette al codice di condotta. I componenti dell’Odm dovranno anche possedere, nel loro insieme, anche un’approfondita conoscenza ed esperienza nello svolgimento di compiti di vigilanza e controllo.

Quanto poi alle garanzie di corretto funzionamento, gli Odm che intendano accreditarsi dovranno provare di aver adottato una serie di procedure interne volte da un lato a consentire l’effettivo ed efficace monitoraggio sull’applicazione del codice di condotta, anche ai fini del suo aggiornamento, e dall’altro a gestire in modo trasparente e imparziale gli eventuali reclami aventi ad oggetto le eventuali violazioni del codice di condotta. A tal proposito si segnala che gli Odm avranno la possibilità di effettuare verifiche presso gli aderenti e saranno inoltre dotati di poteri sanzionatori, potendo disporre sinanche la sospensione o l’esclusione dal codice di condotta.

Infine, gli Odm sono tenuti a collaborare e tenere regolarmente aggiornata l’autorità di controllo, sia in merito a reclami ricevuti e azioni correttive poste in essere, sia sul proprio funzionamento, anche mediante l’invio di un resoconto riassuntivo da prodursi su base annuale.

PERCHÉ È IMPORTANTE:

Il provvedimento in esame è rilevante in quanto costituisce un elemento fondamentale per consentire l’adozione di codici di condotta in grado di contribuire alla corretta applicazione della vigente normativa in materia di data protection alla luce delle particolarità ed esigenze di specifici settori di attività.

La definizione dei requisiti per l’accreditamento rappresenta inoltre un importante passo in avanti anche ai fini della concreta implementazione dei codici già approvati dal Garante la cui efficacia risulta però ancora ad oggi subordinata all’accreditamento dell’Odm di riferimento (ad es. il Codice di condotta per il trattamento dei dati personali in materia di informazioni commerciali del 12 giugno 2019).

No Comments
Leave a Reply