La stesura finale del codice di condotta per le attività di telemarketing e teleselling – dopo il 21 luglio 2022 – è stata sottoposta a consultazione pubblica e, di seguito, sottoposta all’approvazione del Garante, intervenuta con provvedimento n. 70 del 9 marzo 2023 (doc. web n. 9868813). Per l’entrata in vigore, occorrerà attendere l’accreditamento dell’Organismo di Monitoraggio (OdM) da parte del Garante e, a seguire, il decorso di 15 giorni dalla pubblicazione del codice in Gazzetta ufficiale.
Il codice affronta il delicato tema delle attività promozionali tramite il canale telefonico e raccoglie in modo sistematico le regole espresse nei pronunciamenti degli ultimi anni dell’Autorità nel corso del proprio impegno di contrasto a diverse e ricorrenti non conformità da parte di soggetti operanti in questo settore, a vario livello.
Codici di condotta
I codici di condotta (“cdc”) sono regolati dagli articoli 40 e 41 del GDPR e – come evidenziato nell’infografica sopra – rappresentano uno degli strumenti di disciplina volontaria e di accountability considerati dal regolamento. Tramite tali codici, rappresentanti ed associazioni di settore, avendo contezza delle peculiarità dei propri contesti, possono stabilire regole specifiche di protezione dei dati personali per le categorie di titolari e responsabili di riferimento, nel rispetto del GDPR; in tal modo, essi hanno l’opportunità di definire quali siano i comportamenti più appropriati – di natura legale ed etica – nel settore considerato.
Finalità dei codici di condotta
I codici di condotta offrono un’opportunità per specifici settori di affrontare questioni comuni riguardo al trattamento dei dati e di accettare regole di protezione dei dati più pratiche ed operative, personalizzate al contesto di riferimento, che soddisfino le esigenze del settore e le esigenze del GDPR. In questo modo, i codici possono contribuire a creare una maggiore armonizzazione in ambiti settoriali e colmare le lacune di armonizzazione che possono esistere tra gli Stati membri nell’applicazione della disciplina sulla protezione dei dati.
I codici di condotta possono anche rappresentare una forma di salvaguardia per i flussi di dati personali diretti verso paesi extra-UE privi di un sistema di protezione ritenuto comparabile con quello della UE, come previsto dall’articolo 40(3) del GDPR.
Codici di condotta nazionali ed europei
Sono codici di condotta “nazionali” quelli che riguardano le attività di trattamento di titolari e/o responsabili le quali si realizzano all’interno di un unico Stato membro.
Di converso, si hanno codici di condotta “transnazionali” quando questi sono adottati da un’associazione nazionale in uno Stato membro ma riguardano le attività di trattamento da parte dei suoi membri con effetti in diversi Stati membri, senza che ciò necessariamente implichi un flusso transfrontaliero di dati personali all’interno dell’Unione.
Rilevanza dei codici di condotta
L’aderenza a un codice non garantisce di per sé il rispetto del GDPR o l’immunità per titolari / responsabili da sanzioni o responsabilità previste dal GDPR.
Diversamente dalle regole deontologiche introdotte dal novellato codice privacy (art. 2-quater), le prescrizioni dei codici di condotta del GDPR non sono condizioni di liceità del trattamento. Ciononostante, il loro rispetto incide a vario titolo sulla valutazione di conformità dell’operato dei titolari o responsabili che vi aderiscono; l’osservanza di un codice di condotta approvato sarà un fattore preso in considerazione dalle autorità di vigilanza nel
- valutare gli aspetti relativi alla sicurezza [art. 32(3)]
- valutare l’impatto del trattamento nell’ambito di una DPIA [art. 35(8)]
- determinare l’ammontare di una sanzione amministrativa [art. 83(2)(j)].
Continua…