Codice di condotta

Codice di condotta

L’articolo 11 della legge federale sulla protezione dei dati (LPD) offre la possibilità alle associazioni professionali, di settore ed economiche, come pure agli organi federali, di redigere un proprio codice di condotta e di sottoporlo per parere all’IFPDT. I pareri sono pubblicati e possono contenere obiezioni oppure raccomandare l’adozione di modifiche o di precisazioni. Un parere positivo dell’IFPDT crea la presunzione legale che la condotta riportata nel codice sia conforme alle disposizioni in materia di protezione dei dati. A talune condizioni, permette anche al titolare privato del trattamento di rinunciare a una valutazione d’impatto o di avvalersi di esso quale garanzia per assicurare un livello di protezione adeguato e permettere la comunicazione di dati personali all’estero.

Che cos’è un codice di condotta?

Un codice di condotta è uno strumento di autoregolamentazione che consente agli operatori di un determinato settore di conformarsi alla LPD, facilitandone il recepimento e l'attuazione attraverso l'elaborazione di specifiche norme comuni, in modo da pervenire a un’uniformazione delle pratiche. Esso conferisce una dimensione operativa ai principi stabiliti dalla legge e contribuisce alla sua corretta applicazione tenendo conto della specificità dei diversi settori di trattamento e delle loro esigenze. 

Questi codici permetteranno di precisare alcune nozioni, come il rischio elevato (art. 22 LPD), e le modalità di adempimento di taluni obblighi, come l’obbligo d’informare (art. 19 -21 LPD) o l’obbligo di effettuare una valutazione d’impatto sulla protezione dei dati (art. 22 LPD); consentiranno altresì di prevedere misure che garantiscano la protezione della personalità e i diritti fondamentali della persona interessata. L'idea è anche quella di individuare soluzioni più precise per alcune questioni specifiche che sollevano attualmente numerosi interrogativi, come la videosorveglianza, il cloud computing o i social network. 

Chi può elaborare un codice di condotta? A chi è destinato?

Nel settore privato il codice di condotta emana dalle associazioni professionali, di settore ed economiche quando i loro statuti le autorizzano a difendere gli interessi economici dei loro membri, mentre nel settore pubblico emana dagli organi federali. Un titolare del trattamento o un responsabile del trattamento non ha la facoltà di redigere o di adottare autonomamente un codice di condotta. 

Le cerchie interessate hanno in tal modo l'opportunità di partecipare attivamente alla regolamentazione di un settore, favorendo l'adozione di soluzioni settoriali concertate e ampiamente accettate. Gli operatori del settore interessato sono liberi di aderirvi o meno. Il codice di condotta non diventa automaticamente vincolante per tutti i membri dell'associazione o dell’organismo che lo ha elaborato. 

È obbligatorio?

No. Le associazioni di cui all’articolo 11 LPD possono sottoporre all’IFPDT il loro codice di condotta, ma non sono obbligate a farlo. 

Quali sono gli effetti di un tale codice?

Un codice di condotta permette di rafforzare la fiducia delle persone interessate dal trattamento dei dati e di ridurre al minimo il rischio di future violazioni della LPD. A livello giuridico, il codice di condotta crea una presunzione legale che la condotta riportata nel codice sia conforme alle disposizioni in materia di protezione dei dati. Inoltre, se sottoposti a un codice di condotta, i titolari del trattamento non soltanto possono rinunciare ad elaborare supporti e indicazioni per l’applicazione della nuova LPD, ma a talune condizioni possono anche rinunciare a svolgere una valutazione d’impatto sulla protezione dei dati per il titolare privato del trattamento (art. 22 cpv. 5 LPD).

A determinate condizioni, il codice di condotta viene considerato anche una valida garanzia per il trasferimento di dati dalla Svizzera verso Paesi terzi, quando assicura un livello di protezione adeguato, è previamente sottoposto all’IFPDT per approvazione ed è corredato dall’impegno vincolante ed esecutorio del titolare del trattamento o del responsabile del trattamento nello Stato terzo di applicare le misure in esso contenute (art. 16 cpv. 3 LPD e art. 12 dell’ordinanza sulla protezione dei dati, OPDa). 

Qual è il contenuto del codice di condotta?

La LPD non stabilisce esigenze relative al contenuto di un codice di condotta. L’OPDa, dal canto suo, ne prevede alcune per quanto riguarda la comunicazione di dati all’estero. Volto a contribuire alla corretta applicazione della LPD e considerate la specificità dei diversi settori di trattamento e delle loro esigenze specifiche, un codice di condotta contiene di regola una descrizione del comportamento adottato dai suoi aderenti, con l’indicazione che esso corrisponde a buone pratiche da adottare nel settore interessato. Il contenuto di un codice può essere dettagliato, oppure può essere relativamente flessibile e limitato a taluni aspetti specifici della LPD, così da lasciare un certo margine di manovra alle aziende a cui si applica. Può riguardare un particolare tipo di trattamento o essere più esteso. In ogni caso deve contribuire a garantire che le disposizioni legali siano rispettate dal settore di attività interessato e non limitarsi a ripetere ciò che è già contenuto nella legge. 

Alla luce di questi obiettivi, un codice di condotta deve piuttosto mirare a concretizzare la LPD e focalizzarsi sui settori e i problemi della protezione dei dati specifici al settore interessato, proponendo soluzioni concrete, idealmente attraverso esempi di buone pratiche da seguire. Il codice di condotta potrebbe, per esempio, concretizzare la nozione di «rischio elevato» (art. 22 LPD) oppure le modalità di adempimento di taluni obblighi, come l’obbligo d’informare (art. 19 -21 LPD) o l’obbligo di effettuare una valutazione d’impatto sulla protezione dei dati (art. 22 LPD). Esso può anche precisare le modalità di applicazione della LPD relative al modo di pseudonimizzare o anonimizzare sufficientemente i dati in un determinato settore; definire misure di sicurezza specifiche; prevedere durate di conservazione adeguate; istituire meccanismi che permettano l’esercizio dei diritti delle persone interessate; definire quali criteri adottare per garantire il rispetto del principio della minimizzazione dei dati; introdurre garanzie che possano applicarsi ai dati raccolti presso terzi o alla comunicazione di dati personali verso un Paese che non dispone di una protezione adeguata. 

Un codice di condotta deve essere approvato dall’IFPDT?

La LPD non prevede che il codice di condotta debba essere approvato. Può però essere sottoposto all’IFPDT: in tal caso questi esprime un parere e riscuote un emolumento se la domanda emana da privati. Il termine entro cui l’IFPDT deve esprimere un parere dipende dalle circostanze del caso specifico.  L’IFPDT verifica che il codice sia compatibile con la LPD. Il suo parere non costituisce una decisione e quindi le cerchie interessate non possono dedurre diritti da un parere positivo o dall’assenza di un parere. Ciononostante, se l’IFPDT fornisce un parere favorevole, le aziende che rispettano il codice di condotta possono presumere che successivamente il loro comportamento non sarà oggetto di provvedimenti amministrativi. L’Incaricato pubblica i suoi pareri a prescindere dal fatto che siano favorevoli o meno al codice di condotta esaminato. Il codice di condotta gli potrà essere sottoposto ogni volta che viene aggiornato. 

Quando un codice di condotta è utilizzato come garanzia per la comunicazione di dati personali all’estero, deve essere previamente sottoposto all’IFPDT per approvazione, allo stesso modo delle clausole tipo di protezione dei dati e delle norme interne dell’impresa vincolanti che garantiscono una protezione adeguata (art. 16 cpv. 3 LPD e 12 OPDa). 


Ulteriori informazioni:

Dato che né la legge né l’ordinanza stabiliscono esigenze relative alla forma e al contenuto del codice di condotta, a titolo di paragone e quale ausilio per l’elaborazione dei codici di condotta, si rimanda alle linee guida adottate dal Comitato europeo per la protezione dei dati (EDPB) che offrono utili indicazioni riguardo al contenuto di questi codici:

Webmaster
Ultima modifica 22.05.2024

Inizio pagina