Codice di condotta

Che cos’è un codice di condotta?

Un codice di condotta è uno strumento di autoregolamentazione. Deve avere l’obiettivo di proteggere la personalità e i diritti fondamentali delle persone fisiche i cui dati personali sono trattati da un organo federale o un’organizzazione privata. Le dichiarazioni che mirano essenzialmente a minimizzare o addirittura mettere in dubbio i diritti delle persone interessate e gli obblighi del titolare del trattamento non sono quindi dei codici di condotta.

Il codice di condotta consente agli operatori di un determinato settore di conformarsi alla LPD, facilitandone il recepimento e l'attuazione attraverso l'elaborazione di specifiche norme comuni, in modo da pervenire a un’uniformazione delle pratiche. Esso conferisce una dimensione operativa ai principi stabiliti dalla legge e contribuisce alla sua corretta applicazione tenendo conto della specificità dei diversi settori di trattamento e delle loro esigenze.

Questi codici permetteranno di precisare alcune nozioni, come il rischio elevato (art. 22 LPD), e le modalità di adempimento di taluni obblighi, come l’obbligo d’informare (art. 19 -21 LPD) o l’obbligo di effettuare una valutazione d’impatto sulla protezione dei dati (art. 22 LPD); consentiranno altresì di prevedere misure che garantiscano la protezione della personalità e i diritti fondamentali della persona interessata. L'idea è anche quella di individuare soluzioni più precise per alcune questioni specifiche che sollevano attualmente numerosi interrogativi, come la videosorveglianza, il cloud computing o i social network.

L’elaborazione di un codice di condotta è innanzitutto uno strumento utile a garantire la conformità e contribuire alla corretta applicazione della legge nei settori interessati. Esprime tuttavia anche la volontà da parte del titolare del trattamento o del responsabile del trattamento di assicurare la protezione dei dati attraverso il suo impegno ad applicare il codice di condotta stesso. Permette quindi di minimizzare i rischi legati al trattamento, garantire la protezione della personalità e dei diritti fondamentali delle persone interessate nonché di migliorare la fiducia.

Chi può elaborare un codice di condotta? A chi è destinato?

Chi può elaborare un codice di condotta? A chi è destinato?Nel settore privato i codici di condotta emanano dalle associazioni professionali, di settore ed economiche quando i loro statuti le autorizzano a difendere gli interessi economici dei loro membri. Nel settore pubblico sono redatti dagli organi federali. Un titolare del trattamento o un responsabile del trattamento non ha la facoltà di redigere o di adottare autonomamente un codice di condotta.

Le cerchie interessate hanno in tal modo l'opportunità di partecipare attivamente alla regolamentazione di un settore, favorendo l'adozione di soluzioni settoriali concertate e ampiamente accettate. Gli operatori del settore interessato sono liberi di aderirvi o meno. Il codice di condotta non diventa automaticamente vincolante per tutti i membri dell’associazione o dell’organismo che lo ha elaborato.

È obbligatorio?

No. Le associazioni di cui all’articolo 11 LPD possono sottoporre all’IFPDT il loro codice di condotta, ma non sono obbligate a farlo. 

Quali sono gli effetti di un tale codice?

Un codice di condotta permette di rafforzare la fiducia delle persone interessate dal trattamento dei dati e di ridurre al minimo il rischio di future violazioni della LPD. A livello giuridico, si presume che la condotta riportata nel codice sia conforme alle disposizioni in materia di protezione dei dati. Inoltre, se sottoposti a un codice di condotta, i titolari del trattamento non soltanto possono rinunciare ad elaborare supporti e indicazioni per l’applicazione della nuova LPD, ma a talune condizioni possono anche rinunciare a svolgere una valutazione d’impatto sulla protezione dei dati per il titolare privato del trattamento (art. 22 cpv. 5 LPD).

Un codice di condotta ai sensi della LPD viene considerato anche una valida garanzia per il trasferimento di dati dalla Svizzera verso Paesi terzi, quando assicura un livello di protezione adeguato, è previamente sottoposto all’IFPDT per approvazione ed è corredato dall’impegno vincolante ed esecutorio del titolare del trattamento o del responsabile del trattamento nello Stato terzo di applicare le misure in esso contenute (art. 16 cpv. 3 LPD e art. 12 dell’ordinanza sulla protezione dei dati, OPDa).

Qual è il contenuto del codice di condotta?

La LPD non stabilisce esigenze relative al contenuto di un codice di condotta. L’OPDa, dal canto suo, ne prevede alcune per quanto riguarda la comunicazione di dati all’estero. Le caratteristiche e gli obiettivi di protezione di un codice di condotta ai sensi dell’articolo 11 LPD devono comunque essere sufficientemente chiari. Volto a contribuire alla corretta applicazione della LPD e considerate la specificità dei diversi settori di trattamento e delle loro esigenze particolari, un codice di condotta contiene di regola una descrizione dei comportamenti adottati dai suoi aderenti per contrastare i rischi identificati, con l’indicazione che tali comportamenti corrispondono alle buone pratiche da adottare nel settore interessato. Il contenuto di un codice può essere dettagliato, oppure può essere relativamente flessibile e limitato a taluni aspetti specifici della LPD, così da lasciare un certo margine di manovra alle aziende a cui si applica. Può riguardare un particolare tipo di trattamento o essere più esteso. In ogni caso deve contribuire a garantire che le disposizioni legali siano rispettate dal settore di attività interessato e non limitarsi a ripetere ciò che è già contenuto nella legge; in caso contrario non potrà essere considerato come un codice di condotta ai sensi della LPD.

Alla luce di questi obiettivi, un codice di condotta deve mirare a concretizzare la LPD e focalizzarsi sui settori e i problemi della protezione dei dati specifici al settore interessato, proponendo soluzioni concrete, idealmente attraverso esempi di buone pratiche da seguire. Il codice di condotta potrebbe, per esempio, concretizzare la nozione di «rischio elevato» (art. 22 LPD) oppure le modalità di adempimento di taluni obblighi, come l’obbligo d’informare (art. 19 -21 LPD) o l’obbligo di effettuare una valutazione d’impatto sulla protezione dei dati (art. 22 LPD). Esso può anche precisare le modalità di applicazione della LPD relative al modo di pseudonimizzare o anonimizzare sufficientemente i dati in un determinato settore; definire misure di sicurezza specifiche; prevedere durate di conservazione adeguate; istituire meccanismi che permettano l’esercizio dei diritti delle persone interessate; definire quali criteri adottare per garantire il rispetto del principio della minimizzazione dei dati; introdurre garanzie che possano applicarsi ai dati raccolti presso terzi o alla comunicazione di dati personali verso un Paese che non dispone di una protezione adeguata.

Un codice di condotta deve essere approvato dall’IFPDT?

La LPD non prevede che il codice di condotta debba essere approvato. Può però essere sottoposto all’IFPDT: in tal caso questi esprime un parere e riscuote un emolumento se la domanda emana da privati. Il termine entro cui l’IFPDT deve esprimere un parere dipende dalle circostanze del caso specifico. L’IFPDT verifica che il codice sia compatibile con la LPD. Il suo parere non costituisce una decisione e quindi le cerchie interessate non possono dedurre diritti da un parere positivo o dall’assenza di un parere. Ciononostante, se l’IFPDT fornisce un parere favorevole, le aziende che rispettano il codice di condotta possono presumere che successivamente il loro comportamento non sarà oggetto di provvedimenti amministrativi. L’Incaricato pubblica i suoi pareri a prescindere dal fatto che siano favorevoli o meno al codice di condotta esaminato. Il codice di condotta gli potrà essere sottoposto ogni volta che viene aggiornato.

In deroga a quanto esposto in precedenza, qualora venga utilizzato come garanzia per la comunicazione di dati personali all’estero un codice di condotta deve essere stato previamente approvato dall’IFPDT, allo stesso modo delle clausole tipo di protezione dei dati e delle norme interne dell’impresa vincolanti che garantiscono una protezione adeguata (art. 16 cpv. 3 LPD e art. 12 OPDa).

Ulteriori informazioni:

Dato che né la legge né l’ordinanza stabiliscono esigenze relative alla forma e al contenuto del codice di condotta, a titolo di paragone e quale ausilio per l’elaborazione dei codici di condotta, si rimanda alle linee guida adottate dal Comitato europeo per la protezione dei dati (EDPB) che offrono utili indicazioni riguardo al contenuto di questi codici: