Testo dell'articoloVigente
Informazione giuridica di carattere generale. Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Articolo 40 del Regolamento (UE) 2016/679 (GDPR) – Codici di condotta.
Vedi sotto per sintesi, commento e FAQ. Testo ufficiale consultabile su EUR-Lex.
Vedi anche
→GDPR art. 39 - Art. 39 GDPR - Compiti del responsabile della protezione dei dati→GDPR art. 41 - Art. 41 GDPR - Monitoraggio dei codici di condotta approvati→Cod. Privacy art. 1 - Art. 1 D.Lgs. 196/2003 - Oggetto→Cost. art. 15 - Segretezza comunicazioni→Art. 38 GDPR – Posizione del responsabile della protezione dei dati→Art. 42 GDPR – Certificazione→Art. 37 GDPR – Designazione del responsabile della protezione dei dati→Art. 43 GDPR – Organismi di certificazione→Art. 36 GDPR – Consultazione preventiva→Art. 44 GDPR – Principio generale per il trasferimento→Art. 35 GDPR – Valutazione d’impatto sulla protezione dei dati→Art. 45 GDPR – Trasferimento sulla base di una decisione di adeguatezza
Informazione giuridica di carattere generale. Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
In sintesi
Indice dei contenuti
Logica dei codici di condotta
L'art. 40 GDPR promuove la redazione di codici di condotta come strumento di accountability e soft regulation. I codici sono elaborati da associazioni e altri organismi che rappresentano categorie di titolari o responsabili, e approvati dal Garante (codici nazionali) o dalla Commissione (codici transnazionali). L'adesione è volontaria ma offre vantaggi sostanziali: elemento di prova della conformità (art. 24), fattore attenuante in sanzioni (art. 83, par. 2, lett. j), riconoscimento internazionale.
Codici nazionali e transnazionali (par. 1-3)
Il par. 1 prevede che gli Stati membri, le Autorità di controllo, il Comitato europeo (EDPB) e la Commissione incoraggino l'elaborazione di codici di condotta destinati a contribuire alla corretta applicazione del Regolamento. I codici possono essere settoriali (sanità, telco, marketing, sport, scuola, ricerca, blockchain) o orizzontali. La logica è di calare i principi generali del GDPR in regole pratiche, adattate alle specificità settoriali. L'EDPB ha riconosciuto numerosi codici transnazionali.
Contenuto dei codici (par. 2)
Il par. 2 elenca le materie che possono essere oggetto di codici: trattamento corretto e trasparente; legittimi interessi perseguiti; raccolta dei dati personali; pseudonimizzazione; informazioni fornite agli interessati; esercizio dei diritti; informazioni e protezione di minori; misure e procedure di sicurezza; notifica delle violazioni; trasferimenti verso paesi terzi o organizzazioni internazionali; procedure stragiudiziali di risoluzione delle controversie. È elenco non esaustivo: i codici possono affrontare ogni aspetto applicativo del GDPR.
Approvazione e pubblicità (par. 5-6)
Il par. 5-6 disciplina l'approvazione: i codici a livello nazionale sono approvati dal Garante competente, dopo aver acquisito i pareri dei portatori di interessi e degli interessati. I codici transnazionali sono sottoposti all'EDPB e possono ricevere validità generale nell'Unione tramite atto della Commissione. L'approvazione attesta la coerenza con il GDPR e attribuisce ai codici natura di soft law riconosciuta. L'EDPB tiene registro pubblico dei codici approvati.
Monitoraggio (art. 41)
L'art. 41 GDPR disciplina il monitoraggio dei codici: gli organismi di monitoraggio accreditati sorvegliano l'adesione e il rispetto dei codici, possono adottare misure verso aderenti non conformi (esclusione, sanzioni interne). L'accreditamento è rilasciato dall'Autorità di controllo che ha approvato il codice. La governance interna garantisce credibilità del codice e fiducia degli aderenti.
Vantaggi per gli aderenti
L'adesione a un codice approvato offre vantaggi significativi: prova di conformità in audit (art. 24, par. 3); attenuante in sanzioni (art. 83, par. 2, lett. j); riconoscimento dei trasferimenti extra-UE come garanzia adeguata (art. 46, par. 2, lett. e); facilitazione di audit di clienti e partner. I codici sono particolarmente utili per PMI: forniscono linee guida concrete senza obbligare a sviluppare framework propri. In Italia, codici approvati riguardano agenzie informazioni commerciali, agenzie di credito, settore informativo.
Regola pratica e checklist operativa
Compliance art. 40: (i) valutare codici approvati nel settore di appartenenza; (ii) aderire formalmente seguendo procedura del codice; (iii) integrare requisiti del codice nelle policy interne; (iv) sottoporsi al monitoraggio; (v) usare il codice come prova in audit/ispezioni; (vi) per PMI, valutazione costi-benefici dell'adesione.
Accountability e documentazione
Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.
Coordinamento con il Codice Privacy italiano
L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.
Casi pratici
Caso 1: Tizio: PMI marketing e codice di settore
Tizio, PMI marketing, aderisce a codice di condotta del settore. Riduce sforzo compliance, ottiene prova di conformità e attenuante in sanzioni.
Caso 2: Caio: codice transnazionale sanitario
Caio, multinazionale farma, aderisce a codice EDPB sulla ricerca clinica. Riconoscimento UE, riduzione contenziosi, semplificazione audit transfrontalieri.
Caso 3: Sempronio: trasferimenti e codice come garanzia
Sempronio usa codice approvato come garanzia adeguata ex art. 46, par. 2, lett. e per trasferimenti a un partner extra-UE che aderisce. Alternativa alle SCC.
Caso 4: Commento applicativo
L'art. 40 è leva di mercato. I codici sviluppati e approvati riducono complessità per PMI e creano standard di settore. L'adesione è scelta di posizionamento competitivo.
Domande frequenti
Cosa sono i codici di condotta?
Strumenti di soft regulation che calano i principi del GDPR in regole pratiche settoriali, elaborati da associazioni e approvati dal Garante (nazionali) o dalla Commissione (transnazionali).
Quali materie possono trattare?
Trattamento corretto, legittimi interessi, raccolta, pseudonimizzazione, informazioni, diritti, minori, sicurezza, breach, trasferimenti, ADR (par. 2). Elenco non esaustivo.
Sono obbligatori?
No, l'adesione è volontaria. Ma offre vantaggi: prova di conformità (art. 24), attenuante sanzioni (art. 83), garanzia trasferimenti (art. 46).
Come funziona il monitoraggio?
L'art. 41 prevede organismi di monitoraggio accreditati che sorvegliano l'adesione e il rispetto. Possono adottare misure verso aderenti non conformi.
Sostituiscono il GDPR?
No, lo integrano. Sono strumenti di accountability che non riducono gli obblighi del Regolamento ma facilitano la loro attuazione settoriale.