I codici di condotta hanno la funzione di contribuire alla corretta applicazione del GDPR, tenendo conto delle specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese (art. 40 GDPR). Sono elaborati dalle associazioni e dagli altri organismi di categoria cui aderiscono il titolare e il responsabile del trattamento.

Il codice di condotta contiene i meccanismi che consentono all’organismo di controllo nominato dalla procedura di effettuare il controllo obbligatorio del rispetto delle norme del codice da parte dei titolari del trattamento o dei responsabili del trattamento che si impegnano ad applicarlo, fatti salvi i compiti e i poteri delle autorità di controllo competenti.

La procedura di approvazione è articolata:

1) le associazioni e gli altri organismi di categoria che intendono elaborare un codice di condotta o modificare o prorogare un codice esistente sottopongono il progetto di codice, la modifica o la proroga all’autorità di controllo competente;

2) l’autorità di controllo esprime un parere sulla conformità al GDPR del progetto di codice, della modifica o della proroga e approva tale progetto, modifica o proroga, se ritiene che offra in misura sufficiente garanzie adeguate;

3) qualora il progetto di codice, la modifica o la proroga siano approvati, e se il codice di condotta in questione non si riferisce alle attività di trattamento in vari Stati membri, l’autorità di controllo registra e pubblica il codice;

4) se il codice di condotta in questione si riferisce alle attività di trattamento in vari Stati membri la procedura diviene ancora più complessa e coinvolge l’intervento del Comitato Europeo per la Protezione dei Dati (EDPB) e la Commissione Europea.

L’aderenza a un codice di condotta non riduce la responsabilità del titolare o del trattamento del responsabile del trattamento riguardo alla conformità alla normativa vigente, tuttavia molte delle disposizioni che regolano gli obblighi e le responsabilità del titolare del trattamento e del responsabile del trattamento individuano nell’adesione a codici di condotta o a un meccanismo di certificazione un elemento per dimostrare il rispetto degli obblighi ad essi imputati.

Per le procedure complesse che ne regolano il meccanismo di approvazione e il sistema dei controlli ad oggi i Codici di condotta pubblicati dall’Autorità Garante per la Protezione dei dati italiana e dal EDPB sono assai pochi, i registri sono pubblici e sono consultabili sul sito del Garante italiano al seguente link: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9750169.