Gazzetta n. 173 del 11 luglio 2020 (vai al sommario) GARANTE PER LA PROTEZIONE DEI DATI PERSONALI DELIBERA 10 giugno 2020 Requisiti di accreditamento degli organismi di monitoraggio dei codici di condotta. IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Nella riunione odierna, alla quale hanno preso parte il dott. Antonello Soro, presidente, la dott.ssa Augusta Iannini, vicepresidente, la prof.ssa Licia Califano, la dott.ssa Giovanna Bianchi Clerici, componenti e il dott. Giuseppe Busia, segretario generale; Visto il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (di seguito «regolamento»); Visto il decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito il «Codice») come novellato dal decreto legislativo 10 agosto 2018, n. 101 recante «Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679»; Visto l'art. 40 del regolamento che prevede che le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o responsabili del trattamento possano elaborare (modificare o prorogare) codici di condotta destinati a contribuire alla corretta applicazione del regolamento in specifici settori di attivita' e in funzione delle particolari esigenze delle micro, piccole e medie imprese, e che tali codici devono essere approvati dall'autorita' di controllo competente; Visto il considerando 98 del regolamento che prevede che tali codici possono calibrare gli obblighi del titolare del trattamento e del responsabile del trattamento, tenuto conto dei potenziali rischi del trattamento per i diritti e le liberta' degli interessati; Viste le «Linee guida 1/2019 sui codici di condotta e sugli organismi di monitoraggio a norma del regolamento (UE) 2016/679» adottate dal Comitato europeo per la protezione di dati (di seguito «Comitato») il 4 giugno 2019, all'esito della consultazione pubblica; Considerato in particolare che l'adesione ad un codice di condotta puo' essere utilizzata come elemento di responsabilizzazione (c.d.accountability),in quanto consente di dimostrare la conformita' dei trattamenti di dati, posti in essere dai titolari e/o dai responsabili del trattamento che vi aderiscano, ad alcune disposizioni o principi del regolamento, o al regolamento nel suo insieme (cfr. cons. 77 e articoli 24, paragrafo 3, e 28, paragrafo 5, e 32, paragrafo 3 del regolamento); Considerato che l'art. 41, paragrafo 1, del regolamento prevede che, fatti salvi i compiti e i poteri dell'autorita' di controllo competente, la verifica dell'osservanza delle disposizioni di un codice di condotta, ai sensi dell'art. 40 del regolamento, e' effettuata da un Organismo di monitoraggio (di seguito «Odm») in possesso del livello adeguato di competenze riguardo al contenuto del codice e del necessario accreditamento rilasciato a tal fine dalla medesima autorita', con la sola eccezione del trattamento effettuato da autorita' pubbliche e da organismi pubblici per il quale non e' necessaria l'istituzione di un Odm (art. 41, paragrafo 6 del regolamento); Considerato che l'art. 41, paragrafo 3, del regolamento prevede che la predetta autorita' di controllo presenta al Comitato uno schema di requisiti per l'accreditamento dell'Odm, ai sensi del meccanismo di coerenza di cui all'art. 63 del regolamento; Considerato che l'art. 57, paragrafo 1, lettera p) del regolamento prevede, in particolare, che ciascuna autorita' di controllo, sul proprio territorio, definisce e pubblica i requisiti per l'accreditamento dell'Odm, ai sensi dell'art. 41; Rilevato che, ai sensi del combinato disposto di cui agli articoli 55 del regolamento e 2-ter del Codice, il Garante e' l'autorita' di controllo competente ad approvare i presenti requisiti per l'accreditamento dell'Odm, nell'esercizio del potere conferitole ai sensi dell'art. 57, paragrafo 1, lettera p, del regolamento; Considerato che il regolamento e le linee guida del Comitato sopra citate, fissano un quadro organico di riferimento per la definizione dei requisiti che l'Odm deve soddisfare per ottenere l'accreditamento; Rilevato che il Garante incoraggia lo sviluppo di codici di condotta per le micro, piccole e medie imprese al fine di promuovere un'attuazione effettiva del regolamento, aumentare la certezza del diritto per titolari e responsabili del trattamento e rafforzare la fiducia degli interessati in ordine alla correttezza dei trattamenti di dati che li riguardano; Rilevato, in questo contesto, che l'obbligo di affidare il monitoraggio dei codici di condotta a un Odm accreditato non dovrebbe costituire un ostacolo allo sviluppo di tali strumenti e che, quindi, va riconosciuto un certo margine di flessibilita' ai promotori dei codici di condotta nell'applicazione dei requisiti di accreditamento fissati dal Garante al fine di definire il modello di Odm piu' adeguato a controllarne l'osservanza, fermo restando il rispetto di quanto previsto dal regolamento, dalle Linee guida e dai pertinenti pareri del Comitato; Rilevato altresi' che il Garante nella procedura di accreditamento, volta a verificare che l'Odm soddisfi i predetti requisiti, tiene in considerazione le specificita' dei trattamenti di dati personali afferenti al/i settore/i a cui si applica il codice di condotta e, in particolare, la natura e la dimensione del settore, la tipologia e il numero (anche atteso) di soggetti aderenti, la peculiarita' e la complessita' delle operazioni di trattamento oggetto del codice, nonche' i rischi per gli interessati; Visto lo schema di requisiti per l'accreditamento dell'Odm approvato dal Garante in data 30 gennaio 2020 e sottoposto in data 31 gennaio 2020 al Comitato per il prescritto parere (art. 41 paragrafo 3 e art. 64 paragrafo 1 lettera c), del regolamento); Viste le osservazioni rese dal Comitato nel parere adottato il 25 maggio 2020 e notificato al Garante il 28 maggio 2020 (disponibile su https://edpb.europa.eu/); Ritenuto, in ottemperanza a quanto previsto dall'art. 64, paragrafo 7, del regolamento, di aderire alle osservazioni contenute nel suddetto parere e di modificare lo schema di requisiti per l'accreditamento in conformita' a tali osservazioni, dandone comunicazione alla presidente del Comitato; Ritenuto quindi ai sensi dell'art. 57, paragrafo1, lettera p), del regolamento di approvare i requisiti per l'accreditamento dell'Odm, opportunamente modificati alla luce del suddetto parere ed allegati al presente provvedimento del quale formano parte integrante; Vista la documentazione in atti: Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000; Relatore la dott.ssa Giovanna Bianchi Clerici; Tutto cio' premesso Il Garante: a) ai sensi dell'art. 57, paragrafo 1, lettera p), del regolamento approva i requisiti per l'accreditamento dell'Odm riportati in allegato al presente provvedimento del quale formano parte integrante; b) ai sensi dell'art. 64, paragrafo 7 del regolamento comunica alla presidente del Comitato il presente provvedimento, che recepisce i rilievi formulati nel parere richiamato in premessa; c) invia copia della presente delibera all'Ufficio pubblicazione leggi e decreti del Ministero della giustizia ai fini della sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana. Roma, 10 giugno 2020 Il presidente: Soro Il relatore: Bianchi Clerici Il segretario generale: Busia   Allegato 1 Requisiti per l'accreditamento degli organismi di monitoraggio dei codici di condotta 1. Procedura di accreditamento. L'Odm di cui all'art. 41 del regolamento (UE) 2016/679 (di seguito «regolamento») ottiene l'accreditamento se comprova il possesso dei requisiti di seguito indicati sulla base di una richiesta inviata al Garante per la protezione dei dati personali. La richiesta deve essere presentata in lingua italiana e corredata da ogni documentazione utile a comprovare il possesso di tali requisiti. L'accreditamento e' rilasciato dal Garante per un periodo massimo di cinque anni, ferma restando la possibilita' per i soggetti titolari del codice di condotta di prevedere nel medesimo codice che il mandato dell'Odm abbia una durata inferiore. Fatti salvi i compiti dell'Autorita' connessi alla verifica, in qualunque momento, del rispetto da parte dell'Odm dei requisiti di accreditamento e dello svolgimento delle sue funzioni di monitoraggio in conformita' al regolamento, l'Autorita' si riserva di avviare una revisione dell'accreditamento prima della sua scadenza qualora venga a conoscenza, anche a seguito degli esiti di attivita' ispettive, di elementi o fattori di rischio sopravvenuti che compromettano il rispetto da parte dell'Odm dei predetti requisiti ovvero dei suoi obblighi di monitoraggio oppure la conformita' al regolamento delle misure da questi adottate. L'Odm manterra' pertanto l'accreditamento per tutta la durata per cui viene rilasciato a meno che, all'esito della revisione condotta dal Garante, l'Autorita' non accerti che l'Odm non soddisfi piu' i requisiti per l'accreditamento o che questi non sia in grado di adempiere ai suoi obblighi di monitoraggio oppure che le misure da esso adottate violino il regolamento. Al fine di ottenere il rinnovo dell'accreditamento la relativa richiesta potra' essere inviata al Garante fino a tre mesi prima della scadenza del termine. I presenti requisiti di accreditamento si applicano all'Odm che lo richiede, sia nel caso in cui si tratti di organismo interno sia nel caso in cui si tratti di organismo esterno al soggetto titolare del codice di condotta per il quale si richiede l'accreditamento (di seguito «Odm interno» o «Odm esterno») (1) a meno che non sia espressamente specificato che un determinato requisito e' richiesto soltanto per una tipologia di Odm. Poiche' nell'applicazione di tali requisiti l'Autorita' tiene in adeguata considerazione le specificita' del/i settore/i a cui si applica il codice di condotta, affinche' un Odm, accreditato per il monitoraggio di un determinato codice, possa svolgere compiti di controllo nei riguardi di un altro codice di condotta, sara' necessario avanzare al Garante una diversa richiesta di accreditamento. I requisiti di accreditamento di seguito indicati sono corredati da alcune note esplicative, riportate in corsivo, che non hanno carattere vincolante, essendo volte a fornire indicazioni pratiche ed esempi che possono agevolare l'applicazione dei medesimi requisiti sia per la predisposizione della richiesta di accreditamento sia per il mantenimento dell'accreditamento stesso. 2. Richiesta di accreditamento La richiesta di accreditamento deve essere redatta in lingua italiana e deve contenere le seguenti informazioni: i dati identificativi del richiedente o, in caso di societa', associazioni, fondazioni o altri enti, i dati identificativi del rappresentante legale e delle persone eventualmente preposte all'adozione delle decisioni relative alle attivita' di monitoraggio aventi rilevanza esterna; il codice fiscale/la partita IVA e, se del caso, con riferimento alle societa' registrate, il numero del registro delle imprese; la residenza del richiedente, o in caso di societa', associazioni, fondazioni o altri enti, la sede legale che deve essere in ogni caso all'interno dello Spazio economico europeo; l'eventuale censimento all'interno dell'Indice nazionale dei domicili digitali delle imprese e dei professionisti (INI-PEC www.inipec.gov.it - art. 6-bis Codice amministrazione digitale - decreto legislativo n. 82/2005) o nell'Indice dei domicili digitali delle pubbliche amministrazioni e dei gestori di pubblici servizi (IPA www.indicepa.gov.it - art. 6-ter Codice amministrazione digitale - decreto legislativo n. 82/2005); nel caso di societa', associazioni, fondazioni o altri enti, lo statuto e l'atto costitutivo; il recapito prescelto per le comunicazioni relative alla domanda di accreditamento; l'indicazione della tipologia di Odm (ossia, interno od esterno); l'indicazione del codice di condotta per il quale e' richiesto l'accreditamento; l'ambito nazionale o transnazionale di applicazione del codice di condotta. La richiesta di accreditamento puo' essere inviata per posta o recapitata a mano al seguente indirizzo: Garante per la protezione dei dati personali, Piazza Venezia n. 11 - 00187 Roma oppure inviata in via telematica alla casella di posta elettronica: odm.accreditamento@gpdp.it Nella richiesta di accreditamento, l'Odm assume formalmente l'impegno di osservare ogni normativa applicabile allo svolgimento delle sue funzioni e, in particolare, le disposizioni rilevanti del regolamento e del decreto legislativo 30 giugno 2003 n. 196 recante il Codice in materia di protezione dei dati personali (di seguito «Codice»). Il soggetto che effettua la richiesta di accreditamento mediante la sottoscrizione e l'invio della stessa si assume la responsabilita', anche ai sensi dell'art. 168 del Codice, della veridicita' di quanto dichiarato. Alla richiesta di accreditamento deve, altresi', essere allegata ogni documentazione utile idonea a comprovare il possesso dei requisiti di accreditamento di seguito individuati. 3. Indipendenza e imparzialita' L'Odm deve dimostrare di poter assolvere ai propri compiti di controllo con piena indipendenza e imparzialita'. In particolare, devono essere predisposte specifiche regole e procedure formali per la costituzione, il funzionamento e la durata del mandato dell'Odm che assicurino che questo possa svolgere le proprie funzioni di controllo senza subire influenze, interferenze o condizionamenti di alcun tipo da parte del soggetto titolare del codice di condotta, degli aderenti o comunque dei soggetti eventualmente riconducibili al settore (professionale, industriale o altro) a cui il codice si applica. Per ottenere l'accreditamento, il possesso, in capo all'Odm, dell'indipendenza e imparzialita' necessarie per adempiere ai propri obblighi di controllo deve essere comprovato in relazione ai seguenti profili: a) forma giuridica e procedure decisionali; b) autonomia finanziaria; c) autonomia organizzativa; d) responsabilizzazione. 3.a) Forma giuridica e procedure decisionali Le modalita' di costituzione dell'Odm e di composizione del suo personale con poteri decisionali, le procedure di adozione e applicazione delle decisioni, le regole di funzionamento e la durata del mandato dell'Odm devono garantire che questi assolva ai suoi obblighi di controllo con piena indipendenza e imparzialita'. In particolare, l'Odm deve dimostrare di non essere soggetto, in via diretta o indiretta, ad alcuna forma di controllo, direzione o vigilanza da parte del soggetto titolare del codice di condotta, dei soggetti aderenti o eventualmente riconducibili al settore (professionale, industriale o altro) a cui il codice si applica. Inoltre, l'Odm deve dimostrare di poter condurre le proprie attivita' di controllo senza subire alcuna forma di pressione esterna, di interferenza o condizionamento diretti o indiretti. L'Odm fornisce informazioni su eventuali legami di natura giuridica o economica con il soggetto titolare del codice di condotta e i soggetti aderenti, fornendo prova del fatto che tali legami non ne compromettono l'indipendenza ne' l'imparzialita'. Nel caso di un Odm interno, devono essere previste misure aggiuntive e specifiche tali da garantire che i rapporti con il soggetto titolare del codice di condotta non ne compromettano l'indipendenza e l'imparzialita' ne' l'effettiva operativita' dei suoi compiti di controllo. Nel caso di un Odm esterno, va comprovato che questi non fornisca al soggetto titolare del codice di condotta, ai soggetti aderenti al codice o eventualmente riconducibili al settore (professionale, industriale o altro) a cui il codice si applica, alcun prodotto o servizio che possa in qualche modo compromettere la sua indipendenza e imparzialita' ovvero l'effettiva operativita' dei suoi compiti di controllo. Nota esplicativa: Cio' puo' essere comprovato, ad esempio, attraverso la seguente documentazione: statuto e atto costitutivo dell'Odm e del soggetto titolare del codice di condotta; regole e procedure di selezione, nomina, modalita' di remunerazione e durata del mandato dei componenti dell'Odm incaricati di assumere le decisioni attinenti alle attivita' di controllo; documentazione comprovante i rapporti commerciali, finanziari, contrattuali o di altro genere che intercorrono tra l'Odm, il soggetto titolare del codice di condotta e gli aderenti al codice nonche' le idonee misure adottate allo scopo di ridurre al minimo eventuali rischi per l'indipendenza e l'imparzialita' dell'Odm suddetto. 3.b) Autonomia finanziaria L'Odm deve dimostrare di disporre delle risorse finanziarie necessarie per l'effettivo adempimento dei suoi compiti nonche' per far fronte alle sue responsabilita'. Inoltre, l'Odm deve dimostrare che le regole e/o le modalita' di finanziamento garantiscono la sostenibilita' e la continuita' delle attivita' di monitoraggio, in particolare qualora una o piu' fonti di tale finanziamento vengano a mancare successivamente, per esempio, in caso di ritiro o di esclusione di uno degli aderenti al codice di condotta, ove l'Odm sia finanziato attraverso le quote versate dagli aderenti stessi. Nel valutare le proprie risorse finanziarie, l'Odm tiene conto del numero, delle dimensioni e della complessita' organizzativa degli aderenti al codice di condotta, della natura e degli ambiti delle rispettive attivita' come definite dal codice e dei rischi connessi ai trattamenti cui il codice si applica. L'Odm deve essere in grado di gestire le proprie risorse finanziarie in modo autonomo e indipendente senza alcuna forma di interferenza, condizionamento o controllo da parte del soggetto titolare del codice di condotta, degli aderenti allo stesso o comunque dei soggetti eventualmente riconducibili al settore (professionale, industriale o altro) a cui il codice si applica. L'Odm deve dimostrare che le sue modalita' di finanziamento sono approntate in modo tale da non pregiudicare l'indipendenza e l'imparzialita' delle sue funzioni di controllo, nonche' che siano oggetto di debita rendicontazione. 3.c) Autonomia organizzativa L'Odm deve dimostrare di disporre di risorse umane, tecniche e logistiche adeguate per l'effettivo adempimento dei suoi obblighi di controllo, avuto riguardo in particolare alla specificita' del/i settore/i a cui si applica il codice di condotta, tra cui, la natura e la dimensione del settore, la tipologia e il numero (anche atteso) dei soggetti aderenti, la delicatezza e la complessita' dei trattamenti di dati oggetto del codice, i rischi per gli interessati. Tali risorse devono consentire all'Odm di svolgere le proprie funzioni di monitoraggio con piena indipendenza e imparzialita' e senza subire alcuna forma di interferenza, condizionamento o sanzione, a causa dell'assolvimento delle stesse, ad opera del soggetto titolare del codice, dei soggetti aderenti o eventualmente riconducibili al settore (professionale, industriale o altro) a cui il codice si applica. Nel caso di un Odm interno, quest'ultimo deve dimostrare che la sua struttura organizzativa sia configurata in modo tale da assicurare la sua indipendenza e imparzialita', nonche' l'effettiva operativita' delle sue funzioni di controllo. Nota esplicativa: Cio' puo' essere comprovato tramite la predisposizione di specifici modelli organizzativi e gestionali, di processi operativi che assicurino, ad esempio, la separazione organizzativa, gestionale e funzionale dell'Odm dal soggetto titolare del codice di condotta, nonche' la confidenzialita' delle informazioni trattate (per esempio: gestione amministrativa separata delle retribuzioni, sistemi contabili con distinti centri di imputazione di responsabilita', barriere informative e ogni altra misura atta a garantire la separazione delle funzioni gestionali e operative fra Odm e soggetto titolare del codice di condotta). L'Odm deve dimostrare di disporre di personale qualificato, anche fornito da altro organismo indipendente dal soggetto titolare del codice, dai soggetti aderenti o eventualmente riconducibili al settore (professionale, industriale o altro) a cui il codice si applica. Tale personale, in ogni caso, deve essere soggetto alla direzione e alla vigilanza esclusiva dello stesso Odm e vincolato a specifici obblighi di confidenzialita' nello svolgimento del suo operato. Nota esplicativa: Ad esempio, l'Odm puo' avvalersi di personale reclutato da un ente esterno indipendente che fornisce servizi di ricerca, formazione e selezione di risorse umane. Qualora l'Odm si avvalga di collaboratori e fornitori esterni di servizi, appositamente delegati, per lo svolgimento di specifiche attivita' di controllo - ad eccezione di quelle che comportano l'esercizio di poteri decisionali, che non possono essere delegate ad alcuno - devono essere approntate cautele atte a garantire che tali soggetti siano individuati tra coloro che forniscono sufficienti garanzie di competenza e affidabilita', con particolare riferimento alla materia oggetto del codice di condotta. Tali cautele devono assicurare, altresi', che i medesimi requisiti di indipendenza, assenza di conflitto di interessi, rispetto della disciplina rilevante in materia di protezione dei dati personali, adeguatezza delle risorse, confidenzialita' e competenza siano soddisfatti anche dai collaboratori e fornitori esterni di servizi appositamente delegati. Inoltre, le misure suddette devono garantire che l'Odm eserciti un controllo efficace sui servizi forniti da collaboratori e fornitori esterni. Infine, l'Odm deve dimostrare che i medesimi obblighi gravanti sullo stesso siano imposti in capo a detti collaboratori e fornitori esterni, restando inteso che l'Odm mantiene la responsabilita' delle decisioni connesse alle attivita' di controllo e risponde in caso di inadempimento dei predetti obblighi da parte dei collaboratori e fornitori esterni. Nota esplicativa: Cio' puo' essere comprovato, ad esempio, tramite: documentate procedure e regole organizzative per la selezione e l'utilizzo di collaboratori e fornitori esterni di servizi che definiscono le condizioni alle quali si possa ricorrere a tali soggetti, il processo autorizzativo e le modalita' di controllo del loro operato; documentate procedure e regole organizzative atte a garantire la competenza e l'affidabilita' di collaboratori e fornitori esterni di servizi; contratti o altri atti giuridici che individuino le rispettive responsabilita', ivi comprese quelle relative alla riservatezza e alla confidenzialita' dei dati e delle altre informazioni trattate. 3.d) Responsabilizzazione L'Odm deve dimostrare di essere responsabile per le sue decisioni e azioni, ad esempio, definendo una serie di misure volte a documentare i processi decisionali, vigilare sul rispetto delle procedure interne di funzionamento e rendicontare le attivita' di controllo, in modo da garantire indipendenza e imparzialita'. Nota esplicativa: Cio' puo' essere comprovato, ad esempio, tramite la descrizione delle procedure di lavoro, la redazione di relazioni di gestione e l'adozione di politiche di formazione del personale volte a renderlo edotto delle misure adottate. Qualsiasi decisione assunta dall'Odm nell'ambito delle sue funzioni di controllo non deve essere soggetta all'approvazione di nessun altro ente, associazione o organizzazione, ivi inclusi il soggetto titolare del codice di condotta, gli aderenti allo stesso o i soggetti eventualmente riconducibili al settore (professionale, industriale o altro) a cui il codice si applica. 3.e) Onorabilita' I componenti dell'Odm incaricati di assumere le decisioni attinenti alle attivita' di controllo garantiscono i seguenti requisiti di onorabilita': non trovarsi in una delle condizioni previste dall'art. 2382 del codice civile; non essere stati radiati da albi professionali per motivi disciplinari ne' per altri motivi; non aver riportato condanne per delitti non colposi o a pena detentiva per contravvenzioni, salvi gli effetti della riabilitazione; non essere stati sottoposti a misure di prevenzione o di sicurezza personali. Il possesso dei predetti requisiti di onorabilita' nel caso di societa', associazioni, fondazioni ed altri enti (persone giuridiche) devono essere riferiti al rappresentante legale e alle altre persone eventualmente preposte all'adozione delle decisioni relative alle attivita' di monitoraggio aventi rilevanza esterna. 4. Conflitto di interessi L'Odm deve disporre di procedure documentate atte a prevenire, individuare, valutare, mitigare o rimuovere il rischio di eventuali conflitti di interesse per l'intera durata del suo mandato, avuto riguardo, in particolare, alle specificita' del/i settore/i a cui si applica il codice di condotta. In particolare, tali procedure devono garantire che i singoli componenti dell'Odm con poteri decisionali e l'Odm nel suo complesso si astengano da qualunque azione incompatibile con le funzioni e gli obblighi di quest'ultimo e che non esercitino alcuna attivita', remunerata o meno, con essi incompatibili. I componenti dell'Odm devono impegnarsi a rispettare tali procedure e a segnalare qualsiasi situazione che possa creare eventuali conflitti di interessi. Nota esplicativa: Ad esempio, puo' insorgere un conflitto di interessi nel caso in cui il personale dell'Odm con poteri decisionali abbia lavorato in precedenza per il soggetto titolare del codice o per uno degli aderenti oppure sia stato coinvolto nei lavori di redazione del codice di condotta. In casi del genere devono essere fornite all'Autorita' garanzie idonee a mitigare sufficientemente il rischio di un eventuale conflitto di interessi. La procedura di gestione dei conflitti di interesse puo' prevedere, ad esempio, che il personale dell'Odm con poteri decisionali sia tenuto a dichiarare per iscritto ogni potenziale conflitto di interessi o rischio per la propria indipendenza. L'Odm deve predisporre misure atte ad assicurare che questi non solleciti o accetti istruzioni da alcuno, in particolare nella formazione, assunzione e applicazione delle decisioni attinenti all'assolvimento dei propri compiti di controllo. L'Odm deve predisporre misure atte a evitare che lo stesso possa essere rimosso, sanzionato o penalizzato, direttamente o indirettamente, a causa dell'adempimento dei suoi compiti dai soggetti titolari del codice di condotta, dagli aderenti o dai soggetti in qualche modo riconducibili al settore (professionale, industriale o altro) a cui il codice si applica. Nota esplicativa: Ad esempio, l'assenza di conflitto di interessi puo' essere dimostrata attraverso elementi di valutazione desunti dalle procedure di selezione dei componenti dell'Odm con poteri decisionali, dalle relative modalita' di remunerazione, dalla sottoscrizione di codici etici e dalle regole disciplinanti le condizioni per il rinnovo del loro incarico alla scadenza. 5. Competenza L'Odm deve dimostrare di possedere un adeguato livello di competenza per il corretto ed efficiente svolgimento dei propri compiti di controllo in relazione allo specifico codice di condotta per il cui monitoraggio si richiede l'accreditamento. In particolare, l'Odm deve dimostrare che i componenti che assumono le decisioni attinenti alle funzioni di monitoraggio, ivi compresi eventuali sostituti, posseggano, singolarmente o nel loro insieme: un'approfondita conoscenza ed esperienza (di tipo giuridico e informatico) in materia di protezione dei dati personali; un'approfondita conoscenza ed esperienza nel settore specifico o nelle specifiche attivita' di trattamento a cui si applica il codice di condotta; un'approfondita conoscenza ed esperienza nello svolgimento di compiti di vigilanza e controllo (ad esempio nel settore dell'audit o del controllo di qualita'). L'Odm deve dimostrare che il livello di conoscenza ed esperienza posseduto nei campi sopraindicati sia adeguato all'effettivo assolvimento dei suoi obblighi di controllo in relazione al codice di condotta per il quale viene richiesto l'accreditamento, avuto riguardo, in particolare, alle specificita' del/i settore/i a cui si applica il codice, alla categoria dei dati trattati e alla complessita' delle attivita' di trattamento, ai diversi interessi coinvolti, alla tipologia e al numero (anche atteso) di soggetti aderenti, nonche' ai rischi per gli interessati. L'Odm deve dimostrare altresi' di possedere gli specifici requisiti di competenza definiti nel codice di condotta. L'Odm deve garantire che la competenza posseduta sia oggetto di aggiornamento periodico in relazione all'evolversi della disciplina applicabile e della tecnologia utilizzata nel settore di riferimento del codice di condotta. Nota esplicativa: Requisiti di competenza piu' dettagliati sono fissati dal codice di condotta e sono considerati parte dell'accreditamento. Si considera «adeguato» il livello di competenza necessario all'effettivo svolgimento delle funzioni di controllo assegnate all'Odm in relazione al codice di condotta per il quale viene richiesto l'accreditamento, avuto riguardo, in particolare, alle specificita' del/i settore/i a cui si applica il codice, alla categoria dei dati trattati e alla complessita' delle attivita' di trattamento, ai diversi interessi coinvolti, alla tipologia e al numero (anche atteso) di soggetti aderenti nonche' ai rischi per gli interessati. Tali requisiti possono essere comprovati tramite il conseguimento di corsi di formazione professionale, diplomi di laurea, titoli di specializzazione o perfezionamento o master di durata almeno annuale, dottorati di ricerca, ovvero dal possesso di qualifiche ed esperienze professionali debitamente documentate o, ancora, da pubblicazioni a carattere scientifico o da ogni altro titolo comprovante qualificate esperienze professionali, di studio o di ricerca. 6. Procedure e strutture istituite per il monitoraggio del codice di condotta L'Odm deve dimostrare di disporre di procedure idonee a valutare l'ammissibilita' dei titolari e dei responsabili del trattamento ad aderire e ad applicare il codice di condotta, controllare l'osservanza delle sue disposizioni da parte di questi ultimi e riesaminare periodicamente il funzionamento del codice. Tali procedure devono essere approntate avendo riguardo a: la categoria dei dati trattati, la complessita' delle attivita' di trattamento e i rischi derivanti per gli interessati, nonche' la tipologia e il numero (anche atteso) dei soggetti aderenti al codice, l'ambito geografico in cui questo si applica, i reclami ricevuti e le violazioni eventualmente accertate. La predetta procedura deve garantire che le richieste di adesione al codice di condotta da parte di titolari e responsabili del trattamento, se pervenute successivamente alla sua entrata in vigore del codice, siano esaminate entro termini ragionevoli. L'Odm deve dimostrare che siffatta procedura preveda: la programmazione delle verifiche (iniziali, ad hoc e periodiche) durante un periodo di tempo definito e sulla base di criteri preventivamente individuati, quali la tipologia e il numero di aderenti al codice di condotta, l'ambito geografico, i reclami ricevuti, le violazioni accertate, ecc.; la conduzione delle verifiche sulla base di una metodologia definita, con particolare riferimento, al tipo di verifica da utilizzare (autovalutazione, audit, ispezioni, con o senza preavviso, in loco o in remoto, questionari, relazioni periodiche, ecc.), ai criteri oggetto di verifica e alle modalita' di documentazione e gestione dei relativi risultati; la valutazione dei risultati delle verifiche che, nel rispetto dei principi di partecipazione, imparzialita' e garanzia del contradditorio, consenta di identificare, istruire e gestire eventuali violazioni del codice di condotta da parte degli aderenti e di adottare entro termini ragionevoli, opportune misure correttive, anche sanzionatorie, volte a porre rimedio a tali violazioni e a prevenire il loro ripetersi, sulla base di quanto previsto dal codice di condotta in caso di violazione delle sue regole; che i soggetti aderenti al codice di condotta prestino la massima collaborazione ai fini del proficuo svolgimento di tali attivita' di controllo. L'Odm e' responsabile per la gestione di tutte le informazioni raccolte o utilizzate durante le procedure di controllo e, a tal fine, garantisce che il proprio personale mantenga riservate tali informazioni, fermo restando il rispetto di eventuali obblighi di legge che prevedano diversamente. Nota esplicativa: I requisiti sopra indicati sono volti a dimostrare che le procedure di monitoraggio proposte, anche in termini di strutture e risorse a cio' dedicate, siano trasparenti, appropriate al controllo del codice di condotta per cui si richiede l'accreditamento, nonche' praticabili dal punto di vista operativo, efficaci e verificabili. Tali procedure possono prevedere la pubblicazione di relazioni riguardanti le verifiche effettuate o di rapporti periodici o sintetici sulle attivita' svolte dall'Odm e le complessive risultanze di tali attivita'. 7. Gestione trasparente dei reclami L'Odm deve dimostrare di avere a disposizione un meccanismo che gli permetta di gestire in modo trasparente e imparziale i reclami aventi ad oggetto le violazioni del codice di condotta da parte degli aderenti o il modo in cui il codice di condotta e' stato o e' attuato da questi ultimi. Fatto salvo il diritto degli interessati di presentare reclamo al Garante o ricorso all'autorita' giudiziaria ai sensi degli articoli 77 e 79 del regolamento e degli art. 140-bis e ss. del Codice, siffatto meccanismo deve garantire che un interessato ovvero un organismo, organizzazione o associazione rappresentativa o attiva nel settore della protezione dei dati personali, possa proporre reclamo all'Odm, inviando apposita istanza che contenga una breve descrizione dei fatti e del pregiudizio lamentato. A tal fine, l'Odm deve dimostrare di aver messo in atto un adeguato quadro di procedure e strutture per la ricezione, l'istruttoria e la definizione dei reclami secondo quanto stabilito nel dettaglio nello stesso codice. Tali procedure devono essere trasparenti, intellegibili e facilmente accessibili a chiunque, nonche' supportate da risorse appropriate in modo da garantire un'efficace gestione dei reclami. La procedura di gestione dei reclami deve prevedere le modalita' per la proposizione del reclamo nonche' stabilire le modalita' di definizione dello stesso, nel rispetto dei principi di partecipazione, imparzialita' e garanzia del contradditorio. In particolare, tale procedura deve prevedere che l'Odm informi il reclamante dello stato e dell'esito del reclamo entro tempi ragionevoli, tali da consentire un'analisi accurata di quanto lamentato. Fermo restando il rispetto dei predetti principi e garanzie, l'Odm deve dimostrare di poter adottare una o piu' misure correttive - anche sanzionatorie - come individuate nel codice di condotta, in caso di violazioni delle sue regole da parte degli aderenti, volte a porre rimedio a tali violazioni e a prevenire il loro ripetersi. Tali misure, a seconda della gravita' della violazione riscontrata, devono poter includere la sospensione o l'esclusione dal codice di condotta del titolare/responsabile aderente al codice. L'Odm deve dimostrare di aver approntato una procedura per informare senza indebito ritardo l'Autorita' delle misure adottate e dei motivi della loro adozione nel caso di violazioni che comportino la sospensione o l'esclusione del titolare/responsabile aderente al codice. L'Odm deve istituire e tenere costantemente aggiornato un registro di tutti i reclami e le azioni correttive, anche sanzionatorie, adottate a cui l'Autorita' puo' accedere in qualsiasi momento. L'Odm deve rendere pubblicamente accessibili le decisioni adottate all'esito della definizione dei reclami, previo oscuramento dei dati personali eventualmente presenti (in quanto riferiti a persone fisiche) anche attraverso informazioni di sintesi relative alle medesime decisioni, secondo quanto stabilito dalla procedura di gestione dei reclami e avuto riguardo alla gravita' delle violazioni riscontrate e delle conseguenti misure impartite al titolare/responsabile aderente al codice. Tali informazioni di sintesi devono, in ogni caso, comprendere i dati relativi a tutte le violazioni riscontrate che comportino la sospensione o l'esclusione dal codice e l'indicazione dei destinatari di tali misure nonche', a titolo esemplificativo e non esaustivo, informazioni riguardanti il numero e il tipo di reclami ricevuti, il tipo di violazioni riscontrate e le misure correttive impartite. Nota esplicativa: Un meccanismo di gestione dei reclami trasparente, imparziale e facilmente accessibile agli interessati e' un elemento essenziale ai fini del monitoraggio del codice di condotta. 8. Comunicazioni all'Autorita' di controllo L'Odm deve dimostrare di aver approntato una procedura efficace per informare senza indebito ritardo l'Autorita' dell'adozione delle misure piu' gravi adottate nei confronti del titolare/responsabile aderente al codice - quali la sospensione o l'esclusione dal medesimo codice - dei motivi della loro adozione e, in particolare, delle violazioni riscontrate, nonche' delle azioni poste in essere dal titolare/responsabile sospeso o escluso dal codice per ottemperare a siffatte misure. Siffatta procedura deve consentire, altresi', all'Odm di informare senza indebito ritardo l'Autorita' in caso di eventuale revoca di tali misure e delle motivazioni sottostanti. La medesima procedura deve consentire all'Odm di fornire all'Autorita', su base annuale, un resoconto riassuntivo dei controlli effettuati, delle procedure di reclamo definite e delle misure eventualmente adottate nei confronti dei titolari/responsabili aderenti al codice. In presenza di sopravvenute modifiche sostanziali ai requisiti, sulla base dei quali e' stato rilasciato l'accreditamento, l'Odm dovra' senza indebito ritardo informarne l'Autorita'. Ogni modifica sostanziale sopravvenuta comporta la necessita' di chiedere un nuovo accreditamento all'Autorita'. In particolare, per modifiche sostanziali sopravvenute si intendono quelle modifiche ai requisiti sulla base dei quali e' stato rilasciato l'accreditamento che incidono sulla capacita' dell'Odm di adempiere ai sui obblighi di monitoraggio in modo indipendente ed efficace, con le competenze adeguate e in assenza di conflitti d'interesse. 9. Meccanismi di riesame L'Odm deve dimostrare di poter contribuire al riesame del funzionamento del codice di condotta tramite documentate procedure, in conformita' a quanto stabilito nel medesimo codice e richiesto dal soggetto titolare del codice, al fine di garantire che quest'ultimo rimanga attuale e continui a contribuire alla corretta applicazione della disciplina sulla protezione dei dati personali. In particolare, tali procedure assicurano che l'Odm fornisca periodicamente al soggetto titolare del codice di condotta - o a ogni altra associazione, organismo o ente previsto dal medesimo codice - informazioni significative sul suo funzionamento specie quelle che evidenziano la necessita' di apportare modifiche o proroghe allo stesso. L'Odm garantisce che le predette informazioni sul funzionamento del codice di condotta siano memorizzate e rese disponibili all'Autorita', ove richiesto. Nota esplicativa: Gli organismi di controllo svolgono un ruolo chiave nel contribuire alla revisione del codice di condotta in conformita' alle procedure di revisione indicate nel medesimo codice. Ad esempio, si dovrebbero prevedere meccanismi di riesame per adeguare il codice di condotta all'evolversi della disciplina applicabile o qualora gli sviluppi tecnologici possano incidere sul trattamento dei dati personali da parte degli aderenti o sulle previsioni del medesimo codice. All'esito di tali procedure, il soggetto titolare del codice puo' proporre modifiche o proroghe al codice da sottoporre all'Autorita' ai sensi dell'art. 40, par. 5 e ss., del regolamento. A titolo esemplificativo e non esaustivo, si considerano significative le seguenti informazioni riguardanti il funzionamento del codice: quelle relative a nuovi soggetti aderenti, a eventuali sospensioni ed esclusioni dei membri del codice, alle violazioni riscontrate, ai reclami gestiti e, in generale, alle risultanze delle attivita' di controllo poste in essere dall'Odm. 10. Status giuridico L'Odm deve dimostrare di essere stabilito all'interno del SEE. Fermi restando i compiti e i poteri dell'Autorita' secondo quanto previsto dal regolamento e dal Codice in materia di protezione dei dati personali, l'Odm (interno o esterno) deve dimostrare di avere uno status giuridico tale da poter adempiere effettivamente ai suoi obblighi di controllo e far fronte alle connesse responsabilita'. Le modalita' di costituzione dell'Odm e di composizione del suo personale con poteri decisionali, le procedure decisionali, le regole di funzionamento e la durata del mandato nonche' le risorse di cui dispone devono garantire che l'Odm assolva ai suoi obblighi di controllo e possa far fronte alle connesse responsabilita' per tutta la durata del suo mandato. (1) L'Odm non puo' essere costituito all'interno di un soggetto aderente al codice di condotta.