 
                    IL GARANTE PER LA PROTEZIONE 
                         DEI DATI PERSONALI 
 
  Nella riunione odierna, alla  quale  hanno  preso  parte  il  dott.
Antonello   Soro,   presidente,   la   dott.ssa   Augusta    Iannini,
vicepresidente, la prof.ssa  Licia  Califano,  la  dott.ssa  Giovanna
Bianchi Clerici, componenti e il  dott.  Giuseppe  Busia,  segretario
generale; 
  Visto il regolamento (UE) 2016/679 del  Parlamento  europeo  e  del
Consiglio del 27 aprile 2016 relativo alla protezione  delle  persone
fisiche con riguardo al trattamento dei dati personali, nonche'  alla
libera circolazione di tali dati e che abroga la  direttiva  95/46/CE
(di seguito «regolamento»); 
  Visto il decreto legislativo 30 giugno  2003,  n.  196  (Codice  in
materia di protezione dei dati personali,  di  seguito  il  «Codice»)
come novellato dal decreto legislativo 10 agosto 2018, n. 101 recante
«Disposizioni  per  l'adeguamento  della  normativa  nazionale   alle
disposizioni del regolamento (UE) 2016/679»; 
  Visto l'art. 40 del regolamento che prevede che le  associazioni  e
gli altri organismi  rappresentanti  le  categorie  di  titolari  del
trattamento  o  responsabili  del   trattamento   possano   elaborare
(modificare o prorogare) codici di condotta destinati  a  contribuire
alla corretta applicazione del regolamento in  specifici  settori  di
attivita' e in  funzione  delle  particolari  esigenze  delle  micro,
piccole e medie imprese, e che tali codici  devono  essere  approvati
dall'autorita' di controllo competente; 
  Visto il considerando 98  del  regolamento  che  prevede  che  tali
codici possono calibrare gli obblighi del titolare del trattamento  e
del responsabile del trattamento, tenuto conto dei potenziali  rischi
del trattamento per i diritti e le liberta' degli interessati; 
  Viste le «Linee  guida  1/2019  sui  codici  di  condotta  e  sugli
organismi di monitoraggio a  norma  del  regolamento  (UE)  2016/679»
adottate dal Comitato europeo per la protezione di dati  (di  seguito
«Comitato») il 4 giugno 2019, all'esito della consultazione pubblica; 
  Considerato in particolare che l'adesione ad un codice di  condotta
puo'  essere  utilizzata  come   elemento   di   responsabilizzazione
(c.d.accountability),in quanto consente di dimostrare la  conformita'
dei trattamenti di  dati,  posti  in  essere  dai  titolari  e/o  dai
responsabili  del  trattamento   che   vi   aderiscano,   ad   alcune
disposizioni o principi del regolamento, o  al  regolamento  nel  suo
insieme (cfr. cons. 77 e articoli 24, paragrafo 3, e 28, paragrafo 5,
e 32, paragrafo 3 del regolamento); 
  Considerato che l'art. 41, paragrafo  1,  del  regolamento  prevede
che, fatti salvi i compiti e i  poteri  dell'autorita'  di  controllo
competente, la verifica  dell'osservanza  delle  disposizioni  di  un
codice di  condotta,  ai  sensi  dell'art.  40  del  regolamento,  e'
effettuata da un Organismo di  monitoraggio  (di  seguito  «Odm»)  in
possesso del livello adeguato di competenze riguardo al contenuto del
codice e del necessario accreditamento rilasciato a  tal  fine  dalla
medesima autorita', con la sola eccezione del trattamento  effettuato
da autorita' pubbliche e da organismi pubblici per il  quale  non  e'
necessaria  l'istituzione  di  un  Odm  (art.  41,  paragrafo  6  del
regolamento); 
  Considerato che l'art. 41, paragrafo 3, del regolamento prevede che
la predetta autorita' di controllo presenta al Comitato uno schema di
requisiti per l'accreditamento dell'Odm, ai sensi del  meccanismo  di
coerenza di cui all'art. 63 del regolamento; 
  Considerato che l'art. 57, paragrafo 1, lettera p) del  regolamento
prevede, in particolare, che ciascuna  autorita'  di  controllo,  sul
proprio  territorio,   definisce   e   pubblica   i   requisiti   per
l'accreditamento dell'Odm, ai sensi dell'art. 41; 
  Rilevato che, ai sensi del combinato disposto di cui agli  articoli
55 del regolamento e 2-ter del Codice, il Garante e'  l'autorita'  di
controllo  competente  ad  approvare   i   presenti   requisiti   per
l'accreditamento dell'Odm, nell'esercizio del potere  conferitole  ai
sensi dell'art. 57, paragrafo 1, lettera p, del regolamento; 
  Considerato che il regolamento e le linee guida del Comitato  sopra
citate, fissano un quadro organico di riferimento per la  definizione
dei   requisiti   che   l'Odm   deve    soddisfare    per    ottenere
l'accreditamento; 
  Rilevato che  il  Garante  incoraggia  lo  sviluppo  di  codici  di
condotta per le micro, piccole e medie imprese al fine di  promuovere
un'attuazione effettiva del regolamento, aumentare  la  certezza  del
diritto per titolari e responsabili del trattamento e  rafforzare  la
fiducia degli interessati in ordine alla correttezza dei  trattamenti
di dati che li riguardano; 
  Rilevato,  in  questo  contesto,  che  l'obbligo  di  affidare   il
monitoraggio dei codici di condotta a un Odm accreditato non dovrebbe
costituire un ostacolo allo sviluppo di tali strumenti e che, quindi,
va riconosciuto un certo margine di flessibilita'  ai  promotori  dei
codici di condotta nell'applicazione dei requisiti di  accreditamento
fissati dal Garante al fine  di  definire  il  modello  di  Odm  piu'
adeguato a controllarne l'osservanza, fermo restando il  rispetto  di
quanto previsto dal regolamento, dalle Linee guida e  dai  pertinenti
pareri del Comitato; 
  Rilevato altresi' che il Garante nella procedura di accreditamento,
volta a verificare che l'Odm soddisfi i predetti requisiti, tiene  in
considerazione le specificita'  dei  trattamenti  di  dati  personali
afferenti al/i settore/i a cui si applica il codice di condotta e, in
particolare, la natura e la dimensione del settore, la tipologia e il
numero (anche atteso) di soggetti  aderenti,  la  peculiarita'  e  la
complessita' delle operazioni  di  trattamento  oggetto  del  codice,
nonche' i rischi per gli interessati; 
  Visto  lo  schema  di  requisiti  per   l'accreditamento   dell'Odm
approvato dal Garante in data 30 gennaio 2020 e sottoposto in data 31
gennaio 2020 al Comitato per il prescritto parere (art. 41  paragrafo
3 e art. 64 paragrafo 1 lettera c), del regolamento); 
  Viste le osservazioni rese dal Comitato nel parere adottato  il  25
maggio 2020 e notificato al Garante il 28 maggio 2020 (disponibile su
https://edpb.europa.eu/); 
  Ritenuto, in ottemperanza a quanto previsto dall'art. 64, paragrafo
7, del  regolamento,  di  aderire  alle  osservazioni  contenute  nel
suddetto  parere  e  di  modificare  lo  schema  di   requisiti   per
l'accreditamento  in  conformita'  a   tali   osservazioni,   dandone
comunicazione alla presidente del Comitato; 
  Ritenuto quindi ai sensi dell'art. 57, paragrafo1, lettera p),  del
regolamento di approvare i requisiti per  l'accreditamento  dell'Odm,
opportunamente modificati alla luce del suddetto parere  ed  allegati
al presente provvedimento del quale formano parte integrante; 
  Vista la documentazione in atti: 
  Viste le osservazioni formulate dal segretario  generale  ai  sensi
dell'art. 15 del regolamento del Garante n. 1/2000; 
  Relatore la dott.ssa Giovanna Bianchi Clerici; 
 
                         Tutto cio' premesso 
 
                             Il Garante: 
 
    a)  ai  sensi  dell'art.  57,  paragrafo  1,  lettera   p),   del
regolamento  approva  i  requisiti  per   l'accreditamento   dell'Odm
riportati in allegato al presente  provvedimento  del  quale  formano
parte integrante; 
    b) ai sensi dell'art. 64, paragrafo 7  del  regolamento  comunica
alla presidente del Comitato il presente provvedimento, che recepisce
i rilievi formulati nel parere richiamato in premessa; 
    c) invia copia della presente delibera all'Ufficio  pubblicazione
leggi e decreti del Ministero  della  giustizia  ai  fini  della  sua
pubblicazione nella Gazzetta Ufficiale della Repubblica italiana. 
 
    Roma, 10 giugno 2020 
 
                         Il presidente: Soro 
 
                    Il relatore: Bianchi Clerici 
 
                    Il segretario generale: Busia