IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Nella riunione odierna, alla quale hanno preso parte il dott. Antonello Soro, presidente, la dott.ssa Augusta Iannini, vicepresidente, la prof.ssa Licia Califano, la dott.ssa Giovanna Bianchi Clerici, componenti e il dott. Giuseppe Busia, segretario generale; Visto il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (di seguito «regolamento»); Visto il decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito il «Codice») come novellato dal decreto legislativo 10 agosto 2018, n. 101 recante «Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679»; Visto l'art. 40 del regolamento che prevede che le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o responsabili del trattamento possano elaborare (modificare o prorogare) codici di condotta destinati a contribuire alla corretta applicazione del regolamento in specifici settori di attivita' e in funzione delle particolari esigenze delle micro, piccole e medie imprese, e che tali codici devono essere approvati dall'autorita' di controllo competente; Visto il considerando 98 del regolamento che prevede che tali codici possono calibrare gli obblighi del titolare del trattamento e del responsabile del trattamento, tenuto conto dei potenziali rischi del trattamento per i diritti e le liberta' degli interessati; Viste le «Linee guida 1/2019 sui codici di condotta e sugli organismi di monitoraggio a norma del regolamento (UE) 2016/679» adottate dal Comitato europeo per la protezione di dati (di seguito «Comitato») il 4 giugno 2019, all'esito della consultazione pubblica; Considerato in particolare che l'adesione ad un codice di condotta puo' essere utilizzata come elemento di responsabilizzazione (c.d.accountability),in quanto consente di dimostrare la conformita' dei trattamenti di dati, posti in essere dai titolari e/o dai responsabili del trattamento che vi aderiscano, ad alcune disposizioni o principi del regolamento, o al regolamento nel suo insieme (cfr. cons. 77 e articoli 24, paragrafo 3, e 28, paragrafo 5, e 32, paragrafo 3 del regolamento); Considerato che l'art. 41, paragrafo 1, del regolamento prevede che, fatti salvi i compiti e i poteri dell'autorita' di controllo competente, la verifica dell'osservanza delle disposizioni di un codice di condotta, ai sensi dell'art. 40 del regolamento, e' effettuata da un Organismo di monitoraggio (di seguito «Odm») in possesso del livello adeguato di competenze riguardo al contenuto del codice e del necessario accreditamento rilasciato a tal fine dalla medesima autorita', con la sola eccezione del trattamento effettuato da autorita' pubbliche e da organismi pubblici per il quale non e' necessaria l'istituzione di un Odm (art. 41, paragrafo 6 del regolamento); Considerato che l'art. 41, paragrafo 3, del regolamento prevede che la predetta autorita' di controllo presenta al Comitato uno schema di requisiti per l'accreditamento dell'Odm, ai sensi del meccanismo di coerenza di cui all'art. 63 del regolamento; Considerato che l'art. 57, paragrafo 1, lettera p) del regolamento prevede, in particolare, che ciascuna autorita' di controllo, sul proprio territorio, definisce e pubblica i requisiti per l'accreditamento dell'Odm, ai sensi dell'art. 41; Rilevato che, ai sensi del combinato disposto di cui agli articoli 55 del regolamento e 2-ter del Codice, il Garante e' l'autorita' di controllo competente ad approvare i presenti requisiti per l'accreditamento dell'Odm, nell'esercizio del potere conferitole ai sensi dell'art. 57, paragrafo 1, lettera p, del regolamento; Considerato che il regolamento e le linee guida del Comitato sopra citate, fissano un quadro organico di riferimento per la definizione dei requisiti che l'Odm deve soddisfare per ottenere l'accreditamento; Rilevato che il Garante incoraggia lo sviluppo di codici di condotta per le micro, piccole e medie imprese al fine di promuovere un'attuazione effettiva del regolamento, aumentare la certezza del diritto per titolari e responsabili del trattamento e rafforzare la fiducia degli interessati in ordine alla correttezza dei trattamenti di dati che li riguardano; Rilevato, in questo contesto, che l'obbligo di affidare il monitoraggio dei codici di condotta a un Odm accreditato non dovrebbe costituire un ostacolo allo sviluppo di tali strumenti e che, quindi, va riconosciuto un certo margine di flessibilita' ai promotori dei codici di condotta nell'applicazione dei requisiti di accreditamento fissati dal Garante al fine di definire il modello di Odm piu' adeguato a controllarne l'osservanza, fermo restando il rispetto di quanto previsto dal regolamento, dalle Linee guida e dai pertinenti pareri del Comitato; Rilevato altresi' che il Garante nella procedura di accreditamento, volta a verificare che l'Odm soddisfi i predetti requisiti, tiene in considerazione le specificita' dei trattamenti di dati personali afferenti al/i settore/i a cui si applica il codice di condotta e, in particolare, la natura e la dimensione del settore, la tipologia e il numero (anche atteso) di soggetti aderenti, la peculiarita' e la complessita' delle operazioni di trattamento oggetto del codice, nonche' i rischi per gli interessati; Visto lo schema di requisiti per l'accreditamento dell'Odm approvato dal Garante in data 30 gennaio 2020 e sottoposto in data 31 gennaio 2020 al Comitato per il prescritto parere (art. 41 paragrafo 3 e art. 64 paragrafo 1 lettera c), del regolamento); Viste le osservazioni rese dal Comitato nel parere adottato il 25 maggio 2020 e notificato al Garante il 28 maggio 2020 (disponibile su https://edpb.europa.eu/); Ritenuto, in ottemperanza a quanto previsto dall'art. 64, paragrafo 7, del regolamento, di aderire alle osservazioni contenute nel suddetto parere e di modificare lo schema di requisiti per l'accreditamento in conformita' a tali osservazioni, dandone comunicazione alla presidente del Comitato; Ritenuto quindi ai sensi dell'art. 57, paragrafo1, lettera p), del regolamento di approvare i requisiti per l'accreditamento dell'Odm, opportunamente modificati alla luce del suddetto parere ed allegati al presente provvedimento del quale formano parte integrante; Vista la documentazione in atti: Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000; Relatore la dott.ssa Giovanna Bianchi Clerici; Tutto cio' premesso Il Garante: a) ai sensi dell'art. 57, paragrafo 1, lettera p), del regolamento approva i requisiti per l'accreditamento dell'Odm riportati in allegato al presente provvedimento del quale formano parte integrante; b) ai sensi dell'art. 64, paragrafo 7 del regolamento comunica alla presidente del Comitato il presente provvedimento, che recepisce i rilievi formulati nel parere richiamato in premessa; c) invia copia della presente delibera all'Ufficio pubblicazione leggi e decreti del Ministero della giustizia ai fini della sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana. Roma, 10 giugno 2020 Il presidente: Soro Il relatore: Bianchi Clerici Il segretario generale: Busia