Il garante privacy spagnolo approva il primo codice di condotta ai sensi del GDPR

Il Garante privacy spagnolo ha approvato il primo codice di condotta ai sensi del GDPR, che regola i trattamenti di dati effettuati nel contesto di attività pubblicitarie e introduce un meccanismo di risoluzione extra-giudiziale delle controversie in tale ambito.

Il garante privacy spagnolo, l’AEPD, ha approvato il primo codice di condotta ai sensi dell’art. 40 del GDPR.

L’elaborazione di codici di condotta è fortemente incoraggiata dal regolamento privacy europeo. In quanto strumenti di autodisciplina destinati a contribuire alla corretta applicazione del GDPR, i codici di condotta sono un importante meccanismo di accountability.

Tali codici, infatti, non forniscono agli aderenti solo un’utile guida nel corretto trattamento dei dati, fornendo indicazioni di dettaglio che tengono conto di specificità settoriali e natura dei soggetti interessati. L’adesione a un codice di condotta aiuta titolari e responsabili, chiamati a dare prova della correttezza dei trattamenti, a dimostrare la conformità del proprio operato.

Nel panorama italiano, ben prima del nuovo regolamento europeo, il Garante privacy aveva già da tempo adottato un nutrito insieme di “codici deontologici” settoriali. Questi, tuttavia, hanno subito una profonda rivisitazione con l’entrata in vigore del GDPR (che introduce nuovi “codici di condotta”) e del Codice privacy aggiornato (che prevede nuove “regole deontologiche”). L’opera di adeguamento attuata dal Garante privacy italiano ha portato alla rielaborazione di alcuni dei codici di deontologia già esistenti convertendoli in codici di condotta ex art. 40 del GDPR, nello specifico, ad oggi, il “Codice di condotta per il trattamento dei dati personali in materia di informazioni commerciali” e il “Codice di condotta sui sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti”.

A differenza dell’Italia, molti paesi europei (inclusi Francia e Regno Unito) non hanno ancora approvato codici di condotta nazionali. Tra questi anche la Spagna, che dal 3 novembre 2020 si è però ufficialmente allontanata dal trend europeo approvando il primo codice di condotta ex art. 40 del GDPR. Il nuovo “Codice di condotta per il trattamento dei dati nell’attività pubblicitaria” spagnolo ha come obiettivo principale l’istituzione di un sistema di composizione extra-giudiziale delle controversie in occasione del trattamento di dati effettuato nel contesto dell’attività pubblicitaria, azionabile in maniera facile e gratuita dai soggetti interessati. Il codice è stato presentato all’AEDP dall’Associazione per l’autoregolamentazione della comunicazione commerciale (“AUTOCONTROL”, la versione spagnola dell’Istituto di Autodisciplina Pubblicitaria “IAP” in Italia).

Tra le previsioni principali del codice viene prevista quindi la possibilità per gli utenti di presentare reclami contro le aziende aderenti al codice, nel caso in cui i diritti loro garantiti dal GDPR siano stati violati nell’ambito di attività pubblicitarie (es. ricezione di pubblicità indesiderata o utilizzo illecito dei dati nel contesto di promozioni pubblicitarie o raccolti tramite cookie), purché gli eventi oggetto di contestazione si siano verificati nei 12 mesi precedenti. Il procedimento di risoluzione, che dura un massimo di 30 giorni, si svolge in due fasi. Una prima fase di mediazione, nell’ambito della quale AUTOCONTROL agirà come soggetto indipendente nel tentativo di riconciliare le parti. In caso di mancato accordo, si apre una seconda fase nella quale il reclamo viene presentato e deciso dalla Giuria Pubblicitaria (el Jurado de la Publicidad, stabilito presso AUTOCONTROL, al pari dell’italiano “Giurì” istituito presso lo IAP), in quanto organismo certificato di risoluzione delle controversie, nonché nominato dall’AEPD quale organismo di monitoraggio dello stesso codice. Peraltro, come prevede la stessa legge privacy spagnola, nel caso in cui una controversia su trattamenti in ambito pubblicitario fosse presentata direttamente all’AEPD, l’autorità potrebbe rimetterla direttamente ad AUTOCONTROL, affidandone a questa la risoluzione. Si attende ora che altri paesi europei si adoperino nella promozione di meccanismi di autodisciplina locali e, ancor più, che l’European Data Protection Board(EDPB) possa presto approvare un codice di condotta europeo, la cui applicabilità valichi i confini nazionali.

Su di un simile argomento, è possibile leggere l’articolo “Il garante privacy spagnolo ha pubblicato una guida sulla privacy by design”.