L’art. 40 del GDPR è dedicato ad incoraggiare le associazioni di categoria ad elaborare codici di condotta che contribuiscano alla corretta applicazione delle norme sulla protezione dei dati personali. I codici di condotta non sono una novità essendo già previsti, con l’aggiunta dell’aggettivo buona, dall’art. 12 del Codice privacy italiano che li intendeva quale strumento per calare le norme nella specificità dei singoli settori.
In pratica, l’associazione di categoria dei riparatori meccanici italiani (se ne esiste una) può sottoporre all’approvazione del Garante per la Protezione dei Dati Personali un manuale che contenga le modalità con le quali ciascun associato (il singolo meccanico) dovrà garantire la conformità al GDPR. Una volta approvato, il manuale diventa una guida operativa per il singolo associato: per fornire l’informativa, acquisire il consenso, garantire i diritti dell’interessato, concretizzare le misure di sicurezza, ecc. L’applicazione del manuale non esonera il singolo dalle responsabilità derivanti da data breach o da eventuali altre violazioni ma lo aiuta ad avere un comportamento corretto.
Una delle prime associazioni di categoria che ha inteso percorrere questa strada a favore dei propri associati è stata l’Associazione Esposizioni e Fiere Italiane (AEFI) che, tramite il Coordinatore della Commissione giuridico‑amministrativa, ha annunciato l’elaborazione di un apposito codice di condotta, scritto sulla base del nuovo GDPR, da sottoporre al Garante. Le ragioni principali per l’adozione di un codice unico per tutti gli associati sono:
- la necessità di semplificare la vita degli enti che organizzano eventi fieristici;
- la molteplicità di dati personali raccolti (dati dei dipendenti, dei visitatori, degli espositori, ecc.).
Dieci in condotta all’AEFI, almeno per le intenzioni.