Let us assume for a moment that we have a perfect code of conduct, the best that you could ever write, already approved, recorded and released by the supervisory authority, and so – at this point – you should only “hope” that itwill be adopted by users for which it was drawn.
Here, we imagine to own a document in this condition – and I say imagine because the Authority has not yet approved, registered and published any code under article 40
Our perfect ad immaginary code of conduct, ex art 40 para. 4, ” … shall contain mechanisms which enable the body referred to in Article 41(1) to carry out the mandatory monitoring of compliance with its provisions by the controllers or processors which undertake to apply it …”
A body as reffered above (ex art 41) may be accredited to monitor compliance with a code of conduct by the competent supervisory authority provided that specific requirements are met. The body, ex art 41, para. 2, shall have an adequate level of competence concerning the code and shall also:
(a) demonstrate its independence and expertise in relation to the subject-matter of the code to the satisfaction of the competent supervisory authority;
(b) establish procedures which allow it to assess the eligibility of controllers and processors concerned to apply the code, to monitor their compliance with its provisions and to periodically review its operation;
(c) establish procedures and structures to handle complaints about infringements of the code or the manner in which the code has been, or is being, implemented by a controller or processor, and to make those procedures and structures transparent to data subjects and the public;
(d) demonstrate to the satisfaction of the competent supervisory authority that its tasks and duties do not result in a conflict of interests.
The monitoring body may also, in the event of a breach of the code by a processor or controller proceed with appropriate measures including the suspension or exclusion from the code of the owner/processor; to do this, the accredited monitoring body, shall give information to the competent supervisory authority toghether with the measures adopted and the underlying reasons for these measures
The body is vigilated by the competent supervisory authority whic shall revoke the accreditation if the relevant conditions are not – or are no longer – met, or where actions taken by the body infringe the Regulation
But why is it so important the monitoring of approved codes of conduct?
In my opinion, a successful monitoring can be the way in which the controller/pocessor may prove as required under articles 32, paragraph 24 and articles 24 paragraph 3
Unfortunately, up to date, there is no monitoring body operating yet, and this for two main reasons:
1) there isn’t a code approved, registered and published by the supervisory authority to the task;
2) The competent supervisory authority, up to date, hasn’t submit the draft criteria for accreditation of a body as referred to in art. 41 paragraph 1 to the Board .
So we only have to wait and see what will tell us the reality in the coming months!
Condivido il giudizio sull’importanza del monitoraggio, senza il quale la semplice adesione ad un CdC sarebbe inefficace. Dal tuo post pare di capire (francamente non ci ero arrivato prima) che gli organismi saranno accreditati a monitorare uno o ALCUNI SPECIFICI CODICI di condotta, e non genericamente tutti i CdC, come avevo inteso sinora: mi confermi che le cose stanno effettivamente così?
In effetti il vincolo sembra avere un senso: un dato organismo infatti potrebbe avere (o non avere) competenza ed essere (o non essere) in conflitto di interessi su un particolare codice e non su altri.
Ciò potrebbe tuttavia rappresentare un onere per gli enti che intendessero accreditarsi: o si impegnano a compiere tutto l’iter di accreditamento per poter poi esercitare la loro funzione su uno solo dei tanti CdC che saranno approvati (il che potrebbe risultare antieconomico) oppure dovranno ripetere l’iter per tutti i CdC che vorrebbero essere accreditati a monitorare (il che potrebbe risultare dispersivo).
Mi piacerebbe sapere cosa ne pensate (tu e i lettori del nostro blog) di questo aspetto…
In relazione a quanto annoti e chiedi e volendo rispondere utilizzando quello che ad oggi è, a mio parere, l’unico riferimento sicuro e cioè il Regolameto UE 679/16, si vede leggendo il primo comma dell’art 41 che l’organismo dovrà possedere un livello adeguato di competenze riguardo al contenuto del codice di condotta (sul quale farà il monitoraggio…) . La norma non prevede che ci sia un ente dedicato ad un singolo codice di condotta nè a tutti i codici di condotta, richiede invece che l’ente abbia un livello adeguato di competenze riguardo al contenuto del Codice di condotta specifico; nulla vieta quindi di avere un ente che monitori tutti gli aderenti ad un solo codice come tutti gli aderenti a più codici… Questo sarà un “problema” dell’ente, del suo organico delle sue competenze e della sua organizzazione se eseguire il monitoraggio sugli aderenti ad un solo codice o sugli aderenti a più codici.
Sempre alla luce del solo Regolamento , ad oggi, non si avrà un accreditameto generico ad essere competete sul monitoraggio ma un accreditamento specifio posto il 41 comma 1.
Vedremo se WP (entro il 2017??) darà delle info ulteriori …
Comunque a mio avviso il vero problema non riguarderà l’imparzialità e l’indipendenza dell’Ente ma la modalità con cui l’Ente eseguirà il monitoraggio posto che il codice di condotta adottato dovrebbe/potrebbe esser implementato nelle realtà aziendali degli associati alla categoria anche su scala europea … insomma non proprio piccoli numeri 😉
Ciao Laura