Monitoring of approved codes of conduct

By | Monday June 26th, 2017

Let us assume for a moment that we have a perfect code of conduct, the best that you could ever write, already approved, recorded and released by the supervisory authority, and so – at this point – you should only “hope” that itwill be adopted by users for which it was drawn.

Here, we imagine to own a document in this condition – and I say imagine because the Authority has not yet approved, registered and published any code under article 40

Our perfect ad immaginary code of conduct, ex art 40 para. 4, ” … shall contain mechanisms which enable the body referred to in Article 41(1) to carry out the mandatory monitoring of compliance with its provisions by the controllers or processors which undertake to apply it …”

A body as reffered above (ex art 41) may be accredited to monitor compliance with a code of conduct by the competent supervisory authority provided that specific requirements are met. The body, ex art 41, para. 2, shall have an adequate level of competence concerning the code and shall also:

(a) demonstrate its independence and expertise in relation to the subject-matter of the code to the satisfaction of the competent supervisory authority;

(b)  establish procedures which allow it to assess the eligibility of controllers and processors concerned to apply the code, to monitor their compliance with its provisions and to periodically review its operation;

(c) establish procedures and structures to handle complaints about infringements of the code or the manner in which the code has been, or is being, implemented by a controller or processor, and to make those procedures and structures transparent to data subjects and the public;

(d)  demonstrate to the satisfaction of the competent supervisory authority that its tasks and duties do not result in a conflict of interests.

The monitoring body may also, in the event of a breach of the code by a processor or controller proceed with appropriate measures including the suspension or exclusion from the code of the owner/processor; to do this, the accredited monitoring body, shall give information to the competent supervisory authority toghether with the measures adopted and the underlying reasons for these measures

The body is vigilated by the competent supervisory authority whic shall revoke the accreditation if the relevant conditions are not – or are no longer – met, or where actions taken by the body infringe the Regulation

But why is it so important the monitoring of approved codes of conduct?

In my opinion, a successful monitoring can be the way in which the controller/pocessor may prove as required under articles 32, paragraph 24 and articles 24 paragraph 3

Unfortunately, up to date, there is no monitoring body operating yet, and this for two main reasons:

1) there isn’t a code approved, registered and published by the supervisory authority to the task;

2) The competent supervisory authority, up to date, hasn’t submit the draft criteria for accreditation of a body as referred to in art. 41 paragraph 1 to the Board .

So we only have to wait and see what will tell us the reality in the coming months!

Category: Codes of conduct and certification Tags: , , , ,

About laura.marretta

Avv. Laura Marretta Dopo aver conseguito la Maturità Classica presso l’Istituto Marcelline di Milano e la Laurea in Giurisprudenza presso l’Univeristà Cattolica del Sacro Cuore diventa Avvocato del Foro di Milano ed è Partner dello Studio Legale Internazionale Romolotti Marretta dal 2006. Svolge la propria attività professionale con particolare riferimento ai settori della Privacy e Data Security, Tutela del Segreto Industriale, Diritto della Moda, Energy, e Sistemi di Organizzazione Aziendale (normative UNI CEI ed ISO) nonché in ambito di Certificazioni e Marcatura CE. Svolge il ruolo di DPO presso enti associativi di rilevanza nazionale nonché per conto di società del settore industriale e dei servizi. E’ relatrice presso corsi e convegni sul territorio nazionale, con specifico riferimento ai settori della privacy e della video security. Collabora in pubblicazioni nazionali ed internazionali (www.romolottimarretta.com/pubblicazioni.html) tra le quali numerose edizioni annuali di Doing Business edito dalla World Bank Maturità Classica at Istituto Marcelline of Milan, Graduated in Law at Univeristà Cattolica del Sacro Cuore, Attorney at Law of the Milan Bar, is a Partner of Romolotti Marretta International Law Firm since 2006. Her professional activity is focused on Privacy and Data Security, Trade Secret Protection, Fashion Law, Energy Law, Enterprise Organization (UNI CEI and ISO standards), Certification and CE mark. She is DPO in associations at national level and companies of the industrial and services areas. Speaker at seminars and conferences with specific reference to privacy and videosecurity law, she is a contributor in national and international publications, included several editions of Doing Business edited by World Bank (www.romolottimarretta.com/lang2/publications.html)

2 thoughts on “Monitoring of approved codes of conduct

  1. paolo calvi

    Condivido il giudizio sull’importanza del monitoraggio, senza il quale la semplice adesione ad un CdC sarebbe inefficace. Dal tuo post pare di capire (francamente non ci ero arrivato prima) che gli organismi saranno accreditati a monitorare uno o ALCUNI SPECIFICI CODICI di condotta, e non genericamente tutti i CdC, come avevo inteso sinora: mi confermi che le cose stanno effettivamente così?
    In effetti il vincolo sembra avere un senso: un dato organismo infatti potrebbe avere (o non avere) competenza ed essere (o non essere) in conflitto di interessi su un particolare codice e non su altri.
    Ciò potrebbe tuttavia rappresentare un onere per gli enti che intendessero accreditarsi: o si impegnano a compiere tutto l’iter di accreditamento per poter poi esercitare la loro funzione su uno solo dei tanti CdC che saranno approvati (il che potrebbe risultare antieconomico) oppure dovranno ripetere l’iter per tutti i CdC che vorrebbero essere accreditati a monitorare (il che potrebbe risultare dispersivo).
    Mi piacerebbe sapere cosa ne pensate (tu e i lettori del nostro blog) di questo aspetto…

    1. laura.marretta Post author

      In relazione a quanto annoti e chiedi e volendo rispondere utilizzando quello che ad oggi è, a mio parere, l’unico riferimento sicuro e cioè il Regolameto UE 679/16, si vede leggendo il primo comma dell’art 41 che l’organismo dovrà possedere un livello adeguato di competenze riguardo al contenuto del codice di condotta (sul quale farà il monitoraggio…) . La norma non prevede che ci sia un ente dedicato ad un singolo codice di condotta nè a tutti i codici di condotta, richiede invece che l’ente abbia un livello adeguato di competenze riguardo al contenuto del Codice di condotta specifico; nulla vieta quindi di avere un ente che monitori tutti gli aderenti ad un solo codice come tutti gli aderenti a più codici… Questo sarà un “problema” dell’ente, del suo organico delle sue competenze e della sua organizzazione se eseguire il monitoraggio sugli aderenti ad un solo codice o sugli aderenti a più codici.
      Sempre alla luce del solo Regolamento , ad oggi, non si avrà un accreditameto generico ad essere competete sul monitoraggio ma un accreditamento specifio posto il 41 comma 1.
      Vedremo se WP (entro il 2017??) darà delle info ulteriori …
      Comunque a mio avviso il vero problema non riguarderà l’imparzialità e l’indipendenza dell’Ente ma la modalità con cui l’Ente eseguirà il monitoraggio posto che il codice di condotta adottato dovrebbe/potrebbe esser implementato nelle realtà aziendali degli associati alla categoria anche su scala europea … insomma non proprio piccoli numeri 😉
      Ciao Laura

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.