GDPR
-
Trattamento Controllo Competente Autorità Organismo Articolo Paragrafo Presente Responsabile Condotta Accreditamento Titolare Compiti
Articolo 41 Monitoraggio dei codici di condotta approvati
lass="normal">2. l'lass=navback5 >l=nofollow href="codindice.php?codice=GDPR&search=organismo">organismo di cui al lass=navback7 >l=nofollow href="codindice.php?codice=GDPR&search=paragrafo">paragrafo 1 può essere accreditato a monitorare l'osservanza di un codice di lass=navback10 >l=nofollow href="codindice.php?codice=GDPR&search=condotta">condotta se esso ha:
lass="normal">a)
lass="normal">dimostrato in modo convincente all'lass=navback4 >l=nofollow href="codindice.php?codice=GDPR&search=autorità">autorità di lass=navback2 >l=nofollow href="codindice.php?codice=GDPR&search=controllo">controllo lass=navback3 >l=nofollow href="codindice.php?codice=GDPR&search=competente">competente di essere indipendente e lass=navback3 >l=nofollow href="codindice.php?codice=GDPR&search=competente">competente riguardo al contenuto del codice;
lass="normal">b)
lass="normal">istituito procedure che gli consentono di valutare l'ammissibilità dei titolari del lass=navback1 >l=nofollow href="codindice.php?codice=GDPR&search=trattamento">trattamento e dei responsabili del lass=navback1 >l=nofollow href="codindice.php?codice=GDPR&search=trattamento">trattamento in questione ad applicare il codice, di controllare che detti titolari e responsabili ne rispettino le disposizioni e di riesaminarne periodicamente il funzionamento;
lass="normal">c)
lass="normal">istituito procedure e strutture atte a gestire i reclami relativi a violazioni del codice o il modo in cui il codice è stato o è attuato da un lass=navback12 >l=nofollow href="codindice.php?codice=GDPR&search=titolare">titolare del lass=navback1 >l=nofollow href="codindice.php?codice=GDPR&search=trattamento">trattamento o un lass=navback9 >l=nofollow href="codindice.php?codice=GDPR&search=responsabile">responsabile del lass=navback1 >l=nofollow href="codindice.php?codice=GDPR&search=trattamento">trattamento e a rendere dette procedure e strutture trasparenti per gli interessati e il pubblico; e
lass="normal">d)
lass="normal">dimostrato in modo convincente all'lass=navback4 >l=nofollow href="codindice.php?codice=GDPR&search=autorità">autorità di lass=navback2 >l=nofollow href="codindice.php?codice=GDPR&search=controllo">controllo lass=navback3 >l=nofollow href="codindice.php?codice=GDPR&search=competente">competente che i lass=navback13 >l=nofollow href="codindice.php?codice=GDPR&search=compiti">compiti e le funzioni da esso svolti non danno adito a conflitto di interessi.
lass="normal">3. l'lass=navback4 >l=nofollow href="codindice.php?codice=GDPR&search=autorità">autorità di lass=navback2 >l=nofollow href="codindice.php?codice=GDPR&search=controllo">controllo lass=navback3 >l=nofollow href="codindice.php?codice=GDPR&search=competente">competente presenta al comitato il progetto di criteri per l'lass=navback11 >l=nofollow href="codindice.php?codice=GDPR&search=accreditamento">accreditamento dell'lass=navback5 >l=nofollow href="codindice.php?codice=GDPR&search=organismo">organismo di cui al lass=navback7 >l=nofollow href="codindice.php?codice=GDPR&search=paragrafo">paragrafo 1 del lass=navback8 >l=nofollow href="codindice.php?codice=GDPR&search=presente">presente articolo, ai sensi del meccanismo di coerenza di cui all'le='articoli' >lass=navback6 >l=nofollow href="codindice.php?codice=GDPR&search=articolo">articolo 63.
lass="normal">4. Fatti salvi i lass=navback13 >l=nofollow href="codindice.php?codice=GDPR&search=compiti">compiti e i poteri dell'lass=navback4 >l=nofollow href="codindice.php?codice=GDPR&search=autorità">autorità di lass=navback2 >l=nofollow href="codindice.php?codice=GDPR&search=controllo">controllo lass=navback3 >l=nofollow href="codindice.php?codice=GDPR&search=competente">competente e le disposizioni del capo VIII, un lass=navback5 >l=nofollow href="codindice.php?codice=GDPR&search=organismo">organismo di cui al lass=navback7 >l=nofollow href="codindice.php?codice=GDPR&search=paragrafo">paragrafo 1 del lass=navback8 >l=nofollow href="codindice.php?codice=GDPR&search=presente">presente lass=navback6 >l=nofollow href="codindice.php?codice=GDPR&search=articolo">articolo adotta, stanti garanzie appropriate, le opportune misure in caso di violazione del codice da parte di un lass=navback12 >l=nofollow href="codindice.php?codice=GDPR&search=titolare">titolare del lass=navback1 >l=nofollow href="codindice.php?codice=GDPR&search=trattamento">trattamento o lass=navback9 >l=nofollow href="codindice.php?codice=GDPR&search=responsabile">responsabile del trattamento, tra cui la sospensione o l'esclusione dal codice del lass=navback12 >l=nofollow href="codindice.php?codice=GDPR&search=titolare">titolare del lass=navback1 >l=nofollow href="codindice.php?codice=GDPR&search=trattamento">trattamento o del lass=navback9 >l=nofollow href="codindice.php?codice=GDPR&search=responsabile">responsabile del trattamento. Esso informa l'lass=navback4 >l=nofollow href="codindice.php?codice=GDPR&search=autorità">autorità di lass=navback2 >l=nofollow href="codindice.php?codice=GDPR&search=controllo">controllo lass=navback3 >l=nofollow href="codindice.php?codice=GDPR&search=competente">competente di tali misure e dei motivi della loro adozione.
lass="normal">5. l'lass=navback4 >l=nofollow href="codindice.php?codice=GDPR&search=autorità">autorità di lass=navback2 >l=nofollow href="codindice.php?codice=GDPR&search=controllo">controllo lass=navback3 >l=nofollow href="codindice.php?codice=GDPR&search=competente">competente revoca l'lass=navback11 >l=nofollow href="codindice.php?codice=GDPR&search=accreditamento">accreditamento dell'lass=navback5 >l=nofollow href="codindice.php?codice=GDPR&search=organismo">organismo di cui al lass=navback7 >l=nofollow href="codindice.php?codice=GDPR&search=paragrafo">paragrafo 1, se le condizioni per l'lass=navback11 >l=nofollow href="codindice.php?codice=GDPR&search=accreditamento">accreditamento non sono, o non sono più, rispettate o se le misure adottate dall'lass=navback5 >l=nofollow href="codindice.php?codice=GDPR&search=organismo">organismo violano il lass=navback8 >l=nofollow href="codindice.php?codice=GDPR&search=presente">presente regolamento.
lass="normal">6. Il lass=navback8 >l=nofollow href="codindice.php?codice=GDPR&search=presente">presente lass=navback6 >l=nofollow href="codindice.php?codice=GDPR&search=articolo">articolo non si applica al lass=navback1 >l=nofollow href="codindice.php?codice=GDPR&search=trattamento">trattamento effettuato da lass=navback4 >l=nofollow href="codindice.php?codice=GDPR&search=autorità">autorità pubbliche e da organismi pubblici.
lass=>
GDPR
CAPO IV Titolare del trattamento e responsabile del trattamento
Articolo 40 | Codici di condotta |
Articolo 41 | Monitoraggio dei codici di condotta approvati |
Articolo 42 | Certificazione |
Articolo 43 | Organismi di certificazione |
lass="normal">2. le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o responsabili del trattamento possono elaborare i codici di condotta, modificarli o prorogarli, allo scopo di precisare l'applicazione del presente regolamento, ad esempio relativamente a:
lass="normal">a)
lass="normal">il trattamento corretto e trasparente dei dati;
lass="normal">b)
lass="normal">i legittimi interessi perseguiti dal responsabile del trattamento in contesti specifici;
lass="normal">c)
lass="normal">la raccolta dei dati personali;
lass="normal">d)
lass="normal">la pseudonimizzazione dei dati personali;
lass="normal">e)
lass="normal">l'informazione fornita al pubblico e agli interessati;
lass="normal">f)
lass="normal">l'esercizio dei diritti degli interessati;
lass="normal">g)
lass="normal">l'informazione fornita e la protezione del minore e le modalità con cui è ottenuto il consenso dei titolari della responsabilità genitoriale sul minore;
lass="normal">h)
lass="normal">le misure e le procedure di cui agli le='articoli' >articoli 24 e 25 e le misure volte a garantire la sicurezza del trattamento di cui all'le='articoli' >le='articoli' >articolo 32;
lass="normal">i)
lass="normal">la notifica di una violazione dei dati personali alle autorità di controllo e la comunicazione di tali violazioni dei dati personali all'interessato;
lass="normal">j)
lass="normal">il trasferimento di dati personali verso paesi terzi o organizzazioni internazionali; o
lass="normal">k)
lass="normal">le procedure stragiudiziali e di altro tipo per comporre le controversie tra titolari del trattamento e interessati in materia di trattamento, fatti salvi i diritti degli interessati ai sensi degli le='articoli' >articoli 77 e 79.
lass="normal">3. Oltre all'adesione ai codici di condotta approvati ai sensi del paragrafo 5 del presente articolo e aventi validità generale a norma del paragrafo 9 del presente articolo da parte di titolari o responsabili soggetti al presente regolamento, possono aderire a tali codici di condotta anche i titolari del trattamento o i responsabili del trattamento che non sono soggetti al presente regolamento ai sensi dell'le='articoli' >articolo 3, al fine di fornire adeguate garanzie nel quadro dei trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali alle condizioni di cui all'le='articoli' >articolo 46, paragrafo 2, lettera e). Detti titolari del trattamento o responsabili del trattamento assumono l'impegno vincolante e azionabile, mediante strumenti contrattuali o di altro tipo giuridicamente vincolanti, di applicare le stesse adeguate garanzie anche per quanto riguarda i diritti degli interessati.
lass="normal">4. Il codice di condotta di cui al paragrafo 2 del presente articolo contiene i meccanismi che consentono all'organismo di cui all'le='articoli' >articolo 41, paragrafo 1, di effettuare il controllo obbligatorio del rispetto delle norme del codice da parte dei titolari del trattamento o dei responsabili del trattamento che si impegnano ad applicarlo, fatti salvi i compiti e i poteri delle autorità di controllo competenti ai sensi degli le='articoli' >articoli 55 o 56.
lass="normal">5. le associazioni e gli altri organismi di cui al paragrafo 2 del presente articolo che intendono elaborare un codice di condotta o modificare o prorogare un codice esistente sottopongono il progetto di codice, la modifica o la proroga all'autorità di controllo competente ai sensi dell'le='articoli' >articolo 55. l'autorità di controllo esprime un parere sulla conformità al presente regolamento del progetto di codice, della modifica o della proroga e approva tale progetto, modifica o proroga, se ritiene che offra in misura sufficiente garanzie adeguate.
lass="normal">6. Qualora il progetto di codice, la modifica o la proroga siano approvati ai sensi dell'le='articoli' >articolo 55, e se il codice di condotta in questione non si riferisce alle attività di trattamento in vari Stati membri, l'autorità di controllo registra e pubblica il codice.
lass="normal">7. Qualora il progetto di codice di condotta si riferisca alle attività di trattamento in vari Stati membri, prima di approvare il progetto, la modifica o la proroga, l'autorità di controllo che è competente ai sensi dell'le='articoli' >articolo 55 lo sottopone, tramite la procedura di cui all'le='articoli' >articolo 63, al comitato, il quale formula un parere sulla conformità al presente regolamento del progetto di codice, della modifica o della proroga o, nel caso di cui al paragrafo 3 del presente articolo, sulla previsione di adeguate garanzie.
lass="normal">8. Qualora il parere di cui al paragrafo 7 confermi che il progetto di codice di condotta, la modifica o la proroga è conforme al presente regolamento o, nel caso di cui al paragrafo 3, fornisce adeguate garanzie, il comitato trasmette il suo parere alla Commissione.
lass="normal">9. la Commissione può decidere, mediante atti di esecuzione, che il codice di condotta, la modifica o la proroga approvati, che le sono stati sottoposti ai sensi del paragrafo 8 del presente articolo, hanno validità generale all'interno dell'Unione. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 93, paragrafo 2.
lass="normal">10. la Commissione provvede a dare un'adeguata pubblicità dei codici approvati per i quali è stata decisa la validità generale ai sensi del paragrafo 9.
lass="normal">11. Il comitato raccoglie in un registro tutti i codici di condotta, le modifiche e le proroghe approvati e li rende pubblici mediante mezzi appropriati.
lass=>
lass="normal">2. l'organismo di cui al paragrafo 1 può essere accreditato a monitorare l'osservanza di un codice di condotta se esso ha:
lass="normal">a)
lass="normal">dimostrato in modo convincente all'autorità di controllo competente di essere indipendente e competente riguardo al contenuto del codice;
lass="normal">b)
lass="normal">istituito procedure che gli consentono di valutare l'ammissibilità dei titolari del trattamento e dei responsabili del trattamento in questione ad applicare il codice, di controllare che detti titolari e responsabili ne rispettino le disposizioni e di riesaminarne periodicamente il funzionamento;
lass="normal">c)
lass="normal">istituito procedure e strutture atte a gestire i reclami relativi a violazioni del codice o il modo in cui il codice è stato o è attuato da un titolare del trattamento o un responsabile del trattamento e a rendere dette procedure e strutture trasparenti per gli interessati e il pubblico; e
lass="normal">d)
lass="normal">dimostrato in modo convincente all'autorità di controllo competente che i compiti e le funzioni da esso svolti non danno adito a conflitto di interessi.
lass="normal">3. l'autorità di controllo competente presenta al comitato il progetto di criteri per l'accreditamento dell'organismo di cui al paragrafo 1 del presente articolo, ai sensi del meccanismo di coerenza di cui all'le='articoli' >articolo 63.
lass="normal">4. Fatti salvi i compiti e i poteri dell'autorità di controllo competente e le disposizioni del capo VIII, un organismo di cui al paragrafo 1 del presente articolo adotta, stanti garanzie appropriate, le opportune misure in caso di violazione del codice da parte di un titolare del trattamento o responsabile del trattamento, tra cui la sospensione o l'esclusione dal codice del titolare del trattamento o del responsabile del trattamento. Esso informa l'autorità di controllo competente di tali misure e dei motivi della loro adozione.
lass="normal">5. l'autorità di controllo competente revoca l'accreditamento dell'organismo di cui al paragrafo 1, se le condizioni per l'accreditamento non sono, o non sono più, rispettate o se le misure adottate dall'organismo violano il presente regolamento.
lass="normal">6. Il presente articolo non si applica al trattamento effettuato da autorità pubbliche e da organismi pubblici.
lass=>
lass="normal">2. Oltre all'adesione dei titolari del trattamento o dei responsabili del trattamento soggetti al presente regolamento, i meccanismi, i sigilli o i marchi approvati ai sensi del paragrafo 5 del presente articolo, possono essere istituiti al fine di dimostrare la previsione di garanzie appropriate da parte dei titolari del trattamento o responsabili del trattamento non soggetti al presente regolamento ai sensi dell'le='articoli' >articolo 3, nel quadro dei trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali alle condizioni di cui all'le='articoli' >articolo 46, paragrafo 2, lettera f). Detti titolari del trattamento o responsabili del trattamento assumono l'impegno vincolante e azionabile, mediante strumenti contrattuali o di altro tipo giuridicamente vincolanti, di applicare le stesse adeguate garanzie anche per quanto riguarda i diritti degli interessati.
lass="normal">3. la certificazione è volontaria e accessibile tramite una procedura trasparente.
lass="normal">4. la certificazione ai sensi del presente articolo non riduce la responsabilità del titolare del trattamento o del responsabile del trattamento riguardo alla conformità al presente regolamento e lascia impregiudicati i compiti e i poteri delle autorità di controllo competenti a norma degli le='articoli' >articoli 55 o 56.
lass="normal">5. la certificazione ai sensi del presente articolo è rilasciata dagli organismi di certificazione di cui all'le='articoli' >articolo 43 o dall'autorità di controllo competente in base ai criteri approvati da tale autorità di controllo competente ai sensi dell'le='articoli' >articolo 58, paragrafo 3, o dal comitato, ai sensi dell'le='articoli' >articolo 63. Ove i criteri siano approvati dal comitato, ciò può risultare in una certificazione comune, il sigillo europeo per la protezione dei dati.
lass="normal">6. Il titolare del trattamento o il responsabile del trattamento che sottopone il trattamento effettuato al meccanismo di certificazione fornisce all'organismo di certificazione di cui all'le='articoli' >articolo 43 o, ove applicabile, all'autorità di controllo competente tutte le informazioni e l'accesso alle attività di trattamento necessarie a espletare la procedura di certificazione.
lass="normal">7. la certificazione è rilasciata al titolare del trattamento o responsabile del trattamento per un periodo massimo di tre anni e può essere rinnovata alle stesse condizioni purché continuino a essere soddisfatti i requisiti pertinenti. la certificazione è revocata, se del caso, dagli organismi di certificazione di cui all'le='articoli' >articolo 43 o dall'autorità di controllo competente, a seconda dei casi, qualora non siano o non siano più soddisfatti i requisiti per la certificazione.
lass="normal">8. Il comitato raccoglie in un registro tutti i meccanismi di certificazione e i sigilli e i marchi di protezione dei dati e li rende pubblici con qualsiasi mezzo appropriato.
lass=>
lass="normal">a)
lass="normal">dall'autorità di controllo competente ai sensi degli le='articoli' >articoli 55 o 56;
lass="normal">b)
lass="normal">dall'organismo nazionale di accreditamento designato in virtù del regolamento (CE) n. 765/2008 del Parlamento europeo e del Consiglio (lass="super">20) conformemente alla norma EN-ISO/IEC 17065/2012 e ai requisiti aggiuntivi stabiliti dall'autorità di controllo competente ai sensi degli le='articoli' >articoli 55 o 56.
lass="normal">2. Gli organismi di certificazione di cui al paragrafo 1 sono accreditati in conformità di tale paragrafo solo se:
lass="normal">a)
lass="normal">hanno dimostrato in modo convincente all'autorità di controllo competente di essere indipendenti e competenti riguardo al contenuto della certificazione;
lass="normal">b)
lass="normal">si sono impegnati a rispettare i criteri di cui all'le='articoli' >articolo 42, paragrafo 5, e approvati dall'autorità di controllo competente ai sensi degli le='articoli' >articoli 55 o 56 o dal comitato, ai sensi dell'le='articoli' >articolo 63;
lass="normal">c)
lass="normal">hanno istituito procedure per il rilascio, il riesame periodico e il ritiro delle certificazioni, dei sigilli e dei marchi di protezione dei dati;
lass="normal">d)
lass="normal">hanno istituito procedure e strutture atte a gestire i reclami relativi a violazioni della certificazione o il modo in cui la certificazione è stata o è attuata dal titolare del trattamento o dal responsabile del trattamento e a rendere dette procedure e strutture trasparenti per gli interessati e il pubblico; e
lass="normal">e)
lass="normal">hanno dimostrato in modo convincente all'autorità di controllo competente che i compiti e le funzioni da loro svolti non danno adito a conflitto di interessi.
lass="normal">3. l'accreditamento degli organi di certificazione di cui ai paragrafi 1 e 2 del presente articolo ha luogo in base ai criteri approvati dall'autorità di controllo competente ai sensi degli le='articoli' >articoli 55 o 56 o dal comitato, ai sensi dell'articolo 63. In caso di accreditamento ai sensi del paragrafo 1, lettera b), del presente articolo, tali requisiti integrano quelli previsti dal regolamento (CE) n. 765/2008 nonché le norme tecniche che definiscono i metodi e le procedure degli organismi di certificazione.
lass="normal">4. Gli organismi di certificazione di cui al paragrafo 1 sono responsabili della corretta valutazione che comporta la certificazione o la revoca di quest'ultima, fatta salva la responsabilità del titolare del trattamento o del responsabile del trattamento riguardo alla conformità al presente regolamento. l'accreditamento è rilasciato per un periodo massimo di cinque anni e può essere rinnovato alle stesse condizioni purché l'organismo di certificazione soddisfi i requisiti.
lass="normal">5. l'organismo di certificazione di cui al paragrafo 1 trasmette all'autorità di controllo competente i motivi del rilascio o della revoca della certificazione richiesta.
lass="normal">6. I requisiti di cui al paragrafo 3 del presente articolo e i criteri di cui all'le='articoli' >articolo 42, paragrafo 5, sono resi pubblici dall'autorità di controllo in forma facilmente accessibile. le autorità di controllo provvedono a trasmetterli anche al comitato. Il comitato raccoglie in un registro tutti i meccanismi di certificazione e i sigilli di protezione dei dati e li rende pubblici con qualsiasi mezzo appropriato.
lass="normal">7. Fatto salvo il capo VIII, l'autorità di controllo competente o l'organismo nazionale di accreditamento revoca l'accreditamento di un organismo di certificazione di cui al paragrafo 1 del presente articolo, se le condizioni per l'accreditamento non sono, o non sono più, rispettate o se le misure adottate da un organismo di certificazione violano il presente regolamento.
lass="normal">8. Alla Commissione è conferito il potere di adottare atti delegati conformemente all'le='articoli' >articolo 92 al fine di precisare i requisiti di cui tenere conto per i meccanismi di certificazione della protezione dei dati di cui all'le='articoli' >articolo 42, paragrafo 1.
lass="normal">9. la Commissione può adottare atti di esecuzione per stabilire norme tecniche riguardanti i meccanismi di certificazione e i sigilli e marchi di protezione dei dati e le modalità per promuovere e riconoscere tali meccanismi di certificazione, i sigilli e marchi di protezione dei dati. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 93, paragrafo 2.
lass=>
dal 2004 diritto e informatica