Certificazioni privacy, a che punto siamo?

Come si apprende dal Considerando n. 100 al Regolamento UE 679/2016 (GDPR), al fine di migliorare la trasparenza e il rispetto del Regolamento dovrebbe essere incoraggiata l'istituzione di meccanismi di certificazione e sigilli nonché marchi di protezione dei dati che consentano agli interessati di valutare rapidamente il livello di tutela delle informazioni personali garantito dai relativi prodotti e servizi.

L'art. 42 GDPR, invece, specifica al par. 1 che gli Stati membri, le autorità di controllo, il Comitato e la Commissione incoraggiano, in particolare a livello di Unione, l'istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari e dai responsabili del trattamento. Sono chiaramente tenute in considerazione le esigenze specifiche delle micro, piccole e medie imprese.

Sommario Certificazioni e accountability Schemi di certificazione La privacy non resti lettera morta Conclusioni

1. Certificazioni e accountability

La certificazione assume un ruolo di fondamentale importanza nell'ottica dell'accountability, il principio di responsabilizzazione e rendicontazione che anima l'intero GDPR. Tale principio richiama i concetti di responsabilità, affidabilità e competenza ed è stato introdotto con la finalità di ottenere un rafforzamento degli obblighi di dimostrazione in capo al titolare, al responsabile e alle persone addette al trattamento dei dati. I titolari e le altre figure coinvolte nel trattamento dei dati devono garantire trasparenza, indipendenza e un’adeguata professionalità. Accountable, in tal senso, è infatti l'ente che, consapevole della delicatezza dei dati trattati, si adopera a garantire all'interessato la massima tranquillità su diversi fattori che - a titolo esemplificativo - possono essere: modalità di gestione degli stessi dati, esercizio dei diritti dell'interessato, tempi di conservazione dei dati, policy di cancellazione e distruzione dei documenti, misure di sicurezza tecniche e organizzative, analisi dei rischi sottesi al trattamento (e quindi giustificazione di un dato trattamento), ecc.

C'è però da specificare che la certificazione non dimostra di per sé la conformità dell'ente al Regolamento, ma costituisce un elemento a favore della predetta responsabilizzazione e rendicontazione.

Prendendo l’esempio concreto del Data Protection Officer (DPO o Responsabile per la Protezione dei Dati (RPD), il Regolamento o le altre disposizioni in materia non impongono il possesso di certificazioni. Come precisato dal recente “Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico” pubblicato dal Garante privacy, avere una certificazione non equivale, di per sé, a un’abilitazione allo svolgimento del ruolo, né può sostituire la corretta valutazione dei requisiti necessari.

In altre parole il titolare, sia esso pubblico o privato, deve in primo luogo dotarsi di soggetti competenti in materia tenendo conto anche - ma non solo - delle certificazioni possedute da questi, ed in secondo luogo dimostrare, più in generale, la propria conformità alle prescrizioni normative comunitarie in caso di verifiche ispettive.

2. Schemi di certificazione

Ad oggi non sono stati accreditati schemi ai sensi degli artt. 42 e 43, ma esistono comunque dei modelli in materia di data protection.

I principali sono l'UNI/PdR 43:2018, l'ISDP 10003:2020, l'ISO/IEC 27701:2019, e il BS 10012/2017. I primi due consentono di certificare un processo, un servizio o un prodotto, il terzo, diversamente, agisce sui controlli. L’ultimo si pone come obiettivo quello di fornire gli elementi per l’implementazione di un sistema di gestione della privacy.

Selezionato lo schema bisogna poi effettuare una gap analisi per individuare gli elementi che mancano ai fini della certificazione. Da ultimo, è necessario sottoporsi all’audit dell’organismo di certificazione (audit di terza parte).

3. La privacy non resti lettera morta

In ogni caso, a seguito della gap analisi, la produzione dei documenti non deve restare “lettera morta”. La data protection, essendo materia viva e cangiante - sempre ai fini della predetta accountability - deve necessariamente essere condivisa con i “soggetti privacy” della struttura, su tutti gli autorizzati ex art. 29 e i responsabili esterni ex art. 28 GDPR. Tali soggetti vanno adeguatamente istruiti. La direzione aziendale deve dunque promuovere la consapevolezza dello schema.

L’organizzazione inoltre deve anche effettuare audit periodici di verifica dello schema qualora, mutando un processo all'interno dell'ente, sia necessario ridefinire – ed eventualmente di nuovo istruire – i ruoli e le mansioni degli autorizzati al trattamento. Più in generale, occorre verificare che quanto realizzato sia effettivamente mantenuto nel tempo.

4. Conclusioni

Alla luce di quanto esposto finora, si può concludere che aderire a uno schema di certificazione – ancorché non accreditato ai sensi degli artt. 42 e 43 GDPR – ha comunque una sua forte validità in chiave di accountability.

L'autoregolamentazione del titolare del trattamento può costituire un passaggio intermedio e necessario prima di approdare a ciò che sarà opportunamente accreditato.

Del resto, con l’entrata in vigore del GDPR si è passati da un approccio formalistico della disciplina - tipico del D.Lgs. n. 196/2003 prima della modifica operata dal D.Lgs. n. 101/2018 - della data protection a uno sostanzialistico, orientato alla concreta affidabilità del soggetto che effettua il trattamento.

Inoltre, a conferma delle argomentazioni poc'anzi esposte, a mente dell'art. 83.2 lett. j), ricorrere a uno schema di certificazione è auspicabile anche poiché rappresenta uno di quei parametri che, in fase di verifica ispettiva, possono indurre l'autorità di controllo a mitigare eventuali sanzioni.

IN COLLABORAZIONE CON

>> Scopri tutte le date dei corsi in materia di Privacy di Altalex!