Il Regolamento europeo per la protezione dei dati personali introduce le certificazioni dei trattamenti dei dati, nonché di sigilli e marchi di protezione dei dati, allo scopo di dimostrare la conformità al regolamento dei trattamenti effettuati dai titolari e dai responsabili del trattamento.
Gli articoli 42 e 43 del regolamento europeo si occupano di disciplinare la materia.
E' importante chiarire subito che l'adozione di processi di trattamento dei dati certificati non riduce le responsabilità del titolare e del responsabile del trattamento, in quanto l'autorità di controllo può comunque contestare eventuali non conformità al regolamento anche in presenza delle certificazioni. Queste però si rivelano degli strumenti utili per dimostrare l'impegno concreto, valutato da un ente terzo, nel conformarsi al regolamento europeo, e nell'adottare delle misure di sicurezza efficaci. Insomma sono uno strumento di accountability e in tal senso possono anche servire a mitigare una sanzione in caso di eventuale contestazione da parte dell'autorità competente. Le certificazione, inoltre, appaiono un modo per superare problematiche pratiche nell'attuazione della regolamentazione a tutela dei dati personali, non incontrando i limiti delle regole giuridiche ed essendo identiche per tutti gli Stati.
Ovviamente la certificazione non è obbligatoria. E' rilasciata al titolare del trattamento per un periodo massimo di tre anni, può essere rinnovata purché permangano i requisiti previsti, in caso contrario può essere revocata.
I punti essenziali che dovranno presumibilmente prevedere le certificazioni sono:
- valutazione del rischio;
- conformità alle norme di riferimento;
- notifica delle violazioni (data breach) entro le 72 ore;
- gestione delle risorse dell'azienda, con classificazione dei dati e responsabilità collegate;
- privacy by design.
La certificazione può essere rilasciata direttamente dal Garante oppure, in alternativa, da organismi di certificazione che si siano preventivamente accreditati presso il Garante o presso l'organismo nazionale di accreditamento. Per l'Italia l'organismo nazionale di accreditamento è Accredia, ente unico nazionale designato dal governo in base al regolamento UE 765/08. Se l'accreditamento è effettuato dall'organismo nazionale di accreditamento in conformità alla norma ISO/IEC 17065/2012, devono essere applicati anche i requisiti aggiuntivi stabiliti dall'autorità di controllo competente. Il Garante italiano non rilascia certificazioni in base al GDPR, per cui saranno solo gli organismi accreditati da Accredia a rilasciare tali certificazioni.
Per accreditarsi gli organismi dovranno dimostrare di possedere determinati requisiti, in particolare di essere soggetti indipendenti, non in conflitto di interessi, competenti in materia, e che abbiano formalizzato specifiche procedure per il rilascio, il riesame e il ritiro delle certificazioni. Gli organismi di certificazione accreditati sono responsabili delle valutazioni che compiono e delle certificazioni rilasciate, salvo specifiche responsabilità dei titolari del trattamento.
Attualmente non esistono ancora certificazioni accreditate in base al GDPR, come precisa Accredia, ma esistono certificazioni privacy con le quali le aziende e i professionisti possono esibire l’attestazione indipendente di un organismo di parte terza e ottenere vantaggi in termini di sicurezza, efficacia e competitività.
Il Garante italiano ha rilasciato delle FAQ in materia di certificazioni.
