Il Regolamento europeo per la protezione dei dati personali introduce le certificazioni dei trattamenti dei dati, nonché di sigilli e marchi di protezione dei dati, allo scopo di dimostrare la conformità al regolamento dei trattamenti effettuati dai titolari e dai responsabili del trattamento.
Gli articoli 42 e 43 del regolamento europeo si occupano di disciplinare la materia.
La certificazione e l'accreditamento
La certificazione è una attestazione rilasciata da una parte terza relativamente ad un prodotto, un processo o un servizio, sottoposto a valutazione di conformiutà rispetto a requisiti previsti in una norma tecnica. La parte terza, anche detta Organismo di Certificazione (OdC) se dimostra di essere competente e imparziale, può ottenere l'accreditamento. In tal modo può rilasciare certificazioni accreditate. L'attività di accreditamento è disciplinata a livello europeo e internazionale. Per l'Italia l'organismo nazionale di accreditamento è Accredia, ente unico nazionale designato dal governo in base al regolamento UE 765/08. Per accreditarsi gli OdC dovranno dimostrare di possedere determinati requisiti, in particolare di essere soggetti indipendenti, non in conflitto di interessi, competenti in materia, e che abbiano formalizzato specifiche procedure per il rilascio, il riesame e il ritiro delle certificazioni. Gli organismi di certificazione accreditati sono responsabili delle valutazioni che compiono e delle certificazioni rilasciate, salvo specifiche responsabilità dei titolari del trattamento.
La certificazione può essere rilasciata direttamente dal Garante oppure, in alternativa, da organismi di certificazione che si siano preventivamente accreditati presso il Garante o presso l'organismo nazionale di accreditamento (Accredia). Le certificazione in base al GDPR devono essere rilasciate da OdC accreditati in base alla norma tecnica ISO/IEC 17065:2012 (Art. 43 GDPR) e ai requisiti aggiuntivi stabiliti dall'autorità di controllo competente. Il Garante italiano allo stato non rilascia certificazioni in base al GDPR, per cui saranno solo gli organismi accreditati da Accredia a rilasciare tali certificazioni.
A questo proposito occorre chiarire che le certificazioni in base al GDPR e le certificazioni privacy non sono la stessa cosa. Queste ultime sicuramente hanno un certo valore negli ambiti di riferimento ma le certificazioni in base al GDPR devono essere rilasciate in base alla norma ISO 17065 che prevede la certtificazione di prodotti, processi e servizi, non quindi di un sistema di gestione. Ad esempio la ISO 27001 risponde solo parzialmente alle esigenze di sicurezza tecnica e organizzativa richieste dal GDPR, poiché si focalizza sulle informazioni aziendali in generale e non sui dati personali degli interessati (che finiscono per essere un sottogruppo).
Inoltre, l'adozione di processi di trattamento dei dati certificati non riduce le responsabilità del titolare e del responsabile del trattamento, in quanto l'autorità di controllo può comunque contestare eventuali non conformità al regolamento anche in presenza delle certificazioni. Queste però si rivelano degli strumenti utili per dimostrare l'impegno concreto, valutato da un ente terzo, nel conformarsi al regolamento europeo, e nell'adottare delle misure di sicurezza efficaci. Insomma sono uno strumento di accountability e in tal senso possono anche servire a mitigare una sanzione in caso di eventuale contestazione da parte dell'autorità competente. Le certificazione, inoltre, appaiono un modo per superare problematiche pratiche nell'attuazione della regolamentazione a tutela dei dati personali, non incontrando i limiti delle regole giuridiche ed essendo identiche per tutti gli Stati.
Ovviamente la certificazione non è obbligatoria. E' rilasciata al titolare del trattamento per un periodo massimo di tre anni, può essere rinnovata purché permangano i requisiti previsti, in caso contrario può essere revocata.
I punti essenziali che dovranno presumibilmente prevedere le certificazioni sono:
- valutazione del rischio;
- conformità alle norme di riferimento;
- notifica delle violazioni (data breach) entro le 72 ore;
- gestione delle risorse dell'azienda, con classificazione dei dati e responsabilità collegate;
- privacy by design.
Attualmente non esistono ancora certificazioni accreditate in base al GDPR, come precisa Accredia, ma esistono certificazioni privacy con le quali le aziende e i professionisti possono esibire l’attestazione indipendente di un organismo di parte terza e ottenere vantaggi in termini di sicurezza, efficacia e competitività.
Il Garante italiano ha rilasciato delle FAQ in materia di certificazioni.
