Certificazione e accreditamento nel Regolamento dati
Su Agenda Digitale è stato pubblicato l’approfondimento “Gdpr, certificazione e accreditamento: che c’è da sapere”, a firma di Riccardo Giannetti. Nell’abstract si legge quanto segue: “La certificazione volontaria a tutela delle persone fisiche con riguardo al trattamento e la libera circolazione dei dati personali è un’importante innovazione introdotta dal GDPR. Tutto quello che c’è da sapere sull’istituto della certificazione, l’accreditamento, i requisiti aggiuntivi e i criteri approvati”.
Con la definizione del “Principio di Responsabilizzazione” (artt. 5.2 e 24) - scrive Giannnetti in apertura - il legislatore mette il titolare del trattamento nella condizione di dover essere sempre pronto a dimostrare di aver rispettato e di essersi conformato agli obblighi identificati nel regolamento.
Nei fatti, con quali strumenti il titolare potrà dimostrare di aver attuato quelle misure tecniche e organizzative adeguate?
Ed ancora, come potrà il titolare dimostrare che tale adeguatezza sia valida per tutta l’organizzazione e che le misure siano realmente riesaminate e aggiornate qualora necessario per garantire ed essere in grado di dimostrare che il trattamento sia effettuato conformemente al regolamento?
L’istituto della certificazione
Le risposte sono nell’art. 42.1 e nel considerando 100.
L’introduzione dell’istituto della certificazione consente di attestare pubblicamente il livello di conformità dell’azienda. L’organizzazione certificata relativamente ai processi, prodotti e servizi aziendali a cui è applicabile, fornisce garanzia verso le parti interessate dell’adozione di un metodo di analisi e controllo dei principi e delle norme di riferimento.
Il GDPR pertanto, ha assegnato un ruolo fondamentale a strumenti di regolamentazione volontaria, noti come “soft law”; questi non sono obbligatori ma nel momento in cui il Titolare o il Responsabile del trattamento decidono di adottarli, diverrà obbligatorio supportare l’Organismo di certificazione (CaBs) con tutte le informazioni necessarie (art.42.6).
Va detto inoltre che la certificazione di per sé non rappresenta la prova assoluta di conformità del titolare, ma costituisce un valido elemento di giudizio per supportare l’accountability dello stesso o del responsabile del trattamento.
A ben leggere l’articolo 42.1, risulta evidente come il GDPR attribuisca agli Stati membri, alle autorità di controllo, al comitato e alla commissione, in termini di certificazione, il solo ruolo di «incoraggiare» in particolare (anche se non in via esclusiva) – a livello EU – «meccanismi» di certificazione della protezione dei dati allo scopo di dimostrare la conformità al regolamento.
L’utilizzo del verbo «incoraggiare» inoltre – nella logica del legislatore europeo – potrebbe essere letto come la volontà di attuare misure di stimolo, nell’ambito delle rispettive competenze, indirizzate a tutti quei soggetti in grado di elaborare processi e schemi di certificazione nuovi e utili a coprire le esigenze introdotte dal nuovo regolamento, compresi gli scheme owner (cfr. WP29 n. 261).
Inoltre, con il termine meccanismo, usato nella sua forma plurale «meccanismi» (art. 4.1), il legislatore ha inteso introdurre un sistema basato su un’ampia pluralità di schemi, giustificando di fatto l’impiego della norma internazionale ISO/IEC 17065:2012, a vantaggio principalmente delle esigenze delle micro, piccole e medie imprese e di una specificità settoriale.
A tal proposito giova ricordare che, già nel settembre 2014, l’Autorità Garante Uk, ICO, chiese a tutti i soggetti interessati (ICO privacy seals project Framework criteria – draft consultation v.1.3) documentazione utile a produrre schemi di certificazione, «incoraggiando» di fatto quanto richiamato dall’art. 42.1
Più nel dettaglio, il documento richiamava alcuni “criteri” che, gli eventuali nuovi schemi di certificazione avrebbe dovuto soddisfare (pag. 5):
- Essere un nuovo schema di certificazione protezione dei dati personali
- Dover coprire il trattamento dei dati personali in Uk
- Essere rivolto al consumatore, e promuovere la fiducia dei consumatori e la protezione dei dati dei consumatori
- Essere basato sulla certificazione di prodotto, processo e servizio (EN-ISO/IEC 17065:2012)...