Le certificazioni per i trattamenti dei dati
Su Agenda Digitale, un approfondimento di Franco Pizzetti fornisce chiarimenti sulla tematica dei meccanismi per la certificazione delle procedure di trattamento dei dat, novità introdotta dagli articoli 42 e 43 del nuovo Regolamento (GDPR), per stimolare la conformità delle organizzazioni alle misure in materia di trattamento dei dati personali previste dallo stesso regolamento. Pizzetti spiega che la tematica è tuttora in divenire, perché ad oggi mancano alcuni passaggi istituzionali necessari a definire i dettagli per l’operatività, e prova a spiegare il senso di questa novità e cosa cambierà concretamente sia per le organizzazioni che opteranno per l’ottenimento di tale certificazione, sia per i soggetti che vorranno proporsi come certificatori autorizzati.
Fin dall’entrata in vigore del Gdpr - scrive l’esperto in apertura - il fatto che gli artt. 42 e 43 prevedessero e regolassero la possibilità per titolari e responsabili di ottenere la “certificazione Gdpr” dei trattamenti effettuati ha scatenato, almeno in Italia, una “corsa” a offrire certificazioni di vario tipo, seconda soltanto alla corsa, non meno impressionante, che si è verificata per proporsi come DPO.
Lo Stato italiano, dal canto suo, ha fatto la sua parte, individuando l’Organismo nazionale di accreditamento – Accredia – il quale però non può ancora esercitare alcuna attività di accreditamento né possono esservi organismi di certificazione accreditati. Occorre infatti attendere la conclusione dei lavori da parte del Comitato dei garanti europei (EDPB), che dovrebbe avvenire a breve.
Nel frattempo, il problema centrale – e l’obiettivo primario delle considerazioni a seguire – è quello di proteggere titolari e responsabili dal non cessato attacco di “certificatori” più o meno consapevoli di quanto offrono e di quanto ciò che propongono sia, molto spesso, del tutto estraneo alla logica del GDPR.
In secondo luogo, queste riflessioni hanno anche il fine di stimolare, fin da ora, le società di certificazione e gli studi professionali che vogliano svolgere anche attività di certificazione di mettersi in condizione di essere compliant col Gdpr e le sue norme attuative, assicurando le professionalità necessarie.
L’importanza della certificazione
L’art. 42, paragrafo 1, del Gdpr contiene una norma di fondamentale importanza per questa materia, che recita:
“Gli Stati membri, le Autorità di controllo, il Comitato e la Commissione incoraggiano, in particolare a livello di Unione, l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari e dai responsabili del trattamento. Sono tenute in considerazione le esigenze specifiche delle micro, piccole e medie imprese.”
L’art. 42, terzo e quarto paragrafo, specificano inoltre che:
“La certificazione è procedura volontaria e accessibile tramite procedura trasparente” e che essa “non riduce la responsabilità del titolare e del responsabile del trattamento riguardo alla conformità al presente regolamento e lascia impregiudicati i compiti e i poteri delle Autorità di controllo di cui agli articoli 55 e 56.”
Infine, sempre l’art. 42, al paragrafo quinto, stabilisce che:
“La certificazione ai fini del presente articolo è rilasciata dagli organismi di certificazione di cui all’art. 43 o dall’autorità di controllo competente in base ai criteri approvati da tale autorità di controllo competente ai sensi dell’art. 58, paragrafo 3 o del comitato (EDPB), ai sensi dell’art. 63. Ove i criteri siano approvati dal comitato ciò può risultare in una certificazione comune, il sigillo europeo per la protezione dei dati personali”.
L’art. 43, dedicato ai meccanismi e agli organismi di certificazione specifica al primo paragrafo che:
“Fatti salvi i compiti e i poteri dell’Autorità di controllo competente di cui agli art. 57 e 58, gli organismi di certificazione in possesso del livello adeguato di competenze riguardo alla protezione dei dati, rilasciano e rinnovano la certificazione, dopo aver informato l’Autorità di controllo al fine di consentire alla stessa di esercitare i suoi poteri a norma del paragrafo 2, lettera h) ove necessario.
Gli Stati membri garantiscono che tali organismi di certificazione siano accreditati da uno o da entrambi dei seguenti organismi:
- Dall’autorità di controllo competente ai sensi degli artt. 55 o 56;
- Dall’organismo nazionale di accreditamento designato in virtù del Regolamento (CE) n. 764/2008 del Parlamento e del Consiglio conformemente alla norma EN-ISO/EC 17065/2012 e ai requisiti aggiuntivi stabiliti dall’Autorità di controllo cmpetente ai sensi degli art. 55 o 56”.
L’art. 43 secondo paragrafo contiene poi una lunga serie di specificazioni, che vanno dalla lettera a) alla lettera e), riguardo ai requisiti che comunque, al di là di quanto prescritto dalle Autorità nazionali o dall’EDPB, gli organismi di certificazione devono possedere per poter essere accreditati e poter svolgere la loro attività.
Obiettivi della certificazione
Il quadro normativo relativo alle certificazioni contenuto negli artt. 42 e 43, dei quali peraltro si sono riportati qui solo gli aspetti più rilevanti, consente di sottolineare alcuni punti essenziali:
- la certificazione è sempre una scelta volontaria dei titolari o dei responsabili;
- la certificazione deve sempre essere accessibile sulla base di procedure trasparenti;
- la certificazione riguarda sempre e solo trattamenti di dati personali e ha lo scopo di dimostrare che i trattamenti effettuati dai titolari o dai responsabili che siano stati certificati secondo le modalità previste dagli artt. 42 e 43 sono conformi al GDPR;
- la certificazione tuttavia non riduce la responsabilità del titolare o del responsabile né i compiti e i poteri delle Autorità di controllo.
A prima vista, leggendo in modo coordinato questi aspetti, sarebbe ragionevole chiedersi non tanto perché, come vuole l’art. 42, primo paragrafo, l’Unione Europea e gli Stati membri siano spinti a incoraggiare l’istituzione di meccanismi di certificazione, quanto perché i titolari e i responsabili dovrebbero avere interesse a chiedere tali certificazioni. Tanto più che, come si è sottolineato, esse non riguardano direttamente l’impresa o l’ente o il soggetto giuridico che trattano dati personali, ma gli specifici trattamenti che essi possono porre in essere nell’ambito delle attività svolte.
Una prima riposta la offre il Considerando 100 che afferma: “al fine di migliorare la trasparenza e il rispetto dovrebbe essere incoraggiata l’istituzione di meccanismi di certificazione e sigilli nonché marchi che consentano agli interessati di valutare rapidamente il livello di protezione dei dati dei relativi prodotti o servizi”.
Dunque, dal punto di vista del GDPR, l’obiettivo principale della certificazione riguarda da un lato la trasparenza del trattamento e il suo rispetto del GDPR e dall’altro l’incremento della fiducia degli interessati che, grazie alla certificazione, possono “valutare rapidamente il livello di protezione dei loro dati” assicurato da chi fornisce i prodotti o i servizi.