Il 14 luglio l’Autorità Garante per la Protezione dei Dati Personali ha pubblicato, insieme all’Ente unico nazionale di accreditamento degli organismi di certificazione (Accredia), delle nuove FAQ al fine di chiarire alcune questioni di carattere generale relative ai meccanismi di certificazione ex artt. 42 e 43 del Regolamento EU 2016/679 (GDPR).
Queste FAQ sono state elaborate dal Garante e Accredia nell’ambito di una convenzione finalizzata allo scambio di informazioni in relazione alle attività di certificazione e accreditamento previste dal GDPR.
Indice degli argomenti
Certificazione GDPR: cosa dicono le FAQ
Il documento ha come obiettivo quello di fornire informazioni utili ai titolari e responsabili del trattamento che sono interessati ad intraprendere un percorso volto al conseguimento di tale attestazione di impegno.
Infatti, per un’azienda o una PA, l’ottenimento di una certificazione GDPR – rilasciata da parte di un ente terzo e indipendente – consente ai soggetti con cui questa instaura rapporti (siano essi altre imprese o consumatori finali) di poter fare affidamento sul fatto che un determinato trattamento di dati personali soddisfi i requisiti imposti dalla normativa applicabile.
A tale proposito, già durante i lavori preparatori del GDPR, il WP29 aveva rilevato come la certificazione volontaria potesse rappresentare un fondamentale strumento in grado di favorire la responsabilizzazione delle imprese al rispetto della disciplina europea in materia di protezione dei dati.
Definizioni: certificazione e accreditamento
Con la pubblicazione delle FAQ il Garante ha voluto preliminarmente chiarire che la certificazione è un’attestazione di conformità rilasciata da un Organismo di certificazione (OdC) e che l’accreditamento è una forma indipendente e autorevole di attestazione della terzietà, della competenza, dell’imparzialità e dell’adeguatezza degli organismi di valutazione di conformità.
L’Autorità ha specificato anche che una certificazione può definirsi “accreditata” qualora di questa venga data evidenza da un ente unico nazionale di accreditamento.
I vantaggi della certificazione
Il Garante indica quali sono i vantaggi di cui un soggetto può beneficiare a seguito dell’ottenimento di una certificazione GDPR.
In termini generali, l’Autorità indica che un soggetto che si certifica si pone nella condizione di dimostrare a clienti e fornitori la propria capacità di organizzare processi e risorse in conformità ai requisiti previsti dalla normativa ai sensi della quale ha ottenuto la certificazione e di garantire il mantenimento della conformità dei prodotti commercializzati o dei servizi erogati (evidenza della conformità può essere data tramite l’apposizione di un sigillo sui supporti relativi al prodotto/servizio/processo per il quale è stata ottenuta la certificazione).
Il Garante ha precisato anche che, nel caso di certificazione di persone, l’attestazione ha la funzione di garantire che un determinato individuo sia in possesso delle abilità, delle conoscenze e delle competenze richieste per lo svolgimento di determinate attività professionali.
Inoltre, una certificazione “accreditata” consente a chi la ottiene di esibire sul mercato un’attestazione riconosciuta a livello internazionale in ragione di Accordi di mutuo riconoscimento, di porsi nella condizione di soddisfare i requisiti previsti da bandi di gara e di poter svolgere attività specifiche in settori regolamentati gestiti dalla PA.
Certificazione del trattamento dati per i fornitori di servizi: un’opportunità per tutti
Le certificazioni GDPR
Entrando poi nel merito delle certificazioni GDPR, il Garante, alla FAQ numero 4, fa espresso riferimento al Considerando 100 del Regolamento che rileva come l’istituzione di meccanismi di certificazione possa incrementare la trasparenza e il rispetto della disciplina europea, permettendo ai soggetti interessati di valutare rapidamente e in modo efficace il livello di protezione dei dati garantito dai prodotti e dai servizi presenti sul mercato.
Alla FAQ numero 5 vengono poi indicati i tre soggetti coinvolti nel processo di certificazione, nello specifico:
- l’impresa o l’ente che desidera ottenere la certificazione;
- l’organismo di certificazione (Odc) accreditato che è tenuto a rilasciare le certificazioni a seguito dello svolgimento di attività di verifica e che è chiamato a vigilare sulla corretta gestione dei certificati;
- l’ente di accreditamento che accredita gli OdC e che effettua controlli periodici in relazione al mantenimento di specifici requisiti da parte degli stessi (in Italia tale ente è stato identificato in Accredia).
Alla FAQ numero 9 il Garante chiarisce che una certificazione GDPR possa essere richiesta da qualunque soggetto in qualità di titolare o responsabile del trattamento al fine di dimostrare la propria conformità al GDPR.
L’autorità precisa anche che, ai sensi del GDPR, una certificazione debba essere rilasciata sulla base di schemi approvati dalle competenti autorità di controllo (attualmente nessuno schema risulta essere stato approvato).
A tal proposito, alla FAQ 7, viene specificato che un sigillo europeo per la protezione dei dati personali è uno schema di certificazione sviluppato per essere utilizzato in tutti gli Stati Membri dell’Unione e che dovrà tener in considerazione le eventuali peculiarità delle diverse normative nazionali applicabili al trattamento oggetto di certificazione.
Cosa può essere certificato ai sensi del GDPR?
Sulla base di quanto previsto dal GDPR e indicato nelle Linee Guida 1/2018 dell’EDPB, il Garante alla FAQ numero 6 ha esplicitato che oggetto della certificazione ai sensi del GDPR è un trattamento di dati personali.
L’Autorità ha specificato anche che, qualora uno o più trattamenti di dati personali siano configurabili come un prodotto o un servizio, oggetto della certificazione potrà essere anche tale prodotto o tale servizio.
Sulla base di questa affermazione possiamo quindi ritenere che non potrà essere certificato ai sensi del GDPR un singolo prodotto, come un software o un asset IT. Un asset IT potrà infatti essere certificato solo nell’eventualità in cui costituisca parte integrante di un’attività di trattamento realizzata da un titolare o da un responsabile (es. software utilizzato in ambito HR per il trattamento di dati personali dei dipendenti).
A questo proposito l’Autorità evidenzia l’importanza che l’oggetto della certificazione venga indicato in maniera chiara sul certificato al fine di rendere comprensibile a chiunque l’effettivo ambito della certificazione in oggetto.
Soggetti legittimati al rilascio delle certificazioni GDPR
Alla FAQ numero il Garante precisa che, nonostante il GDPR preveda che tra i soggetti legittimati al rilascio delle certificazioni GDPR vi siano anche le Data Protection Authority, l’Autorità Garante per la Protezione dei Dati Personali in Italia non rilascia certificazioni.
Una volta che Accredia avrà provveduto ad accreditare gli Organismi di Certificazione (anche sulla base dei requisiti ulteriori di accreditamento approvati con la delibera n. 148 del 29 luglio 2020) saranno questi ultimi i soggetti tenuti all’erogazione delle certificazioni alle imprese e agli enti che, in qualità di titolari o responsabili del trattamento, ne faranno richiesta.
L’Autorità indica anche che, qualora un organismo di certificazione rilevi una non conformità in relazione ad un requisito di certificazione questo sia tenuto ad esaminare tale non conformità e a prendere azioni adeguate che potranno consistere:
- nel mantenimento della certificazione sotto condizioni specificate dall’OdC;
- nella sospensione della certificazione;
- nella revoca della certificazione o nella riduzione del suo campo di applicazione.
A questo proposito viene evidenziato che anche il Garante per la Protezione dei Dati Personali è dotato del potere di ingiungere a un organismo di certificazione di non rilasciare una certificazione ad un determinato soggetto o di revocarla qualora vi siano evidenze che uno o più requisiti non siano soddisfatti.
Certificazione GDPR e altre certificazioni
Con la FAQ numero 12 il Garante intende fare chiarezza in merito all’ambito e alla portata delle certificazioni GDPR, della norma UNI 11697: 2017 e della Prassi di riferimento UNI/PdR 66:2019.
L’Autorità chiarisce che la norma UNI 11697: 2017 e la UNI/PdR 66:2019 definiscono i requisiti di competenza e le regole per la valutazione di conformità di alcune figure professionali che operano nel settore data protection e specifica e che, in quanto orientate alla certificazione di persone fisiche, le certificazioni ottenute ai sensi di tali standard non debbano considerarsi disciplinate dall’art. 42 del GDPR.
L’Autorità precisa però anche che il possesso di una certificazione rilasciata sulla base della UNI 11697: 2017 rappresenta uno strumento idoneo per dimostrare le conoscenze, abilità e competenze di professionisti che saranno chiamati a svolgere un ruolo di primaria importanza nell’ambito delle verifiche effettuate dagli OdC al fine dell’erogazione delle certificazioni ai sensi del GDPR.
