Sebbene il Regolamento UE 679/2016 (meglio conosciuto come GDPR) non fornisca una definizione di certificazione nell’ambito della protezione dei dati personali, nelle Linee Guida del Comitato europeo per la protezione dei dati personali (EDPB) viene riconosciuta la definizione fornita da ISO ovvero: “l’attestazione, da parte di un organismo indipendente, tramite un documento scritto (il certificato), che il prodotto, il servizio o il sistema in questione soddisfa gli specifici parametri richiesti”.
Se vogliamo fornire una definizione generale, possiamo dire che l’attività di certificazione consiste nella valutazione, verifica ed attestazione, da parte di un organismo terzo ed indipendente (c.d. organismo di certificazione), non tanto della qualità, come comunemente intesa (ossia con un valore positivo, di pregio), quanto della mera conformità a determinati parametri di un prodotto o un servizio, di un sistema produttivo o del personale (c.d. impresa certificata).
L’esito positivo di tale controllo si conclude attraverso il rilascio di un attestato di certificazione e della licenza di utilizzazione di un marchio, di solito rappresentato attraverso simboli o sigle.
Indice degli argomenti
Normativa sulla certificazione nell’ambito della protezione dei dati
A partire dalla prima metà degli Anni 90 del secolo scorso incominciano a comparire contrassegni di qualità, chiamati con il termine Web Assurance Services, WASS i quali non erano collegati alla protezione dei dati personali, bensì intendevano essere dimostrazione di affidabilità del venditore online.
Il principale problema di tali contrassegni era la loro promozione. Infatti, le società di maggiori dimensioni non si sentivano incoraggiate a fare certificare le loro procedure in materia di protezione dei dati personali; al contrario, i siti Internet, più marginali, cercavano di incrementare il proprio numero di utilizzatori esibendo i contrassegni in loro possesso.
In questa situazione si inserisce la normativa sulla certificazione nell’ambito della protezione dei dati personali.
Sebbene il GDPR definisca all’art. 42 par. 2 la certificazione come volontaria, la stessa deve essere, più propriamente, qualificata quale certificazione regolamentata. La certificazione regolamentata, inoltre, altro non è che una forma di certificazione obbligatoria.
Infatti, sebbene l’accesso alla certificazione sia una scelta spontanea, le regole del sistema sono fissate dalle autorità competente e, come tali, hanno carattere cogente. La conformità a tali regole costituisce quindi una certificazione obbligatoria.
Alla luce della dettagliata disciplina relativa al meccanismo di certificazione, si pone la questione relativa al rapporto tra la eventuale responsabilità del certificatore, per inadempimento oppure inesatto adempimento, rispetto alla responsabilità del titolare del trattamento dei dati.
Ente certificatore e impresa certificata: i giusti rapporti
Il rapporto intercorrente tra l’ente certificatore e l’impresa certificata avviene attraverso il contratto di certificazione di qualità. Si tratta di un contratto con cui una parte, terza ed indipendente (che opera, cioè in modo imparziale e senza conflitti di interesse rispetto all’impresa richiedente e a tutti i suoi skateholders, ma non certo in posizione di “terzietà” rispetto al contratto, essendo essa stessa “parte” contrattuale”), assume l’obbligo di svolgere l’attività di certificazione di qualità verso un corrispettivo in denaro.
Tale attività, che si articola in varie fasi, comprende una serie di atti e comportamenti diretti a verificare la conformità del prodotto, servizio, sistema o figura professionale agli standard previsti dalla normativa di riferimento.
L’atto fondamentale, ma non necessariamente conclusivo, di questa articolata attività è il rilascio o il diniego della certificazione: solitamente, infatti, al rilascio della certificazione, segue un’ulteriore attività di controllo finalizzata a consentire il mantenimento della stessa.
Lo stesso avviene anche in ambito di trattamento dei dati personali: l’art. 42 par. 7 prevede che la certificazione possa essere revocata ove non siano o non siano più soddisfatti i requisiti per la certificazione stessa.
Ciò, implica, evidentemente, una attività di verifica della persistenza dei requisiti originariamente presenti che avevano determinato il rilascio della certificazione.
Il contratto di certificazione è un contratto consensuale ad effetti obbligatori, bilaterale, sinallagmatico, oneroso e di durata.
Si tratta di una figura contrattuale nata dalla prassi.
Gli obblighi del certificatore
In forza del contratto di certificazione nascono in capo al certificatore una pluralità di obbligazioni. Due sono, essenzialmente, le obbligazioni principali: la prima, relativa alla c.d. fase istruttoria, consiste nell’espletamento di un’attività di ispezione e verifica della conformità.
La seconda consiste nell’emissione di un giudizio scritto sulla conformità ovvero non conformità riscontrata, con conseguente rilascio (o non rilascio) della relativa certificazione.
È importante sottolineare che il rilascio della certificazione non costituisce affatto obbligo del certificatore: egli, infatti, è tenuto unicamente a garantire un giudizio circa la sussistenza o meno della conformità dell’oggetto della certificazione agli standard di riferimento.
L’obbligo primario del certificatore consiste, pertanto, nel fornire una informazione completa ed attendibile circa l’esistenza di determinate qualità del prodotto o del sistema, con assoluto divieto di suggerire eventuali soluzioni progettuali per rendere conformi prodotti che non lo siano.
Agli obblighi principali del certificatore si aggiungono, inoltre, obblighi accessori ulteriori, in particolare:
- di imparzialità,
- di adeguata competenza tecnica,
- di trasparenza.
Fra le obbligazioni accessorie si possono ancora menzionare quelle di:
- riservatezza e segretezza,
- di non subappaltare,
- di non svolgere attività di consulenza, di informazione e di comunicazione.
Gli obblighi dell’impresa certificata
Per quanto riguarda l’impresa committente, oltre all’obbligo di pagare il corrispettivo pattuito, essa è tenuta ad una serie di comportamenti di “collaborazione” al fine di consentire lo svolgimento dell’attività di valutazione, che vanno dagli obblighi di informazione e comunicazione a quelli di consentire l’accesso in qualsiasi momento sia alle documentazioni ed ai registri aziendali, sia ai locali oggetto delle verifiche.
Nell’ambito del trattamento dei dati personali, esplicitamente, il Regolamento all’art. 42 par. 6, prevede che il titolare del trattamento o il responsabile che si sottopone al meccanismo di certificazione fornisca all’organismo di certificazione – o all’autorità di controllo – tutte le informazioni e l’accesso alle attività di trattamento necessarie a espletare la procedura di certificazione.
Da questa analisi emerge chiaramente che il certificatore non assume alcun obbligo circa l’esito positivo dell’attività svolta, né, di conseguenza, è obbligato ad emettere il relativo certificato.
È altresì vero che egli ha il potere-dovere non soltanto di rilevare la sussistenza di eventuali “non conformità”, ma anche, ove presenti, di negare la certificazione richiesta.
Posto ciò, un eventuale inadempimento o inesatto adempimento del certificatore può consistere nel mancato rilascio di una certificazione che doveva, invece, essere rilasciata; oppure concretizzarsi nella violazione di altri obblighi sullo stesso gravanti (obblighi di riservatezza, di segretezza ecc.).
Sicuramente, tuttavia, il caso più frequente rappresenta l’inadempimento attraverso il rilascio di certificazione che non doveva essere rilasciata.
Il Tribunale di Piacenza ha affermato che: “nell’ipotesi di certificazione accertata essere non veritiera si configurerà di per sé l’inadempimento del debitore certificatore, con la conseguenza che graverà su questi fornire la prova dell’assenza di tale inesatto adempimento ovvero la prova della riconducibilità di essa ad una causa a lui non imputabile”. Non sarà sufficiente, per dimostrare l’adempimento, che l’ente certificatore operi in modo “formalmente” corretto, quanto alla procedura di certificazione, effettuando i controlli secondo un iter preciso e affidandosi parzialmente a documenti redatti da altri organismi certificatori: il controllo dovrà concreto e globale circa l’effettiva sicurezza alla luce delle regole tecniche di settore.
Le responsabilità nell’ambito delle certificazioni
Il mancato rilascio della certificazione dovuta oppure l’emissione di una certificazione non veritiera comportano una responsabilità dell’ente di certificazione in applicazione dell’art. 1218 codice civile.
Il certificatore che viola le regole e rilascia una certificazione non veritiera pregiudica, ancor prima che l’interesse dei singoli a confidare sulla sicurezza e la qualità dei prodotti e/o offerti, l’interesse fondamentale alla “tutela di un circuito informativo efficiente” che lo stesso legislatore europeo considera essenziale per il funzionamento di un mercato competitivo, nel quale il consumatore possa scegliere, anziché subire tali prodotti, servizi o sistemi organizzativi.
La Corte di Giustizia si è occupata di responsabilità dell’organismo notificato in merito all’immissione in commercio di dispositivi medici difettosi (nella specie protesi mammarie) stabilendo che, in ipotesi di inadempimento colpevole ne può sorgere per l’organismo di certificazione responsabilità nei confronti dei destinatari dei dispositivi medici difettosi.
L’individuazione della tipologia della responsabilità rientra nel diritto nazionale: nell’ordinamento italiano la responsabilità del certificatore nei confronti dei terzi viene inquadrata nell’ambito della responsabilità extracontrattuale.
Il fatto di aver reso un’informazione non veritiera, destinata a circolare nel mercato e a creare (un falso) affidamento, nell’interessato o di altri soggetti terzi (ad esempio: clienti e fornitori), assume valore di illecito civile e si configura come una violazione della clausola generale posta dall’art. 2043 codice civile.
Ma anche l’impresa che utilizza una certificazione non veritiera non va esente da responsabilità e può essere chiamata a rispondere a vario titolo.
Innanzitutto, l’ipotesi potrebbe integrare un atto di concorrenza sleale: l’impresa che si fregia di una certificazione che in realtà non doveva spettargli, non fa altro che appropriarsi dei pregi effettivamente posseduti, dall’impresa concorrente al fine di stornare la clientela.
In secondo luogo, emergono conseguenze negative nei confronti dei consumatori: infatti, l’utilizzo di certificazione inesatta può assurgere al livello di pratica commerciale scorretta, come tale idonea a falsare la concorrenza, in quanto idonea a creare confusione nei consumatori.
Certificazione nell’ambito della protezione dei dati: cosa dice il GDPR
Il Regolamento privacy, stabilisce all’art. 24 par. 3 che l’adesione (ai codici di condotta) o a un meccanismo di certificazione può essere utilizzato come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento, salvo poi, all’art. 42 par. 4 evidenziare che la certificazione “non riduce la responsabilità del titolare del trattamento o del responsabile del trattamento riguardo alla conformità” al Regolamento.
Questa norma non distingue tra l’ipotesi in cui vi è il corretto adempimento da parte del certificatore, rispetto a quella nella quale vi è inadempimento o inesatto adempimento dell’ente certificatore: la seconda risulta certamente di maggiore frequenza, mentre la prima, sembra più un caso di scuola.
Ottenuta la certificazione, rimane, comunque, un dovere da parte del titolare e responsabile del trattamento di effettuare il trattamento dei dati in conformità al Regolamento: non è possibile eliminare la propria responsabilità in virtù dell’affidamento su quanto certificato.
Ovviamente, nel caso in cui si sia verificato un accordo tra organismo certificante e società certificata al fine di giungere ad una, concordata, falsa certificazione oltre alla responsabilità ai sensi del codice civile, si potrà individuare anche una responsabilità penale in concorso, per truffa, qualora si configuri la presenza dell’ingiusto profitto con altrui danno.
