Il provvedimento sui Requisiti aggiuntivi di accreditamento degli organismi di certificazione adottato lo scorso 29 luglio 2020 dal Garante per la protezione dei dati personali delinea, per l’appunto, i requisiti aggiuntivi a quelli contenuti nella norma tecnica internazionale EN-ISO/IEC 17065:2012 per l’accreditamento degli enti di certificazione che intendano rilasciare certificazioni in materia di privacy[1].
Gli organismi di certificazione dovranno disporre anche di procedure e misure conformi al GDPR finalizzate al controllo e alla gestione dei dati personali dell’organizzazione cliente nel quadro del processo di certificazione.
Ad oggi non sono ancora disponibili schemi di certificazione accreditati, ma ci si aspetta che vengano approvati nel prossimo futuro.
Indice degli argomenti
A cosa serve una certificazione privacy
L’art. 42 comma 1 del Regolamento UE 2016/679 (di seguito, “GDPR”) prevede la possibilità che vengano istituiti “meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al presente regolamento dei trattamenti”.
Il GDPR, quindi, riconosce alla certificazione un ruolo chiave come strumento per dimostrare la conformità al GDPR stesso. La certificazione però non dimostra la conformità di per sé, ma costituisce piuttosto un elemento che può essere utilizzato per dimostrarla. La stessa infatti “non esaurisce gli obblighi di osservanza del GDPR”[2], ma è uno strumento che aiuta a garantire accountability.
La certificazione può anche essere fonte di un vantaggio competitivo in quanto, migliorando la trasparenza e il rispetto del GDPR[3], contribuisce ad aumentare l’immagine dell’azienda rispetto alle modalità di gestione dei dati personali.
Anche se ad oggi non sono ancora stati accreditati schemi ai sensi degli artt. 42 e 43 del GDPR, esistono comunque già schemi di certificazione in materia di protezione dei dati personali che possono contribuire ad una migliore gestione dei dati personali e ad una dimostrazione della propria conformità della normativa in materia.
Come intraprendere un percorso di certificazione privacy
Innanzitutto, il primo passo da fare è scegliere lo schema di certificazione. Allo stato, i principali schemi sono: UNI/PdR 43:2018[4], ISDP 10003:2020[5], ISO/IEC 27701:2019[6], e BS 10012/2017[7]. Tali schemi di certificazione hanno caratteristiche diverse tra loro. Infatti, i primi due permettono di certificare un processo, un servizio o un prodotto, il terzo è uno standard di controlli, mentre l’ultimo si pone l’obiettivo di fornire gli elementi per l’implementazione di un sistema di gestione della privacy.
Una volta scelto lo schema di certificazione, è necessario analizzare la documentazione e le prassi in materia di protezione dei dati personali e identificare gli eventuali gap da colmare. In genere, se un’azienda è già conforme al GDPR, lo sforzo di adeguamento a uno schema di certificazione della privacy non dovrebbe essere particolarmente oneroso, anche se i suddetti schemi possono prevedere requisiti ulteriori che spesso non sono stati considerati per l’adeguamento alla normativa privacy.
Nel caso in cui sia stato scelto uno schema di sistema, come lo standard BS 10012:2017, è probabile che si debba affrontare qualche passaggio in più. Infatti, tale standard, oltre a obblighi per titolari e responsabili del trattamento sostanzialmente analoghi a quelli definiti dal GDPR, prevede ulteriori requisiti, come, ad esempio, l’onere di definire il contesto in cui opera l’organizzazione, di istituire ruoli, responsabilità, risorse adeguate, di monitorare e misurare l’efficacia del sistema di gestione.
Come implementare i requisiti dello schema di certificazione
Identificati i gap, l’organizzazione deve implementare i requisiti dello schema di certificazione, non solo predisponendo i documenti necessari, ma anche assicurandosi che gli stessi vengano concretamente adottati dal personale. Infatti, la direzione aziendale dovrebbe promuovere la consapevolezza dello schema adottato tra il personale, erogando per esempio sessioni di formazione.
L’organizzazione deve anche:
- effettuare audit, a intervalli pianificati e in caso di cambiamenti importanti, per verificare che quanto realizzato sia conforme ai requisiti dello schema di certificazione e ai requisiti definiti dall’organizzazione stessa e che sia efficacemente implementato e manutenuto;
- rivedere l’impianto documentale a intervalli pianificati, per assicurare la sua continua idoneità, adeguatezza ed efficacia.
Infine, deve sottoporsi all’audit dell’organismo di certificazione.
Ottenuta la certificazione, l’organizzazione non deve però commettere l’errore di archiviare la documentazione in un cassetto. Deve invece migliorarne continuamente idoneità, adeguatezza ed efficacia. Diversamente l’investimento effettuato per l’implementazione e per la certificazione stessa non sarebbe ripagato in quanto un sistema solo su “carta” è inefficiente, oltreché di nessun valore aggiunto. Per tale motivo, l’organizzazione deve sforzarsi di costruire, in fase di implementazione, un sistema che rispecchi la prassi operativa.
Conclusioni
La scelta di aderire ad uno schema di certificazione, seppure non ancora accreditato ai sensi dei artt. 42 e 43 del GDPR, va comunque nella direzione di migliorare la propria conformità alle normative in materia di protezione dei dati personali.
E tale sforzo è inoltre idoneo a ridurre i gap esistenti rispetto agli schemi di certificazione che saranno accreditati dall’European Data Protection Board (EDPB) o dal Garante privacy.
NOTE
- GDPR: il Garante privacy stabilisce i requisiti aggiuntivi per l’accreditamento dei certificatori ↑
- Cfr. GDPR: il Garante privacy stabilisce i requisiti aggiuntivi per l’accreditamento dei certificatori ↑
- Considerando 100 del GDPR “Al fine di migliorare la trasparenza e il rispetto del presente regolamento dovrebbe essere incoraggiata l’istituzione di meccanismi di certificazione e sigilli nonché marchi di protezione dei dati che consentano agli interessati di valutare rapidamente il livello di protezione dei dati dei relativi prodotti e servizi”. ↑
- L’UNI/PdR 43:2018 ““Linee guida per la gestione dei dati personali in ambito ICT secondo il Regolamento UE 679/2016 (GDPR)” (composta da due sezioni: UNI/PdR 43.1 “Gestione e monitoraggio dei dati personali in ambito ICT” e UNI/PdR 43.2 “Requisiti per la protezione e valutazione di conformità dei dati personali in ambito ICT”) è una prassi di riferimento. ↑
- L’ISDP 10003:2020 “Criteri e regole di controllo per la Certificazione dei processi per la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione degli stessi” è uno schema proprietario dell’ente di certificazione accreditato INVEO. ↑
- L’ISO/IEC 27701:2019 “Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines” è uno standard di controlli emesso dall’International Organization for Standardization (“ISO”) che si basa sui requisiti delle ISO/IEC 27001 e ISO/IEC 27002. ↑
- Lo schema BS 10012:2017 “Data protection — Specification for a personal information management system” è uno standard emesso dal British Standard Institution (“BSI”). ↑
