I Codici di Condotta e le Certificazioni secondo gli standard ufficiali del GDPR sono tra le tematiche dietro le quali si celano interessi economici e lobby di ingente portata. Sono altresì tra gli argomenti più incerti e controversi, sui quali abbiamo purtroppo assistito alla proliferazione di conferenze, congressi, convention, meeting, seminari dai contenuti più disparati e fuorvianti e poco rappresentativi dello stato attuale delle cose, per arrivare infine a entità giuridiche che senza concessione alcuna affermavano di concedere certificazioni a norma GDPR.
Purtroppo per loro ma fortunatamente per tutto il resto del mondo privacy, successivamente al comunicato del Garante per la Protezione dei Dati del 19 luglio 2017, abbiamo assistito ad una graduale rimodulazione delle false promesse e dichiarazioni fuorvianti. Facciamo chiarezza sulla situazione attuale.
Indice degli argomenti
L’intervento del Garante
Volendo stilare un vademecum, ciò che andrebbe continuamente spiegato indipendentemente dal contesto, al fine di non alimentare attese mendaci, potremo affermare con forza e sicurezza sul tema Codici di condotta e Certificazioni che la certificazione ai sensi del GDPR, anche se in fase di sviluppo avanzato, è attualmente solo una mera previsione, nulla di più. “Si è messa in moto la macchina, il board ha cominciato a definire i criteri attraverso i quali le autorità nazionali potranno, o direttamente, o attraverso i soggetti accreditati, certificare”. Lo ha detto all’Adnkronos Antonello Soro, presidente Autorità garante per la protezione dei dati personali, a margine del dibattito “La certificazione ai sensi del GDPR” a due anni dall’attuazione del Regolamento europeo per la protezione dei dati personali. Potrà essere realmente attuabile? Quanto sarà oneroso per le imprese? I Codici di condotta potranno essere una valida alternativa a costo zero o saremo costretti a foraggiare il monopolio delle certificazioni?
Chi attualmente propone di vendere e poter applicare un codice di condotta a norma GDPR trascura in modo sconsiderato il contesto della normativa e il parere significato dall’Autorità Garante poiché, nonostante l’inizio della definizione dei criteri con Accredia, non esiste ancora nessun elemento ufficiale e nessun certificatore accreditato a norma GDPR.
Quanto tempo ancora dovremo aspettare per vedere tali supposizioni realizzate nessuno può saperlo con certezza e non darei per scontate tempistiche brevi alla luce della lentezza dimostrata negli anni dalla macchina italiana della burocrazia.
Certificazioni e codici di condotta, cosa sono e a cosa servono
Le certificazioni secondo l’art.42 UE 2016/679 sono uno strumento volontario e accessibile secondo una procedura trasparente, che si affiancano a tutti quelli obbligatori e in aggiunta a quelli consigliati indicati nel GDPR.
Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al GDPR. Il titolare del trattamento o il responsabile del trattamento che sottopone il trattamento effettuato al meccanismo di certificazione fornisce all’organismo di certificazione o all’autorità di controllo competente tutte le informazioni e l’accesso alle attività di trattamento necessarie a espletare la procedura di certificazione.
La certificazione è rilasciata al titolare del trattamento o responsabile del trattamento per un periodo massimo di tre anni e può essere rinnovata alle stesse condizioni purché continuino a essere soddisfatti i criteri pertinenti. In ogni caso, la certificazione ai sensi del GDPR non riduce la responsabilità del titolare del trattamento o del responsabile del trattamento riguardo alla conformità al Regolamento e lascia impregiudicati i compiti e i poteri delle autorità di controllo competenti.
I codici di condotta sono strumenti ausiliari destinati a contribuire alla corretta applicazione del GDPR, in funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese.
Le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o responsabili del trattamento possono elaborare i codici di condotta, modificarli o prorogarli, allo scopo di precisare l’applicazione del Regolamento, ad esempio relativamente a:
- il trattamento corretto e trasparente dei dati;
- i legittimi interessi perseguiti dai titolari del trattamento in contesti specifici;
- la raccolta dei dati personali;
- la pseudonimizzazione dei dati personali;
- l’informazione fornita al pubblico e agli interessati;
- l’esercizio dei diritti degli interessati.
Il codice di condotta deve contenere i meccanismi che consentono all’Organismo Garante di effettuare il controllo obbligatorio del rispetto delle norme del codice da parte dei titolari del trattamento o dei responsabili del trattamento che si impegnano ad applicarlo, fatti salvi i compiti e i poteri delle autorità di controllo competenti.
L’applicazione di un codice di condotta approvato o di un meccanismo di certificazione approvato può essere utilizzata come elemento per dimostrare la conformità e il rispetto degli obblighi da parte del titolare del trattamento.
L’Organismo Garante al momento di decidere se infliggere una sanzione amministrativa pecuniaria e fissare l’ammontare della stessa affinché questa risulti, per ogni singolo caso, effettiva, proporzionata e dissuasiva, si potrà tenere in debito conto anche dell’adesione ai codici di condotta approvati ai sensi dell’articolo 40 o ai meccanismi di certificazione approvati ai sensi dell’articolo 42.
Previsioni di adozione e problematiche in corso
Sul tema la dottrina si divide in due rami contrapposti, quello per una visione restrittiva e l’antitetico a portata estensiva. Secondo gli specialisti appartenenti al primo filone la possibilità di certificazione è limitata ai soli trattamenti, rifacendosi letteralmente alla norma di riferimento; sarebbe quindi consentito certificare solamente il modo di trattare i dati e non limitandosi solamente al solo aspetto tecnico.
D’altro canto, in antitesi, i più permissivi propendono per un’interpretazione ampia delle norme sulla certificazione tendono a considerare certificabile tutto ciò che nel Regolamento può essere considerato, utilizzando anche l’interpretazione del principio di accountability, strumento utile a poter dimostrare la conformità al Regolamento.
Si deduce perciò che arriverebbe con facilità a certificare non solo i trattamenti, ma anche l’RPD, Titolare, Responsabili, DPIA, privacy by design e/o by default, misure e tecniche organizzative, codice di condotta e, per la gioia dei certificatori, molto molto altro.
Attualmente, tra i vertici dell’European Data Protection Board (EDPB) nonché tra i vari garanti degli Stati Membri sarebbe in corso un’analisi sulle due visioni dottrinali per definire in modo chiaro e univoco cosa debba essere oggetto di certificazione e cosa invece no.
Nei tavoli di lavoro a Bruxelles tra le varie proposte della delegazione italiana c’è quella di rendere obbligatorie le certificazioni privacy per i public e i government procurement; in sostanza si opterebbe introdurre l’obbligo a dotarsi di certificazione privacy a norma GDPR per poter partecipare a bandi di gara della pubblica amministrazione o per gli enti governativi. Altre delegazioni estere si sono addirittura spinte oltre con proposte finalizzate all’introduzione di certificazioni coatte sui prodotti finali del settore terziario, pensa l’inammissibilità sul mercato.
Attualmente i modelli valenti per gli enti di accreditamento italiana non hanno alcuna peculiarità Privacy a norma GDPR e sarà necessaria l’approvazione di criteri specifici per la certificazione da parte dall’autorità di controllo competente o dal comitato, ex artt. 43, 55, 56 2016/679, ovvero stabilire e ufficializzare ulteriori requisiti che andrebbero ad integrare quelli già previsti dal Regolamento (CE) n. 765/2008 del 9 luglio 2008 ponente norme in materia di accreditamento e vigilanza del mercato per quanto riguarda la commercializzazione dei prodotti e che abroga il regolamento (CEE) n. 339/93 per l’accreditamento delle norme tecniche che definiscono i metodi e le procedure degli organismi di certificazione.
Liceità della certificazione
I quesiti e le difficoltà appaiono diversi e di valori dissimili in base al soggetto certificatore, sia esso organismo di certificazione accreditato, comitato dei garanti o autorità di controllo. Il problema per le autorità dimora soprattutto nella realtà che se quest’ultime consentissero ufficialmente ad una persona giuridica di certificare, quali sarebbero le fondamenta asserite e con quale modus operandi potrebbero successivamente negare il certificato? I certificati risulteranno validi in quanto non soggetti a scadenza o termini temporali? I certificati saranno rilasciati da enti riconosciuti dal Garante e vigileranno affinché il soggetto certificato mantenga sempre una compliance privacy conforme e corrispondente alle linee guida delle autorità e a norma GDPR.
Utilizzare questa linea d’azione potrebbe far apparire il certificato come una sorta di giudizio anticipato; una presunzione di anticipazione di giudizio che porterebbe di conseguenza tutta una nuova serie di aggravamenti e contrarietà ex post in caso di accertamento di violazioni. Tale premessa chiarisce come non a caso la sollecitudine e la premura che da subito si sono manifestati sui codici di condotta e le certificazioni previste nel GDPR sono stati ingenti, conducendo certificatori e altri portatori di interessi a schierarsi in prima linea per cercare di raggiungere una posizione economica e sociale di prestigio.
Il fenomeno dell’ingordigia, se mal gestito, probabilmente produrrà complicazioni di coerenza fra gli Stati membri ma non solo, anche effetti analoghi e paragonabili a quelli che si ebbero ai tempi dell’introduzione del Documento Programmatico sulla Sicurezza, che da mezzo di vademecum in cui il legislatore aveva riposto un aiuto per le aziende ad effettuare un autocontrollo periodico è stato invece percepito come un superfluo e sterile adempimento burocratico. Il DPS veniva proposto e venduto a prezzi esagerati a qualsiasi tipo di attività o impresa approfittando della loro ignoranza in materia e facendo leva sul terrore sanzionatorio; questo provocò un diffuso risentimento popolare e anche per questo infine venne reso facoltativo.
Conclusione
In definitiva, l’unica certezza è che attualmente, a confutazione delle parole di Antonello Soro, non vi è ancora la possibilità di certificare la conformità al GDPR di uno specifico trattamento, non è possibile certificare il DPO né tantomeno un codice di condotta o una qualsivoglia misura tecnico-organizzativa.
Ad ogni modo, è vero che l’art. 24 del GDPR sancisce che aderire ai codici di condotta o acquisire certificazioni può agevolare a comprovare il rispetto degli obblighi in tema privacy poiché sono strumenti convalidati a priori dagli organi competenti, tuttavia va sempre ricordato: l’adesione non è obbligatoria e comunque non implica minore responsabilità per il titolare del trattamento! In ogni caso l’iter per realizzare sistemi di certificazione sembra ancora lungo, per ora conviene che ognuno si occupi di rendere la propria realtà conforme al GDPR tramite metodi già approvati e consolidati.