Il GDPR – acronimo che sta per General Data Protection Regulation – ha introdotto ufficialmente la possibilità di predisporre degli schemi di certificazione che attestino la conformità alla normativa.
Come tutte le altre certificazioni tuttavia l’uso non corretto di tali strumenti può comportare un rischio significato per gli interessati: è utile quindi approfondire quali siano i limiti e le opportunità di questi strumenti.
Indice degli argomenti
Certificazioni GDPR, come funzionano
Il GDPR ha introdotto, fra gli strumenti per attestare la conformità del Titolare, le certificazioni, come ricordano anche le specifiche FAQ dell’Autorità Garante: “La certificazione rappresenta uno strumento utile per i titolari e i responsabili del trattamento a dimostrare il rispetto degli obblighi, le garanzie sufficienti e la conformità ai requisiti di protezione dei dati“.
Ancor prima della piena efficacia del GDPR erano apparsi schemi di certificazioni, ma a distanza di quasi 6 anni dalla sua emissione nessuno di questi schemi è ancora diventato realmente operativo (al riguardo, il Garante era intervenuto congiuntamente ad Accredia già nel 2017) in quanto in realtà solo recentemente sono stati definiti gli elementi richiesti per poter concludere il complesso iter previsto dalla normativa.
Informative compliant al GDPR: le indicazioni pratiche per le imprese
I limiti delle certificazioni GDPR
Ma vediamo ora quali sono i limiti di una certificazione. Il primo aspetto, assolutamente fondamentale, che accomuna le certificazioni in ambito privacy alle altre certificazioni (ad esempio in ambito qualità o sicurezza) è che l’oggetto di certificazione non sono i trattamenti del Titolare nella loro interezza, ma come ha ben evidenziato l’Autorità Garante:
“In base a quanto previsto dal Regolamento Generale per la Protezione dei Dati Personali (GDPR), e alla luce delle linee-guida 1/2018 dell’EDPB (European Data Protection Board) in materia, l’oggetto della certificazione è un trattamento di dati personali. Poiché la definizione di “trattamento” di dati personali è molto ampia, anche l’oggetto della certificazione può variare in misura considerevole e può comprendere una sola operazione di trattamento (es. la conservazione di dati personali) ovvero più operazioni di trattamento (es. raccolta, conservazione, messa a disposizione) svolte dal titolare o dal responsabile del trattamento.
Nella misura in cui uno o più trattamenti configurino un “servizio” o un “prodotto”, la certificazione può avere come oggetto tale servizio o prodotto (es. il servizio di gestione del personale di un’azienda). Una certificazione ai sensi del GDPR non può, tuttavia, riguardare un singolo prodotto in quanto tale (es. un software per la gestione dei dati dei dipendenti, a prescindere dal suo utilizzo concreto) bensì in quanto parte integrante di un trattamento di dati personali svolto da un titolare o responsabile (es. il trattamento dei dati dei dipendenti svolto dal datore di lavoro in quanto titolare attraverso il suddetto software, che quindi diviene oggetto della certificazione).
È essenziale (vedi linee guida 1/2018 dell’EDPB) che l’oggetto specifico della certificazione richiesta dal singolo titolare o responsabile sia indicato con chiarezza nel certificato rilasciato dall’organismo di certificazione (vedi FAQ n. 5)”.
Questa è una delle particolarità delle certificazioni, motivo per cui è assolutamente fondamentale analizzare nel dettaglio il documento che attesta la certificazione rilasciata ad un Titolare al fine di individuare quale sia l’esatto limite del perimetro oggetto di certificazione.
Purtroppo le aziende (e questo lo si vede in continuazione ad esempio per le certificazioni in ambito qualità) hanno la cattiva abitudine di rappresentare il solo fatto di essere certificate senza indicare espressamente il perimetro della loro certificazione. Se questo è già deleterio per le certificazioni in ambito qualità e sicurezza, in ambito privacy può veramente trarre in inganno gli interessati (un insieme vastissimo di soggetti fra i quali ben pochi hanno la reale competenza per comprendere il reale significato di una certificazione).
Il rispetto dei requisiti per ottenere la certificazione GDPR
Ma vi è anche un altro aspetto che limita la portata delle certificazioni. Com’è noto il processo per ottenere una certificazione prevede l’implementazione di quelli che sono i requisiti previsti dallo schema di certificazione.
Tali requisiti, nel caso in questione, devono comunque essere rispettati da tutti i Titolari, in quanto sono un obbligo di legge e quindi non costituiscono un reale ulteriore elemento di garanzia.
Quindi la certificazione in ambito privacy non introduce un’aggiuntiva protezione per i dati personali e per i diritti e le libertà delle persone fisiche, ma si limita a dare garanzia che i requisiti di certificazione siano effettivamente implementati (ovviamente limitatamente al perimetro oggetto di certificazione).
Ma in presenza di una certificazione si è certi che almeno per tale perimetro i requisiti siano rispettati? In realtà, come sanno tutte le aziende che hanno ottenuto una qualunque certificazione, le visite ispettive da parte dell’ente certificatore non possono, per ovvi motivi di tempi (di solito uno o due giorni) e di costi, essere così esaustive nei controlli come potrebbero esserle quelle di un auditor interno.
Una ricognizione in ambito privacy su un’azienda di medie dimensioni richiede parecchi mesi e quindi, o il perimetro oggetto di certificazione è veramente molto limitato, o quanto effettivamente si riesce a verificare costituisce solo una parte di quanto si dovrebbe.
Da ultimo, il fatto di essere aderenti allo schema di certificazione il giorno della visita ispettiva non garantisce nulla in merito alla effettiva continuità nel comportamento del Titolare, che potrebbe produrre le evidenze necessarie per superare la successiva visita ispettiva solo in prossimità di questa (in ciò si è favoriti dal fatto che le visite ispettive di controllo vengono segnalate in anticipo, indicando specificatamente quale sarà l’oggetto del controllo).
In sintesi quindi le certificazioni sono una buona cosa, ma solo se si è consapevoli, come interessati, di tutti i limiti che contraddistinguono tali strumenti.
I vantaggi degli schemi di certificazione GDPR
Per ora abbiamo visto gli aspetti negativi delle certificazioni e quali scarse garanzie siano in realtà legate a tale pratica. Ma le certificazioni, o meglio gli schemi di certificazione, costituiscono anche una grande opportunità per i Titolari, come avviene già da moltissimi anni ad esempio nell’ambito della sicurezza.
Sono infatti molto poche le aziende che sono realmente certificate secondo la ISO 27001, ma tutti, quando si parla di sicurezza delle informazioni, usano la ISO 27001 per individuare le misure di sicurezza più opportune da implementare.
Quindi gli schemi di certificazione possono essere utilizzati molto proficuamente anche senza la necessità di ottenere una reale certificazione.
Al riguardo è possibile utilizzare alcuni schemi di certificazione reperibili gratuitamente ad esempio sui siti delle Autorità di controllo, come l’ICO (Autorità di controllo dell’UK che anche se non fa più parte della UE ha comunque adottato il GDPR).
Anche alcuni produttori rendono disponibili i loro schemi, ma oltre alle certificazioni, se si desidera utilizzare tali strumenti come buone pratiche, è possibile utilizzare anche i Codici di condotta, che sono necessariamente pubblici.
Conclusioni
Gli schemi di certificazione possono essere usati proficuamente da parte dei Titolari senza la reale necessità di attivare il processo di certificazione mentre le istituzioni a tutti i livelli dovrebbero dare grande enfasi per creare negli interessati una corretta cultura circa tali strumenti e i loro limiti e su come interpretare correttamente il fatto che un titolare si qualifichi come certificato in ambito GDPR.
