La certificazione GDPR, al pari di altre nuove forme di conformità introdotte, cogenti (DPIA e DPO) e volontarie (Codici di condotta e certificazioni), rappresenta uno strumento fondamentale per l’applicazione e la valutazione del nuovo principio di “responsabilizzazione”.
Nel regolamento generale, il legislatore europeo non fornisce una definizione di certificazione, ma le certificazioni rappresentano, nell’idea del legislatore, un fondamentale elemento di trasparenza verso cittadini, consumatori e aziende.
L’istituto della certificazione, ai sensi dell’art. 42, trova il suo naturale baricentro nel considerando 100 che individua nell’interessato il principale beneficiario dell’incremento della trasparenza.
Non solo, il GDPR apre alla possibilità che a beneficiare di tale condizione siano anche le relazioni fra imprese, in particolare nel quadro dei rapporti fra titolari e responsabili.
Tale condizione di asseverazione pubblica di conformità al Regolamento UE 2016/679 dei titolari e dei responsabili, garantisce le parti interessate, siano cittadini, consumatori o aziende, che i propri dati personali vengono affidati a soggetti che hanno adottato uno strumento di verifica e governo della protezione dei dati personali, tali da garantirne un elevato livello di protezione.
Ma che cos’è lo “schema di certificazione ai sensi del GDPR”? Chi lo può scrivere e come deve essere scritto?
Certificazione GDPR: la definizione dello schema
La Commissione Europea nel GDPR ha richiamato nell’art. 43(1)(b) direttamente la ISO/IEC 17065:2012[1] di prodotto, processo e servizio, anziché la ISO/IEC 17021-1 come Sistema di Gestione delle informazioni.
La confusione tra le due ISO si è protratta per molti anni, generando incomprensione e diffidenza proprio in quei soggetti che dalla certificazione avrebbero potuto trarre i maggiori benefici, sia operativi che economici.
La Commissione ha ribadito la propria scelta di campo nel garantire una governance dei processi attraverso prodotti e servizi certificati[2] attraverso l’applicazione di un monitoraggio “sostanziale”, anziché “formale”.
Per spiegarla con un esempio, è come se si dovesse scegliere come riordinare le scatole in un negozio: guardare dentro per valutarne il contenuto o ordinarle da fuori e valutarne la funzionalità operativa? La Commissione Europea ha scelto il primo metodo.
Il termine “certificazione” trova nella ISO/IEC 17000 “Conformity assessment – Vocabulary and general principles” la sua definizione corretta: “Valutazione della conformità di terza parte”.
Nella versione aggiornata della norma, trovano posto non solo le revisioni ma anche l’introduzione di nuovi termini[3]: vale la pena ricordare le definizioni di “oggetto della valutazione della conformità”, di “proprietario dello schema”, di “imparzialità”, “indipendenza”, “validazione”, “verifica”, “decisione”, “scadenza e ripristino”[4].
In particolare, in relazione alla ISO/IEC 17065:2012 richiamata nel GDPR, nel § 3.9, troviamo la definizione di “schema di certificazione”: “Sistema di certificazione relativo a prodotti specificati, ai quali si applicano gli stessi requisiti specificati, specifiche regole e procedure”.
Certificazione GDPR: chi è lo scheme owner e qual è la sua funzione
Al punto § 3.11 della ISO/IEC 17065:2012 si trova la definizione di “proprietario dello schema” (d’ora in avanti “Scheme Owner o S.O.”: “persona o organizzazione responsabile per l’elaborazione ed il mantenimento di uno specifico schema di certificazione”[5].
Lo S.O., come indicato dalla ISO/IEC 17065 e dalla ISO/IEC 17067:2013, può essere esclusivamente un soggetto con le seguenti caratteristiche:
- Organismi di certificazione di prodotto
- Autorità governative
- Associazioni commerciali
- Gruppo di organismi di certificazione
- Altri
La definizione di S.O. viene indirettamente richiamata dall’art. 42(1) dove, attraverso il verbo «incoraggiare»[6], viene di fatto preclusa la possibilità alle Autorità di controllo (S.A), al comitato (EDPB), agli Stati membri e alla Commissione Europea, di “scrivere” fisicamente alcun schema di certificazione, in quanto il concetto che sottende l’incoraggiamento alla scrittura, è in antitesi con la scrittura stessa.
Un esempio di curiosa interpretazione ci viene dal recente caso della S.A. Lussemburghese che, attraverso la stesura dello schema “CARPA” ha incrinato due principi fondamentali, la terzietà e l’imparzialità.
Giova ricordare che la deroga introdotta dall’art. 43 sulla possibilità “operativa” delle S.A. di accreditare e rilasciare certificati, venne introdotta come deroga temporanea utile ad una immediata applicazione negli stati membri del GDPR, qualora taluni stati applicassero sugli A.B. quanto indicato dall’art. 4(2) Reg. CE 2008/765.
Molto probabilmente la S.A. del Lussemburgo anche a seguito di quanto inteso dalle linee guida EDPB 1/2018 (opinabile interpretazione dell’EDPB dell’art. 42) ha parafrasato il verbo “rilasciare”[7] assimilandolo alla più asciutta via indicata del verbo “incoraggiare”, creando però un pericoloso paradosso che fattualmente incrina il principio di terzietà[8].
Certificazione GDPR: cosa può essere certificato
I titolari e/o i responsabili che aderiscono ad un meccanismo di certificazione della protezione dei dati, perseguono il legittimo scopo di dimostrare la conformità al regolamento dei trattamenti da loro effettuati.
Verificato pertanto che l’adesione a un meccanismo di certificazione, rilasciato ai sensi dell’art. 42, può costituire un elemento di responsabilizzazione[9], appare evidente che l’oggetto da sottoporre a certificazione sono i trattamenti di dati personali.
Questa non banale constatazione presenta importanti implicazioni sul processo di certificazione e ancor più sulla progettazione di uno schema di certificazione, che, come vedremo in seguito, ha influenzato molto negativamente, fino al punto di considerarle “out of scope”, certificazioni interessanti quali la ISO/IEC 27001:2017 e ancor più la ISO/IEC 27701:2019.
Va comunque segnalato che, se ben impiegato, lo standard di certificazione ISO/IEC 27001 risulta molto utile per il soddisfacimento dell’art. 32(1) lett. b), ma solo ed esclusivamente per il soddisfacimento di quel punto del GDPR.
Inoltre, nel rispetto del principio di “interoperabilità” espresso dal § 69 delle linee guida EDPB 1/2018, una certificazione ISMS, sebbene classificata come “certificazione aspecifica”[10], potrebbe essere utilizzata per coprire uno o più punti norma di schemi di “certificazione specifica” cioè di schemi di certificazione che specificatamente nascono per valutare la conformità al GDPR[11].
Un esempio lo possiamo trovare nello standard italiano ISDP©10003:2020 rev.01 che, nello specifico del criterio A.5.2.1, permette di avvalersi della garanzia offerta dalla certificazione ISO/IEC 27001:2017 come soddisfacimento del controllo[12].
Nella valutazione di un trattamento è pertanto necessario considerare almeno tre elementi chiave:
- I dati personali trattati
- I sistemi tecnici, le infrastrutture (hardware e software) utilizzate per il trattamento
- I processi e le procedure
Ciascun elemento indicato e impiegato nei trattamenti, deve essere pertanto valutato in relazione ai criteri predefiniti dallo schema di certificazione ed inquadrato a seconda dell’oggetto della certificazione stessa.
Come chiarito in precedenza, l’elemento certificabile è il “trattamento di dati personali” e pertanto i titolari e i responsabili del trattamento possono richiedere la certificazione esclusivamente per quei “processi” che richiedono un’attività di trattamento e che fa uso di dati personali.
Ma cosa si intende per prodotto o per processo?
Per una corretta definizione, ricorriamo ancora una volta alle definizioni dalla ISO/IEC 17065:2012:
§ 3.4 prodotto: è il risultato di un processo
§ 3.5 processo: insieme di attività correlate o interagenti che trasformano elementi in ingresso in elementi in uscita
Pertanto, un trattamento di dati personali è un processo e il risultato di questo processo è rappresentato dal prodotto o dal servizio, che quindi esprime la finalità per cui il trattamento viene effettuato.
Ne consegue che: un singolo trattamento o un insieme di trattamenti possano dare luogo ad un prodotto o servizio di per sé considerati certificabili, ma anche che ci si rivolga ad un ambito di applicazione più ampio, che abbracci i “processi di governance” come l’insieme delle misure procedurali-organizzative e quindi parti integranti di un trattamento.
Da qui ne deriva che un “prodotto” (software/hardware) stand alone, non può essere certificato in relazione alla conformità al GDPR ma potrà essere certificato il processo di trattamento che il titolare o il responsabile intraprenderà, eventualmente, in una seconda fase impiegando il prodotto software o hardware.
Anche qui è utile un esempio che ci permetta di comprendere questo articolato passaggio.
Un prodotto software in quanto tale (ad esempio “Excel”) non può essere certificato perché non tratta dati personali: potrà invece essere certificato il trattamento di dati personali che il titolare o il responsabile farà nella fase di impiego del prodotto, ad esempio nella gestione dei clienti o dei dipendenti o delle email raccolte.
Quindi ciò che diviene certificabile è l’uso (processo di trattamento di dati) che il titolare farà con il prodotto software Excel.
Qualora però il responsabile del trattamento, vendesse un prodotto software o hardware che includa un servizio di assistenza, archiviazione o gestione e manutenzione dei dati, il prodotto può essere certificato da parte del responsabile.
Certificazione GDPR: come strutturare lo schema
L’art. 43(1) lett. b) richiama l’attenzione sulla necessità di accreditamento degli organismi di certificazione conformemente alla norma ISO/IEC 17065:2012 e i requisiti aggiuntivi (delibera n.148).
Significa che gli stessi OdC che richiedono l’accreditamento devono già essere in possesso di una norma con cui richiederlo.
La ISO/IEC 17065:2012 specifica i requisiti che gli organismi di certificazione devono rispettare per attuare gli schemi di certificazione in modo competente, coerente e imparziale, facilitando il riconoscimento di prodotti processi e servizi certificati su base nazionale ed internazionale.
La condizione propedeutica per l’accreditamento diviene quindi l’esistenza di uno schema di certificazione, scritto secondo quanto previsto dallo standard ISO/IEC 17065:2012.
La norma non stabilisce requisiti per gli schemi e per il loro sviluppo e non ha l’obiettivo di limitare il ruolo o le scelte dei proprietari di schemi: tuttavia, i requisiti degli schemi non dovrebbero contraddire o escludere alcun requisito della stessa ISO/IEC 17065:2012.
Per strutturare uno schema di prodotto, processo o servizio quindi diviene necessario applicare la linea guida ISO/IEC 17067:2013, che indica gli elementi fondamentali che uno schema di certificazione deve includere.
In particolare:
- Prendere in considerazione le esigenze dei consumatori, utilizzatori interessati, infondendo fiducia per quanto attiene il soddisfacimento dei requisiti specificati
- Consentire ai fornitori di dimostrare al mercato che i loro prodotti sono stati dichiarati in grado di soddisfare i requisiti specificati da parte di un organismo imparziale di terza parte.
La ISO/IEC 17067:2013 riporta nella tabella 1 diverse ipotesi di strutture per la realizzazione di schemi.
In particolare, per la valutazione della conformità al GDPR sono considerati idonei la struttura di tipo 6 e più in particolare quella di tipo N della tabella 1, nel quale devono essere specificati almeno i seguenti elementi o funzioni e le attività di tipo I, II, III, IV e V a.:
- Selezione
- Determinazione delle caratteristiche, come applicabile, mediante applicazioni (c) di processi
- Riesame
- Decisioni relative alla certificazione
- Attestazioni, licenza
- emissione di un certificato di conformità
Dalla struttura indicata in tabella 1 della linea guida e dai criteri previsti dal regolamento generale, è possibile definire i “criteri di certificazione” per uno schema di valutazione della conformità al GDPR ai sensi dell’art. 42(5).
I criteri di certificazione, così come richiamato dagli artt. 42 e 43, dovrebbero infine essere sviluppati concentrandosi sulla “verificabilità, rilevanza e idoneità” dei criteri stessi e dovrebbero essere formulati quindi per essere chiari, comprensibili e applicabili nella pratica.
Per la definizione dei criteri si deve tener conto di alcuni aspetti di conformità quali:
- liceità del trattamento (art. 6)
- principi del trattamento (art. 5)
- diritti degli interessati (artt. da 12 a 23)
- obbligo di notifica della violazione dei dati (art. 33)
- obbligo protezione sin dalla progettazione (art. 25)
- valutazione d’impatto (art. 35)
- misure tecniche e organizzative messe in atto (art. 32)
Per “criteri” o “criteri di certificazione” si intendono pertanto i criteri in base ai quali viene effettuata una certificazione (valutazione di conformità).
Nella “certificazione, ai sensi dell’art. 42” la definizione dei criteri deve passare dall’esatta conversione dei precetti normativi a controlli operativi attraverso una “trasposizione”.
La trasposizione è il processo di conversione dei principi e delle norme del regolamento generale sulla protezione dei dati personali, in controlli operativi sviluppati all’interno di un meccanismo di certificazione che avrà lo scopo di valutare il livello di dettaglio a cui il Titolare del trattamento ha portato la sua conformità al Regolamento.
Certificazione GDPR: le approvazioni dell’EDPB e cosa fare nel frattempo
A che punto sono le approvazioni dell’EDPB? La situazione sta lentamente uscendo dalla fase di stallo in cui versava in questi ultimi anni. Non è chiaro se per difficoltà evidenti dell’EDPB a definire i dettagli tecnico-operativi (ricordiamo che EDPB ed EA non hanno mai intrapreso un serio dialogo) o per un approccio basato su priorità differenti.
In ogni caso, il primo passaggio è stato quello di procedere all’approvazione in tutta l’unione, dei “requisiti aggiuntivi” di cui all’art. 43(3): anche la S.A. italiana ha pubblicato i requisiti aggiuntivi per cui Accredia[14] potrebbe, in via ipotetica accreditare, ma non può farlo perché non sono ancora disponibili schemi approvati ai sensi dell’art. 42(5).
La seconda fase è rappresentata dall’approvazione, da parte delle varie S.A. interessate, dei vari criteri di certificazione (schemi). Per procedere all’approvazione dei criteri di certificazione, le S.A. devono valutare la congruità degli schemi di certificazione, alle linee guida EDPB 1/2018, all’Annex 2 e al relativo Addendum.
In ogni caso, al fine di facilitare il processo di approvazione dei criteri da parte delle S.A. e dell’EDPB, le S.A. stanno attivamente collaborando con gli Scheme Owner per un’attività di “fine tuning” a cui gli schemi devono essere necessariamente sottoposti.
Gli schemi che attualmente sono alla valutazione delle S.A. in tutta l’Unione, sono:
- CARPA (LU)
- Europrise© (D)
- Europrivacy (LU)
- ISDP10003[15] (ITA)
Va ricordato in ogni caso che, ai sensi del Regolamento CE 2008/765, i titolari e i responsabili possono procedere ad utilizzare meccanismi di certificazione volontaria che consentano loro di dotarsi di un impianto documentale strutturato e funzionale, per garantire e dimostrare la conformità del proprio operato.
________________________________________________________________________________
Note
- con il supporto del Governo italiano e di chi scrive ↑
- Una scelta compiuta sin dall’approvazione del Regolamento UE 2014/910 (eIDAS), a seguire con il Regolamento UE 2016/679 (GDPR), passando per la direttiva 2016/1148 (NIS) recepita nel nostro ordinamento (d.lgs. 65/2018), per finire con il Regolamento UE 2019/881 (Cybersecurity act) ↑
- https://www.accredia.it/2021/01/24/revisione-della-iso-17000-attenzione-al-vocabolario-e-approccio-funzionale/ ↑
- Si segnalano inoltre le revisioni delle definizioni di “accreditamento”, “audit” (pronuncia latina) e “campionamento”. ↑
- definizione ripresa anche dalle linee guida EDPB 1/2018 rif 3. ↑
- Art. 57(1) lett. n) ↑
- art. 58(3) lett. f) ↑
- vedi quanto richiamato dall’art. 4 del Regolamento CE 2008/765 e dal § 3.13 ISO/IEC 17065:2012 ↑
- in quanto permette ai titolari e/o ai responsabili di dimostrare la conformità dei trattamenti ad alcune disposizioni o principi del regolamento o al regolamento nel suo insieme, ↑
- Definizione di certificazione “aspecifica” e “specifica” Commissione europea studio Tilburg (https://ec.europa.eu/info/sites/default/files/data_protection_certification_mechanisms_study_final.pdf) ↑
- Al momento sono rappresentati solo da schemi di certificazione volontaria e non anche approvati ai sensi dell’art. 42(5) ↑
- In free download al link: https://www.in-veo.com/en/download/procedure/schema-isdp-10003-2020 ↑
- https://www.accredia.it/documento/circolare-informativa-dc-n-18-2020-accreditamento-ai-sensi-dellart-43-paragrafo-1-del-regolamento-ue-n-2016-679-e-dellart-2-septiesdecies-del-decreto-legislativo-n-196-2003/ ↑
- https://www.accredia.it/servizio-accreditato/protezione-dei-dati-personali/ ↑