la guida

Certificazioni privacy, è tempo di “bollini”: come ottenerli e le FAQ del Garante

Il Garante ha di recente rilasciato delle FAQ sul tema della certificazione privacy. Analizziamo le novità e facciamo chiarezza su un tema “caldo”

Pubblicato il 03 Ago 2021

Renato Castroreale

Direttore Tecnico

Chiara Ponti

Avvocato, Privacy Specialist & Legal Compliance e nuove tecnologie – Baccalaureata

GDPR

La certificazione di conformità al GDPR è questione dibattuta da tempo. Con la pubblicazione delle FAQ dell’Autorità garante, sono giunti alcuni importanti chiarimenti.

Vediamoli nei dettagli, partendo dal dato normativo all’art. 42, per poi proseguire con le svolte più significative di questo lento, a tratti faticoso, percorso.

Certificazioni Gdpr: così i Garanti Ue indicano la via alle Autorità di controllo nazionali

L’iter di Certificazione

Tutti gli enti di certificazione italiani sono “accreditati” da Accredia, designato dal governo italiano, in applicazione del Regolamento europeo 765/2008, volto ad attestare la competenza, l’indipendenza e l’imparzialità degli OdC, ispezione e verifica, e dei laboratori di prova e taratura. Accredia è un’associazione riconosciuta che opera senza scopo di lucro, sotto la vigilanza del Ministero dello Sviluppo Economico.

Accredia ha quindi il compito di vigliare sull’operato degli OdC, rilasciando, tra gli altri, anche linee guida per le verifiche che influenzano le attività degli auditor (essendo buona norma tenersi informati su queste linee guida facilmente reperibili).

IAF

Le certificazioni, in generale, hanno una valenza europea talune financo mondiale; chi ha il compito di verificarle?

L’IAF (International Accreditation Forum) associazione mondiale degli organismi di valutazione della conformità e di altri organismi interessati alla valutazione della conformità nei settori dei sistemi di gestione, dei prodotti, dei servizi, del personale e altri programmi analoghi di valutazione della conformità. La sua funzione principale è quella di sviluppare un programma unico a livello mondiale, di valutazione della conformità, che assicuri il riconoscimento dei certificati accreditati e quindi del loro valore, a livello globale.

In che cosa consiste l’accreditamento

Si tratta di quel processo che assicura la competenza e l’imparzialità dell’Ente accreditato, il quale sarà deputato alle verifiche per l’eventuale certificazione. Gli organismi di accreditamento dei Paesi sono firmatari del cd “Accordo Multilaterale di Riconoscimento (MLA)”. In Italia esiste un unico Ente di accreditamento, mentre in altri Stati possono esserci anche più enti (come negli Stati Uniti in cui ce ne sono cinque).

Tutti questi enti hanno accettato di riconoscersi l’un l’altro, incluso l’accreditamento e tutte le regole/regolamenti previste dall’accordo.

È sempre IAF a stabilire le regole (tra queste la durata delle verifiche di certificazione, la gestione delle eventuali diverse sedi, il trasferimento di una certificazione da un ente di certificazione all’altro, ecc.).

Gli enti di accreditamento locali (Accredia del caso) garantiscono l’applicazione delle regole in linea con i requisiti stabiliti da IAF e con quelli degli standard internazionali.

Non tutti gli schemi di certificazione, invero, rientrano nell’ambito di controllo della IAF.

Come ottenere un “bollino” privacy

Riassumendo, esistono tre differenti livelli operativi a governare il complesso processo di certificazione rispetto ad una norma, garantendone il riconoscimento internazionale, ed in particolare:

1) IAF – Ente unico di accreditamento internazionale;

2) Enti locali di accreditamento (in Italia Accredia, che è anche unico);

3) Enti di certificazione (TUV, RINA, CIWA CERMET, l’elenco completo è disponibile presso il sito di Accredia).

Per ottenere una certificazione, in generale, ed anche quella privacy, è necessaria l’attività di un ente di certificazione, che dopo aver valutato alcuni parametri sulla vostra “dimensione” effettuerà un preventivo per le necessarie verifiche (audit). Accettato il preventivo, verrà fissato un piano di audit, che includerà i dettagli temporali ed organizzativi della verifica.

L’audit potrà essere condotto da una singola persona o da una squadra di auditor (a seconda della dimensione e della complessità dell’Organizzazione stessa), ma ci sarà comunque una persona di riferimento (Lead Auditor) unica interfaccia per la gestione delle attività.

Se l’audit avrà buon esito, in assenza di NC importanti tali da essere ostative per il rilascio del certificato, dopo qualche giorno dal termine della verifica verrà rilasciato l’attestato.

Quest’ultimo verrà “rinnovato” per i due anni successivi, con un processo di verifica meno invasivo.

Gli audit di certificazione e/o di rinnovo vanno effettuati entro un anno solare dal precedente (salvo accordi con l’ente di certificazione supportate da particolari motivazioni).

Verso una reale applicazione dell’art. 42 del GDPR: i tratti salienti dei “paragrafi”

L’art.42 del GDPR al par. 1 stabilisce che «Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al presente regolamento dei trattamenti effettuati…».

Al successivo par. 2 prosegue affermando che oltre all’adesione «…dei titolari del trattamento o responsabili…i meccanismi, i sigilli o i marchi approvati…possono essere istituiti al fine di dimostrare la previsione di garanzie appropriate…da parte dei titolari del trattamento o responsabili del trattamento non soggetti al presente regolamento ai sensi dell’articolo 3, nel quadro dei trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali… Detti titolari del trattamento o responsabili del trattamento assumono l’impegno vincolante e azionabile, mediante strumenti contrattuali o di altro tipo giuridicamente vincolanti, di applicare le stesse adeguate garanzie anche per quanto riguarda i diritti degli interessati».

I susseguenti par. 3 e 4 invece ci rammentano che l’adesione alla certificazione è volontaria e che essa «…non riduce la responsabilità del titolare del trattamento o del responsabile…al presente regolamento e lascia impregiudicati i compiti e i poteri delle autorità di controllo competenti…».

Al par. 5 viene affermato che la stessa è «…rilasciata dagli organismi di certificazione di cui all’articolo 43 o dall’autorità di controllo competente in base ai criteri approvati da tale autorità di controllo…o dal comitato… Ove i criteri siano approvati dal comitato, ciò può risultare in una certificazione comune, il sigillo europeo per la protezione dei dati.».

Ancora, ai par. 6 e 7 come si specifica che i soggetti che vogliano sottoporsi al processo di certificazione devono fornire tutte le informazioni e l’accesso «…alle attività di trattamento necessarie a espletare la procedura di certificazione», così si precisa che la certificazione è rilasciata per un periodo massimo di tre anni, con possibilità di rinnovo alle stesse condizioni purché continuino a sussistere i criteri pertinenti: per contro, la stessa può essere revocata, anche dall’Autorità di controllo, in via discrezionale.

Infine, al par. 8 si evidenzia che «Il comitato raccoglie in un registro tutti i meccanismi di certificazione e i sigilli e i marchi di protezione dei dati e li rende pubblici con qualsiasi mezzo appropriato».

Il prosieguo, tra linee guida e studi

A fronte di tale cornice normativa, sono state rilasciate, da parte dell’EDPB, le linee guida 1/2018 e 4/2018 sull’accreditamento e sulla certificazione.

Successivamente, la Commissione europea ha affidato uno studio all’Università di Tilburg per la selezione di una norma di certificazione sulla protezione dei dati, nel pieno rispetto degli artt. 42 e 43, ed in ragione delle succitate linee guida.

Nello studio la Commissione avrebbe identificato ed analizzato oltre un centinaio (ben 117) di schemi di certificazione, suddivisi in tre differenti raggruppamenti:

  • completamente orientati alla data protection;
  • parzialmente orientati alla data protection;
  • quale argomento collegato (ad esempio la cybersecurity).

Come risulta dal final report pubblicati dalla Commissione europea, per soltanto due di questi schemi, è stata decretato la piena attinenza a questo stabilito dagli artt. 42 e 43.

Le FAQ del Garante

Lo scorso 14 luglio il Garante ha diffuso le risposte alle FAQ (domande più frequenti) in merito a certificazione ed accreditamento ai sensi del GDPR.

Rimandando al comunicato ufficiale, con il quale il Garante introduce la questione, scendiamo ora nel dettaglio di questi chiarimenti messi a punto dal Garante e da Accredia (ente unico di accreditamento italiano) fornendo altresì qualche commento nostro frutto di un lavoro interpretativo condiviso; così come l’aggiunta dei SI e dei NO (a domanda-risposta).

Scarica le faq in formato booklet (.pdf)

Cos’è la certificazione?

É una attestazione rilasciata da una terza parte, Organismo di Certificazione (OdC), relativa ad un prodotto, processo, servizio, persona o sistema, sottoposto a valutazione della conformità rispetto a requisiti contenuti in una norma tecnica (standard) o in un disciplinare specifico.

La certificazione si dice “accreditata” quando viene data dimostrazione, da parte dell’ente unico nazionale di accreditamento istituito ai sensi del Regolamento (CE) n. 765/2008, in Italia Accredia, della terzietà, competenza, imparzialità e adeguatezza dell’OdC.

Che cos’è l’accreditamento?

É una forma indipendente e autorevole di attestazione della terzietà, competenza, imparzialità e adeguatezza degli organismi di valutazione della conformità.

L’attività di accreditamento è disciplinata a livello europeo e internazionale, rispettivamente, dal Regolamento (CE) n. 765/2008 e dalla norma tecnica ISO/IEC 17011, e in Italia è svolta da Accredia, l’ente unico nazionale designato dal Governo.

Quali sono i vantaggi della certificazione?

A questa domanda il Garante offre una risposta piuttosto articolata, prevedendo diverse ipotesi alla cui lettura si rinvia, e dalle quali si può sostanzialmente ricavare che intraprendendo questo percorso si infonde maggiore fiducia (e quindi accountability) ai clienti nonchè a tutte le parti interessate (azionisti, dipendenti, fornitori, ecc.) che un prodotto, un servizio o un processo soddisfino tutto o in parte i requisiti del GDPR.

Le organizzazioni inoltre potranno giovarsi di:

  • una migliore capacità di strutturare e gestire le proprie risorse e i processi produttivi;
  • ottenere e mantenere la conformità dei prodotti realizzati o dei servizi erogati, anche apponendo sulla confezione del prodotto o altri supporti afferenti al servizio oggetto della certificazione (certificazione di prodotto, processo o servizio) il marchio della conformità;
  • possedere e mantenere nel tempo, delle abilità, delle conoscenze e delle competenze richieste per lo svolgimento di determinate attività professionali (figure Privacy).

Ed ancora potranno, esibire sul mercato un’attestazione autorevole di terza parte, soddisfare eventuali requisiti di bandi di gara e svolgere specifiche attività in settori cogenti e regolamentati gestiti dalla PA.

Quali sono i vantaggi della certificazione ai sensi del GDPR?

Posto l’incoraggiamento da parte del GDPR di tali meccanismi di certificazione della protezione dei dati personali, la certificazione rappresenta in ogni caso un utile strumento per titolari e responsabili del trattamento, volta a dimostrare il rispetto degli obblighi, le garanzie sufficienti e la conformità ai requisiti di protezione dei dati.

Chi sono i soggetti coinvolti nel processo di certificazione ai sensi del GDPR?

I soggetti coinvolti nel processo di certificazione sono:

  • l’azienda/l’ente che richiede la certificazione;
  • l’organismo di certificazione (OdC), accreditato che rilascia i certificati sulla base dei risultati di verifiche e vigila sulla corretta gestione dei certificati;
  • l’ente di accreditamento, che accredita gli enti di certificazione e controlla periodicamente il mantenimento dei requisiti previsti da parte di tali soggetti (tra cui l’imparzialità, competenza e adeguatezza).

La certificazione ai sensi del GDPR deve essere rilasciata in base a schemi di certificazione approvati dall’Autorità di controllo competente.

Cosa posso certificare in ambito di protezione dati?

In base a quanto previsto dal GDPR e alla luce delle linee-guida 1/2018 dell’EDPB, l’oggetto della certificazione è un trattamento di dati personali. Poiché la definizione di “trattamento” di dati personali è molto ampia, anche l’oggetto della certificazione può variare in misura considerevole e può comprendere una sola operazione di trattamento (ad esempio la conservazione di dati personali) ovvero più operazioni di trattamento (ad esempio raccolta, conservazione, messa a disposizione).

Nella misura in cui uno o più trattamenti configurino un “servizio” o un “prodotto”, la certificazione può avere come oggetto tale servizio o prodotto (ad esempio il servizio di gestione del personale di un’azienda, o uno strumento software).

Il Garante precisa inoltre che non si può certificare un prodotto svincolato dal suo utilizzo (ossia visto come parte di un trattamento/servizio).

Cosa è un sigillo Europeo?

Un sigillo europeo per la protezione dei dati è uno schema di certificazione sviluppato per essere utilizzato in tutti gli Stati membri dell’Unione europea. A tal fine, viene preso in considerazione l’ambito di applicazione dei criteri dello schema di certificazione e, più in generale, l’idoneità dello stesso a fungere da certificazione comune europea.

Il Garante può rilasciare certificazioni secondo il GDPR?

SI, tecnicamente potrebbe farlo rientrando l’Autorità tra i soggetti legittimati al rilascio della certificazione possono essere, oltre agli OdC accreditati, pur tuttavia il Garante al momento, fa sapere

di aver deciso di non rilasciare certificazioni.

Una volta che Accredia avrà rilasciato l’accreditamento agli OdC – sulla base dei requisiti di accreditamento stabiliti dal GPDP – saranno questi ultimi i soggetti deputati a rilasciare le certificazioni privacy.

Chi può richiedere una certificazione ai sensi del GDPR?

Qualsiasi ente o azienda, o comunque soggetto a vario titolo interessato, che operi in qualità di titolare e/o responsabile del trattamento di dati personali può richiedere una certificazione al fine di dimostrare la conformità dei trattamenti (o di parte di questi) ad alcune disposizioni o ad alcuni principi del GDPR o nel suo insieme.

A chi devo rivolgermi per ottenere una certificazione ai sensi del GDPR?

Per ottenere una certificazione basata su di uno schema di certificazione approvato dall’Autorità di controllo, occorre rivolgersi agli OdC accreditati da Accredia (in base alla norma tecnica ISO/IEC 17065:2012 e ai requisiti aggiuntivi stabiliti dalla medesima).

La certificazione ai sensi del GDPR può essere sospesa/revocata e perché?

SI, in caso di una non conformità (NC), rispetto ai requisiti di certificazione, come risultato della sorveglianza o per un qualsiasi altro motivo, l’OdC deve esaminare la NC e decidere le azioni appropriate, che possono consistere nel:

  • mantenimento della certificazione sotto condizioni specificate dall’OdC;
  • sospensione della certificazione in attesa di azioni correttive da parte dell’organizzazione certificata;
  • revoca della certificazione o riduzione del campo di applicazione della certificazione stessa.

Senza dimenticare che anche il Garante ha il potere di ingiungere a un OdC di revocare o non rilasciare una determinata certificazione, qualora non siano o non siano più soddisfatti i relativi requisiti.

La certificazione secondo la norma tecnica UNI 11697 è una certificazione ai sensi del GDPR?

NO, la certificazione secondo la norma UNI 11697:2017 “Attività professionali non regolamentate – Profili professionali relativi al trattamento e alla protezione dei dati personali – Requisiti di conoscenza, abilità e competenza” in quanto orientata alla certificazione di persone non rientra tra quelle disciplinate dall’art. 42 del GDPR.

Tale certificazione personale resta comunque una valida attestazione dei requisiti professionali per alcune figure professionali operanti nel settore del trattamento e della protezione dei dati personali: Responsabile della protezione dei dati (DPO), Manager Privacy, Specialista Privacy e Valutatore Privacy.

Le certificazioni privacy oggi disponibili secondo Accredia

Accredia rilascia l’accreditamento agli organismi che certificano Servizi e Professionisti in ambito privacy. Attualmente, le certificazioni permettono alle Organizzazioni di dimostrare l’impegno per la protezione dei dati personali.

In ambito privacy vengono rilasciate diverse tipologie di certificazione, in base alle esigenze del mercato finalizzate ad allinearsi, in modo volontario, alle prescrizioni del GDPR.

«Gli schemi attivi, ovvero i requisiti per la certificazione, sono definiti dagli Enti di Normazione (UNI e CEI in Italia, EN, ISO e IEC a livello europeo e internazionale) attraverso le norme tecniche o Prassi di Riferimento (PdR) o dagli schemi proprietari appartenenti a categorie private».

Pertanto, se è vero che le certificazioni rilasciate dagli organismi accreditati non sono ancora riconosciute dal Garante ai sensi del GDPR, è altresì vero che queste «sono riconosciute dal mercato come una garanzia e un atto di diligenza dell’adozione volontaria di un sistema di analisi e controllo dei principi e delle norme del Regolamento».

Ciò detto, è bene rammentare che la certificazione non costituisce un esimente rispetto alle possibili sanzioni e possibili imputazioni in termini di colpevolezza derivanti da illeciti (come, ad esempio un Data Breach); tuttavia tale “bollino” costituisce un’attenuante ai sensi dell’art. 83 del GDPR oltre che una importante misura di accountability.

Di seguito una tabella illustrativa, realizzata grazie alle indicazioni fornite direttamente da Accredia.

Certificazione di prodotti e servizi

Tipologie di certificazioni rilasciate da organismi accreditati secondo la norma ISO/IEC 17065

Quale schemaCosa contiene
ISDP 10003 – protezione dei dati personaliLa certificazione accreditata viene rilasciata in base allo schema privato ISDP©10003 “Criteri e regole di controllo per la certificazione dei processi per la tutela delle persone fisiche con riguardo al trattamento dei dati personali – Reg. UE 679/2016”.

Lo schema specifica i requisiti per la gestione in correttezza, sicurezza e conformità dei dati personali delle persone fisiche, con particolare riguardo ai dati personali, e fornisce i principi e gli elementi di controllo per una completa valutazione della conformità dei processi interni in merito alla protezione dei dati personali, con specifico riferimento alla corretta gestione dei rischi.

La certificazione riguarda tutte le tipologie di organizzazioni che vogliano dimostrare la propria accountability attraverso l’adozione volontaria di un sistema di analisi e controllo dei principi e delle norme di riferimento in tema di data protection.

SGCMF 10002 – conformità degli archivi degli operatori sanitariLa certificazione accreditata viene rilasciata in base allo schema privato SGCMF©10002 che riguarda i processi di trattamento dei dati personali degli operatori sanitari delle aziende farmaceutiche, ai sensi del combinato disposto delle norme vigenti in merito di protezione dei dati personali e delle norme che regolano la pubblicità di medicinali.

Attraverso lo strumento della certificazione, l’azienda farmaceutica può tenere sotto controllo le variabili strategiche interne, razionalizzare i processi e operare secondo le norme di legge.

UNI/PDR 43 – gestione dei dati personali in ambito ictLa certificazione accreditata è rilasciata in conformità alla Prassi di Riferimento UNI 43:2018 “Linee guida per la gestione dei dati personali in ambito ICT secondo il Regolamento UE 679/2016 (GDPR)”, studiata per tutte le organizzazioni che trattano dati con strumenti elettronici, in particolare alle piccole e medie imprese.

La PdR compone di due sezioni: la prima (UNI/Pdr 43.1) fornisce le linee guida per la definizione e attuazione dei processi afferenti al trattamento dei dati personali, mediante strumenti elettronici (ICT); la seconda (UNI/Pdr 43.2) fornisce un insieme di requisiti che permette alle organizzazioni, in particolare alle PMI, di essere conformi a quanto previsto dal quadro normativo europeo e nazionale in modo efficace, e può essere usata per l’attività di certificazione.

Attraverso la certificazione, l’organizzazione ha l’obiettivo di dimostrare una gestione dei dati personali in ambito ICT in linea con le prescrizioni del GDPR, in termini di sicurezza e correttezza della gestione del processo di trattamento dei dati personali da parte dei titolari e dei responsabili.

Certificazione di Sistemi di Gestione

Tipologie di certificazioni rilasciate da organismi accreditati secondo la norma ISO/IEC 17021

ISO/IEC 27018 – servizi cloud per la gestione dei dati personaliLa certificazione accreditata è rilasciata secondo le linee guida internazionali ISO/IEC 27018 “Information technology – Security techniques – Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors” integrate con la norma ISO/IEC 27017 “Information technology – Security techniques – Code of practice for information security controls based on ISO/IEC 27002 for cloud services”.

L’obiettivo della certificazione è attestare la capacità dei fornitori di servizi cloud di garantire la sicurezza e la protezione dei dati, inclusi quelli personali soggetti alle normative privacy.

È uno strumento utile per le organizzazioni che agiscono come controllori delle informazioni di identificazione personale, poiché garantisce la qualità e l’efficacia degli obiettivi di controllo, dei controlli stessi comunemente accettati per l’implementazione di misure volte a proteggere le informazioni personali identificabili.

ISO 27701 – sistemi di gestione delle informazioni sulla privacyLa certificazione accreditata è rilasciata secondo la norma ISO 27701 “Security techniques – Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management – Requirements and guidelines” che fornisce i requisiti per integrare la norma ISO/IEC 27001 estendendone lo scopo di applicazione al perimetro della gestione della privacy.

L’applicazione della ISO/IEC 27701 deve appoggiarsi all’applicazione delle norme citate, essendo una estensione della ISO/IEC 27001.

La certificazione è uno strumento utile per l’organizzazione, con l’obiettivo di:

  • attestare a clienti e stakeholder che l’azienda utilizza sistemi efficaci per supportare la conformità al GDPR e ad altre normative sulla privacy correlate.
  • ridurre i rischi legati alla violazione della privacy delle persone e dell’organizzazione migliorando un sistema di gestione della sicurezza delle informazioni esistente.
Certificazione di persone

Tipologie di certificazioni rilasciate da organismi accreditati secondo la norma ISO/IEC 17024.

UNI 11697 – data protection officer (dpo)La certificazione accreditata è rilasciata ai sensi della norma UNI 11697 “Attività professionali non regolamentate – Profili professionali relativi al trattamento e alla protezione dei dati personali – Requisiti di conoscenza, abilità e competenza” al professionista Data Protection Officer (DPO), la figura responsabile della protezione dati introdotta dal GDPR.

La norma definisce i profili professionali relativi al trattamento e alla protezione dei dati personali coerentemente con le definizioni fornite dall’EQF (European Qualifications Framework) e prevede una serie di figure specializzate per la gestione aziendale di tutti gli aspetti relativi alla privacy.

Come evidente, Accredia non considera solo le certificazioni accreditate secondo lo schema ISO/IEC 17065 (le uniche che parrebbero essere, ad oggi, riconoscibili dal Garante), ma anche da altri schemi già di largo utilizzo come la ISO/IEC 27701 nonché quelle a carattere personale.

Per ulteriori approfondimenti clicca qui e consulta qui

Schemi di largo utilizzo

Ne citiamo due, l’INVEO ISDP 10003 e la ISO/IEC 27701:2019, di seguito brevemente illustrati.

INVEO ISDP 10003

Anzitutto degno di segnalazione è lo schema di certificazione ISDP 10003, in particolare nella sua versione recentemente rilasciata ISDP© 10003:2020.

Lo schema si pone l’obiettivo di valutare la conformità al GDPR, ed è stato accreditato da Accredia secondo lo standard ISO/IEC 17065:2012 come richiamato dall’art. 43(1)(b) del GDPR.

Lo schema ISDP©10003:2020, tra l’altro, è liberamente scaricabile dal sito internet www.in-veo.com per un suo libero utilizzo da parte di titolari, responsabili, consulenti, DPO e/o qualunque altro soggetto intenda utilizzarlo come linea guida per un corretto adeguamento al GDPR.

Consigliamo quindi quantomeno una sua attenta valutazione, perché è a nostro avviso uno schema davvero interessante e completo.

La versione 2020 inoltre, considera lo schema HLS, cosa che rende la norma più facilmente integrabile con gli altri sistemi di gestione (abbiamo discusso precedentemente dell’HLS nella narrazione).

La ISDP 10003 definisce i requisiti generali ed i relativi controlli, per dimostrare la conformità dei trattamenti di dati personali, ai sensi del regolamento UE 2016/679, che i titolari e responsabili effettuano nell’ambito della propria attività. In virtù dello schema di riferimento che è stato appositamente selezionato (ISO/IEC 17065) essa si pone in condizioni di vantaggio nella competizione per la selezione di una norma di certificazione pienamente compatibile con il GDPR, ed anzi a nostro avviso merita sicuramente di essere prescelta[1].

ISO/IEC 27701:2019

Lo standard ISO/IEC 27701:2019, che nasce anch’esso per soddisfare le necessità di certificazione richiamate dal GDPR, non è stato incluso nel citato Studio Tilburg, perché è stato rilasciato successivamente.

Questa norma inoltre è stata architettata inserendola nella famiglia dei “sistemi di gestione accreditabili ai sensi della ISO/IEC 17021-1” ed è incompatibile con l’Art. 43(1)(b), incompatibilità riconosciuta da Accredia (Ente di accreditamento italiano) nella sua Circolare tecnica inviata gli Organismi di certificazione disponibile qui per la sua consultazione.

Tuttavia, pur non avendo la completezza dell’ISDP 10003 e non potendo soddisfare appieno i requisiti di compliance al GDPR, lo schema ISO/IEC 27701 è tutt’oggi adottato da diversi enti di certificazione nonchè richiesto da molte organizzazioni, grazie anche al fatto che rappresenta una estensione della norma ISO/IEC 27001 senza la quale evidentemente non sarà possibile fare alcunché.

Ma allora esiste davvero una certificazione GDPR

Esistono ad oggi schemi riconosciuti dal Garante? In realtà non ancora, seppure alcuni siano comunque già accreditati (e quindi certificabili a prescindere), peraltro riconosciuti dal mercato come una garanzia ed atto di diligenza dell’adozione volontaria di un sistema di analisi e controllo dei principi e delle norme del GDPR.

Il risultato sembra palese, in favore dell’unico Schema che pare soddisfare completamente i requisiti del GDPR e dell’Autorità, e le FAQ lo lasciano trapelare chiaramente.

Ma non è tanto questo il punto. É bene, infatti, ricordare che a prescindere dal risultato, può valer la pena dotare la propria Organizzazione o il proprio personale, di certificazioni riconosciute comunque a livello mondiale in termini di Sicurezza delle Informazioni e conformità Privacy, rappresentando un’indiscussa misura di accountability.

Conclusioni

In calce e conclusione di questa trattazione, siamo allora in grado di affermare che qualche timido passo in avanti è stato compiuto, anche solo per iniziare a dirimere (una volta per tutte) la questione.

Ciò non toglie tuttavia che nonostante le recenti FAQ ancora molti dubbi restano irrisolti, ad oggi.

Pensiamo alla 1, che sembrerebbe andare in contraddizione con la 9, e quindi con la 12 sfiorando la 3. In pratica, vogliamo rappresentare che il Garante nell’affermare cos’è la certificazione, dandone un’accezione dall’ampia ricaduta (prodotto, processo, servizio, persona o sistema) sostiene dopo che qualunque “soggetto a vario titolo interessato”, lasciando quindi intendere anche persone possano avvalersi del meccanismo di certificazione, quando invece conformemente al GDPR la certificazione personale non rientra affatto tra quelle disciplinate. Per arrivare a concludere come nonostante tra i vantaggi citati relativamente all’acquisizione della certificazione vi sia “il possesso, il mantenimento nel tempo, delle abilità, delle conoscenze, e delle competenze richieste per lo svolgimento di determinate attività professionali”, in realtà la certificazione privacy personale sia fuori gioco.

Una contraddizione in termini o un ricercato percorso argomentativo?

Si attendano ulteriori sviluppi.

Note

  1. Per ulteriori approfondimenti si rimanda al nostro volume “Il sistema integrato per la SICUREZZA delle INFORMAZIONI ed il GDPR- Guida operativa all’efficace integrazione dei due mondi anche con l’ausilio della ISO/IEC 27701”, EPC Editore, febbraio 2021.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • strategie

    Chips Act: l'Italia non vuole restare indietro nella corsa Ue ai semiconduttori

    30 Nov 2023

    di Martino Basilisco e Pietro Missanelli

    Condividi

Prossimo

Chips Act: l'Italia non vuole restare indietro nella corsa Ue ai semiconduttori

Articolo 1 di 2