L'analisi

Data Protection e sistemi di gestione certificati: dalla compliance all’accountability

Non sono ancora stati accreditati schemi per le certificazioni GDPR, tuttavia adottare da subito questi strumenti ha un impatto positivo in un’ottica di adeguamento alle indicazioni e ai principi del regolamento, in particolare riguardo l’accountability

Pubblicato il 11 Feb 2021

Andrea Carmo

Associate Partner P4I – Partners4Innovation

Andrea Reghelin

Associate Partner P4I – Partners4Innovation

auditing

Il GDPR ha creato le condizioni per permettere a titolari e responsabili di impostare la propria compliance alle normative vigenti attraverso l’adesione volontaria a uno schema di certificazione accreditato. Oggi non sono ancora stati accreditati gli schemi di certificazione, ma l’opportunità è tale da suggerire di valutarne attentamente fin da ora l’adozione, essendo già possibile anticipare alcune misure che generalmente costituiscono il telaio comune di tutti i sistemi di gestione certificabili.

Questo perché la certificazione, oltre a guidare nell’adozione delle misure adeguate alla mitigazione dei rischi per la sicurezza dei dati personali e alla tutela dei diritti degli interessati, è uno strumento che permette di dimostrare in modo trasparente e oggettivo, e verificato da un ente di certificazione accreditato, la propria rispondenza al principio di accountability.

A cosa servono le certificazioni GDPR

I meccanismi di certificazione, previsti e regolati dagli articoli 42 e 43 del GDPR, possono costituire un valido strumento per i titolari e responsabili dei trattamenti per dimostrare la propria conformità ai requisiti previsti dal Regolamento e sono elemento di cui l’autorità di controllo può tenere conto “al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa in ogni singolo caso”.

Certificazioni GDPR, ecco le opportunità per le aziende

Il principio chiave, e innovativo, che caratterizza il GDPR, è senza dubbio l’accountability. Il Regolamento Europeo, infatti, non fornisce l’elenco delle misure che titolari e responsabili dei trattamenti devono mettere in atto per garantire la sicurezza dei dati e tutelare i diritti degli interessati, ma richiede di predisporre misure (tecniche e organizzative) adeguate.

Se da un lato l’impostazione del GDPR responsabilizza i titolari e responsabili dei trattamenti nel definire le misure tecniche e organizzative adeguate a garantire la propria conformità ai requisiti normativi, dall’altro impone agli stessi di documentare nel tempo le scelte effettuate. Ciò appare chiaro dall’esame dei singoli adempimenti richiesti dalla normativa, che impongono necessariamente un onere di registrazione di quanto si è fatto (si pensi ad esempio alla data protection by design, alla valutazione dei rischi, al registro dei trattamenti) e delle ragioni che hanno portato a prendere determinate decisioni (quali la valutazione dell’adeguatezza delle proprie misure di sicurezza o la scelta di non ritenere necessaria la valutazione di impatto per uno specifico trattamento).

I benefici derivanti da una certificazione GDPR

I meccanismi di certificazione introdotti dal GDPR possono essere un valido strumento a supporto delle organizzazioni, che possono dimostrare di aver implementato un sistema di gestione della protezione dei dati personali conforme ad una norma riconosciuta e la cui effettiva applicazione è verificata da un certificatore accreditato.

La tracciabilità è la grande differenza fra il semplice rispetto di un adempimento normativo (la conformità rispetto a una norma) e un sistema di gestione: il sistema garantisce evidenze documentate e oggettive sull’applicazione di un adempimento, nel caso specifico in materia di protezione di tati personali. La certificazione del sistema, inoltre, consente di dimostrarne l’aderenza rispetto ai requisiti stabiliti dallo schema di certificazione che, come noto, saranno approvati dalle autorità di controllo nazionali o dall’European Data Protection Board. Utilizzando uno schema accreditato, quindi, è necessario dimostrare esclusivamente la reale adozione di tale schema e non la sua coerenza con il Regolamento, poiché tale prerequisito è già stato valutato in fase di approvazione dello schema da parte delle autorità competenti.

Occorre però fare un’importante precisazione: l’ottenimento della certificazione sulla base di uno schema accreditato non garantisce di per sé la conformità di uno o più trattamenti alla normativa in materia di protezione dei dati personali, ma costituisce una prova di aver adottato un sistema di gestione volto a favorire il rispetto dei requisiti normativi, che può essere valutata dall’autorità di controllo ai fini della quantificazione di un’eventuale sanzione

Come funzionano i sistema di gestione della data protection

L’adozione di un sistema di gestione in materia di protezione dei dati personali richiede alle organizzazioni (e, ricordiamolo, l’adesione agli schemi di certificazione è assolutamente volontaria) di implementare un approccio sistematico che prevede specifiche misure volte a favorire l’adeguamento alla normativa e la tracciabilità di tutta una serie di azioni e decisioni. Per valutare in che modo i Sistemi di Gestione possano rispondere alle esigenze della conformità normativa, vediamo quindi quali sono gli elementi che tipicamente li caratterizzano:

  • l’impegno della Direzione, che definisce obiettivi concreti e misurabili per il miglioramento nel tempo del sistema implementato;
  • la valutazione dei rischi come strumento per definire la strada per arrivare alla compliance.
  • la valutazione della adeguatezza delle risorse umane e infrastrutturali alle esigenze di compliance e alla gestione delle aree di rischio e delle strategie aziendali;
  • la dimostrazione delle azioni attraverso evidenze documentali (documenti descrittivi, come i processi, o di registrazione, come i registri) che siano parte di un sistema di cui siano state definite le modalità di gestione (criteri di approvazione, indici di revisione, modalità di distribuzione, identificazione di un repository);
  • la definizione di indicatori e controlli per consentire alle aziende di avere una metrica di valutazione del proprio livello di conformità rispetto agli adempimenti in materia di privacy e alle performance pianificate;
  • Il riesame della Direzione, che attraverso l’analisi degli indicatori valuta la performance del sistema e definisce nuovi obiettivi.

Quanto sopra rende evidente che la certificazione può essere un fedele alleato per guidare verso l’ottenimento e il mantenimento della conformità alle normative in materia di protezione dei dati personali, attraverso un approccio risk based e secondo le logiche del miglioramento continuo. La stessa logica risk based, inoltre, permette di definire lo scopo di certificazione (magari limitandolo ai trattamenti a maggior rischio per un’organizzazione) in base a un’analisi di costi e benefici, rendendo questa strada percorribile anche per realtà quali le piccole e medie imprese.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 2