Il GDPR ha creato le condizioni per permettere a titolari e responsabili di impostare la propria compliance alle normative vigenti attraverso l’adesione volontaria a uno schema di certificazione accreditato. Oggi non sono ancora stati accreditati gli schemi di certificazione, ma l’opportunità è tale da suggerire di valutarne attentamente fin da ora l’adozione, essendo già possibile anticipare alcune misure che generalmente costituiscono il telaio comune di tutti i sistemi di gestione certificabili.
Questo perché la certificazione, oltre a guidare nell’adozione delle misure adeguate alla mitigazione dei rischi per la sicurezza dei dati personali e alla tutela dei diritti degli interessati, è uno strumento che permette di dimostrare in modo trasparente e oggettivo, e verificato da un ente di certificazione accreditato, la propria rispondenza al principio di accountability.
A cosa servono le certificazioni GDPR
I meccanismi di certificazione, previsti e regolati dagli articoli 42 e 43 del GDPR, possono costituire un valido strumento per i titolari e responsabili dei trattamenti per dimostrare la propria conformità ai requisiti previsti dal Regolamento e sono elemento di cui l’autorità di controllo può tenere conto “al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa in ogni singolo caso”.
Il principio chiave, e innovativo, che caratterizza il GDPR, è senza dubbio l’accountability. Il Regolamento Europeo, infatti, non fornisce l’elenco delle misure che titolari e responsabili dei trattamenti devono mettere in atto per garantire la sicurezza dei dati e tutelare i diritti degli interessati, ma richiede di predisporre misure (tecniche e organizzative) adeguate.
Se da un lato l’impostazione del GDPR responsabilizza i titolari e responsabili dei trattamenti nel definire le misure tecniche e organizzative adeguate a garantire la propria conformità ai requisiti normativi, dall’altro impone agli stessi di documentare nel tempo le scelte effettuate. Ciò appare chiaro dall’esame dei singoli adempimenti richiesti dalla normativa, che impongono necessariamente un onere di registrazione di quanto si è fatto (si pensi ad esempio alla data protection by design, alla valutazione dei rischi, al registro dei trattamenti) e delle ragioni che hanno portato a prendere determinate decisioni (quali la valutazione dell’adeguatezza delle proprie misure di sicurezza o la scelta di non ritenere necessaria la valutazione di impatto per uno specifico trattamento).
I benefici derivanti da una certificazione GDPR
I meccanismi di certificazione introdotti dal GDPR possono essere un valido strumento a supporto delle organizzazioni, che possono dimostrare di aver implementato un sistema di gestione della protezione dei dati personali conforme ad una norma riconosciuta e la cui effettiva applicazione è verificata da un certificatore accreditato.
La tracciabilità è la grande differenza fra il semplice rispetto di un adempimento normativo (la conformità rispetto a una norma) e un sistema di gestione: il sistema garantisce evidenze documentate e oggettive sull’applicazione di un adempimento, nel caso specifico in materia di protezione di tati personali. La certificazione del sistema, inoltre, consente di dimostrarne l’aderenza rispetto ai requisiti stabiliti dallo schema di certificazione che, come noto, saranno approvati dalle autorità di controllo nazionali o dall’European Data Protection Board. Utilizzando uno schema accreditato, quindi, è necessario dimostrare esclusivamente la reale adozione di tale schema e non la sua coerenza con il Regolamento, poiché tale prerequisito è già stato valutato in fase di approvazione dello schema da parte delle autorità competenti.
Occorre però fare un’importante precisazione: l’ottenimento della certificazione sulla base di uno schema accreditato non garantisce di per sé la conformità di uno o più trattamenti alla normativa in materia di protezione dei dati personali, ma costituisce una prova di aver adottato un sistema di gestione volto a favorire il rispetto dei requisiti normativi, che può essere valutata dall’autorità di controllo ai fini della quantificazione di un’eventuale sanzione
Come funzionano i sistema di gestione della data protection
L’adozione di un sistema di gestione in materia di protezione dei dati personali richiede alle organizzazioni (e, ricordiamolo, l’adesione agli schemi di certificazione è assolutamente volontaria) di implementare un approccio sistematico che prevede specifiche misure volte a favorire l’adeguamento alla normativa e la tracciabilità di tutta una serie di azioni e decisioni. Per valutare in che modo i Sistemi di Gestione possano rispondere alle esigenze della conformità normativa, vediamo quindi quali sono gli elementi che tipicamente li caratterizzano:
- l’impegno della Direzione, che definisce obiettivi concreti e misurabili per il miglioramento nel tempo del sistema implementato;
- la valutazione dei rischi come strumento per definire la strada per arrivare alla compliance.
- la valutazione della adeguatezza delle risorse umane e infrastrutturali alle esigenze di compliance e alla gestione delle aree di rischio e delle strategie aziendali;
- la dimostrazione delle azioni attraverso evidenze documentali (documenti descrittivi, come i processi, o di registrazione, come i registri) che siano parte di un sistema di cui siano state definite le modalità di gestione (criteri di approvazione, indici di revisione, modalità di distribuzione, identificazione di un repository);
- la definizione di indicatori e controlli per consentire alle aziende di avere una metrica di valutazione del proprio livello di conformità rispetto agli adempimenti in materia di privacy e alle performance pianificate;
- Il riesame della Direzione, che attraverso l’analisi degli indicatori valuta la performance del sistema e definisce nuovi obiettivi.
Quanto sopra rende evidente che la certificazione può essere un fedele alleato per guidare verso l’ottenimento e il mantenimento della conformità alle normative in materia di protezione dei dati personali, attraverso un approccio risk based e secondo le logiche del miglioramento continuo. La stessa logica risk based, inoltre, permette di definire lo scopo di certificazione (magari limitandolo ai trattamenti a maggior rischio per un’organizzazione) in base a un’analisi di costi e benefici, rendendo questa strada percorribile anche per realtà quali le piccole e medie imprese.
