Garantire un corretto trattamento dei dati dei cittadini è, in Unione Europea, un pilastro per tutelare la libertà e i diritti delle persone interessate: la certificazione Europrivacy è uno strumento utile alle aziende e agli enti per dimostrare la propria conformità al Gdpr e, dunque, l’impegno in questo ambito. Si tratta, infatti, del primo schema di certificazione registrato dall’Edpb – European Data Protection Board – con validità in tutto il territorio europeo per affermare la compliance dei processi di trattamento dei dati.
I vantaggi che derivano dall’ottenere questa certificazione però vanno oltre la semplice conferma di essere compliant al Gdpr: si traducono infatti in una migliore reputazione e, di conseguenza, in un’accresciuta percezione di affidabilità da parte di clienti e fornitori, con benefiche ripercussioni sul proprio business. Per ottenere questa certificazione è necessario rivolgersi a un ente certificatore accreditato secondo i requisti previsti dal GDPR stesso e dall’EDPB, in grado di mettere in pratica attività di audit rigorose e specifiche al fine di valutare l’aderenza alla normativa.
Indice degli argomenti
Certificazione Europrivacy, cosa dice la normativa
Gli articoli 42 e 43 del Gdpr, che ricordiamo è datato 2016, trattano il tema della certificazione volta ad attestare la conformità del trattamento dei dati attuato dalla propria azienda alle indicazioni previste dal regolamento. Tuttavia, il Gdpr non propone uno schema di certificazione specifico, delegandone l’attività di definizione alle autorità nazionali in materia di protezione dei dati: “La prima autorità garante a lavorare su questo fronte è stata quella del Lussemburgo, che inizialmente aveva creato un primo schema di certificazione valido solo a livello nazionale – racconta Giovanni Francescutti, Global Technical Manager e scheme responsible Europrivacy dell’ente certificatore Dnv -.
Europrivacy ha avuto l’endorsement da parte del Board Europeo delle Autorità Garanti a fine 2022 ed è accettato da tutte le autorità nazionali dei Paesi membri come strumento per certificare titolari e responsabili del trattamento dei dati.In Italia Accredia, attraverso una convenzione siglata con il Garante Privacy, ha emesso nel 2023 lo specifico schema di accreditamento. Dnv è stato il primo ente certificatore ad accreditarsi nel 2024, consentendo il rilascio delle certificazioni Europrivacy in tutta Europa”, precisa Francescutti.
Come funziona la certificazione Europrivacy
Lo schema di Europrivacy prevede “lo svolgimento di controlli per verificare l’aderenza agli obblighi previsti dal Gdpr – spiega Francescutti -. Questo riguarda gli aspetti normativi, legati ai requisiti generali e volti ad accertare la conformità al regolamento, ma anche quelli tecnici. Rientrano in questa seconda categoria, per esempio, le verifiche sui criteri applicati di sicurezza dei dati e sui livelli di accesso ai dati, al fine di assicurare che tali processi siano svolti in modo adeguato”. Lo schema prevede anche controlli specifici per particolari tecnologie impiegate dall’azienda, come l’intelligenza artificiale, o per particolari categorie di dati, come quelli sanitari: “In questi casi è necessario un esperto del campo in esame, per svolgere le adeguate verifiche – sottolinea Francescutti -. I controlli infatti si basano sui specifici fattori di rischio che si presentano nei processi di trattamento dei dati, e che richiedono adeguate competenze nei vari settori”.
I vantaggi di Europrivacy
Lo schema di certificazione Europrivacy è fondamentale per dimostrare la compliance al Gdpr. Il regolamento “è stato innovativo nel prevedere una certificazione per dimostrare la conformità alle regole previste. Europrivacy (come altri sigilli approvati) è uno strumento indispensabile per accertare che si sta lavorando nel modo corretto per garantire la libertà degli interessati attraverso un trattamento sicuro dei loro dati”, afferma Francescutti. Questo aspetto rappresenta una leva importante sia per i titolari del trattamento che per i responsabili: “Un titolare che gestisce direttamente i dati delle persone trae beneficio dal poter dimostrare in modo oggettivo che si agisce in compliance al Gdpr, oltretutto apporre un marchio di certificazione è una garanzia aggiuntiva e ‘verificabile’ anche per l’utente – spiega Francescutti -. Nel caso di un responsabile del trattamento, invece, come per esempio un’azienda di IT che gestisce i sistemi informativi per conto di un’altra impresa, Europrivacy dimostra che si attuano processi conformi al Gdpr nell’ambito di un rapporto B2B”. Un elemento di rilievo, considerando la sempre maggiore complessità delle organizzazioni e, di conseguenza, della supply chain.
Come funziona la certificazione Europrivacy con Dnv
Dnv in qualità di ente certificatore è autorizzato a svolgere le dovute verifiche e a rilasciare le certificazioni Europrivacy in tutti gli Stati membri dell’Unione Europea: “Il Garante privacy funge da supervisore e l’ente Accredia hanno accesso a tutti i rapporti di audit che si svolgono, e c’è sempre un confronto con l’Autorità prima del rilascio della certificazione”, precisa Francescutti. Il processo per arrivare alla certificazione richiesta da un’azienda cliente comincia con un assessment dei processi dell’impresa: “Da chiarire che non viene certificata l’intera azienda, come per esempio avviene nel caso di altre norme Iso. In questo caso, invece, si certificano specifici trattamenti dei dati – spiega l’esperto -. In primis è importante valutare i rischi, la complessità, fare le interviste necessarie e prevedere i tempi tecnici di gestione dell’attività”, che possono variare da pochi giorni a periodi più lunghi a seconda dei casi, delle caratteristiche dei processi, della quantità di dati e della grandezza dell’azienda.
L’attività di Dnv è divisa in due parti: “Si inizia con un audit, per cui insieme a un legale si svolgono le necessarie verifiche in azienda, come i controlli documentali, la valutazione dei consensi e di processi tecnici come quello per minimizzare i rischi per le informazioni. In caso ci siano mancanze, queste vengono segnalate”, racconta Francescutti. Importante sottolineare che l’ente certificatore non svolge consulenza per evitare il conflitto di interessi, sarà l’azienda a doversi occupare di porre rimedio a eventuali lacune. Superata la prima fase, si procede al testing: “Si svolgono verifiche su campioni, in modo molto complesso e dettagliato, per accertare la compliance degli specifici trattamenti sotto esame”.
Da non scordare che, oltre al Gdpr, vanno rispettate le legislazioni nazionali, che sono spesso molto specifiche: “Dnv assicura la presenza di un legale esperto della legislazione nazionale, specializzato in privacy e data protection, per affiancare i tecnici e garantire la compliance anche a tali norme”. La presenza di un legale, insieme all’auditor, è una ulteriore garanzia per gli interessati del trattamento: “Si accerta che l’azienda si sia sforzata al massimo per garantire la massima tutela dei dati degli interessati – conclude Francescutti – in un’ottica di tutela delle libertà e dei diritti di ognuno”.
Articolo realizzato in partnership con Dnv
