La certificazione privacy: come e perché?

Introduzione al concetto di certificazione privacy

Il principio di trasparenza costituisce un punto nevralgico nel Regolamento europeo generale in materia di protezione dei dati personali (di seguito GDPR), che è possibile declinare in diversi aspetti:

• Obblighi informativi nei confronti dell’interessato, circa il trattamento dei dati effettuato da parte del titolare del trattamento;
• Esercizio dei diritti degli interessati;
• Istituzione di meccanismi di certificazione che consentano di dimostrare l’osservanza del GDPR.

Proprio in riferimento a quest’ultimo istituto, si prenda visione del disposto del considerando 100 che ha rivoluzione il pensare del GDPR e battezzato lo strumento: “Al fine di migliorare la trasparenza e il rispetto del presente regolamento dovrebbe essere incoraggiata l’istituzione di meccanismi di certificazione e sigilli nonché marchi di protezione dei dati che consentano agli interessati di valutare rapidamente il livello di protezione dei dati dei relativi prodotti e servizi”.

Il Comitato Europeo per la protezione dei dati personali è intervenuto in materia con la pubblicazione di linee guida , precisando come i meccanismi di certificazione rappresentino la possibilità di incrementare la trasparenza non solo per gli interessati, ma anche nel quadro delle relazioni tra imprese, per esempio tra titolare e responsabile .
Nell’esamina delle novità introdotte dal legislatore europeo col GDPR, la certificazione ha assunto senz’altro un ruolo pressoché marginale, allineandosi all’opinione dominante che riduceva il meccanismo al mero ottenimento di un timbro, di una semplice attestazione.

In realtà, i vantaggi dello strumento non sono passati inosservati agli occhi di tutti: lo scorso 13 maggio, infatti, la Commissione Nazionale per la Protezione dei Dati del Lussemburgo (CNPD), autorità per la protezione dei dati, ha adottato il suo meccanismo di certificazione GDPR “CARPA”, che garantirà ad enti privati e pubblici con sede in Lussemburgo di dimostrare l’osservanza del GDPR. L’Autorità sopramenzionata, avocando a sé la facoltà di predisporre un proprio schema di certificazione, conferita dall’articolo 42, paragrafo 5 del GDPR, ha altresì elaborato i criteri di accreditamento per gli organismi che rilasceranno tale certificazione.

Al fine di cogliere le opportunità della certificazione privacy, da considerarsi anche in un’ottica di miglioramento dei processi di business e non solo di governance aziendale, si consideri la definizione universale di certificazione ripresa dall’organizzazione internazionale per la standardizzazione (ISO), descritta come: “l’attestazione rilasciata da una parte terza (organismo di certificazione, di seguito OdC), relativa a un oggetto sottoposto a valutazione della conformità rispetto a requisiti contenuti in una norma tecnica (standard) o in un disciplinare specifico” .

Decliniamo la suddetta definizione allo scenario della data protection: chiunque, soggetto pubblico o privato, titolare o responsabile del trattamento dei dati, potrà richiedere il rilascio della certificazione ai sensi dell’articolo 42 del GDPR, quale sigillo di osservanza della normativa. L’incaricato del rilascio della certificazione sarà pertanto un soggetto terzo, nello specifico l’autorità di controllo competente o un organismo di certificazione.

Schema di certificazione

L’ente richiedente verrà certificato sulla base di criteri di certificazione approvati da parte delle autorità di controllo. Nella catena dei soggetti protagonisti del meccanismo di certificazione, ruolo preminente è riconosciuto ai cosiddetti “Scheme Owner”, deputati allo sviluppo dello standard e quindi dello schema recante i principi e le norme del regolamento generale sulla protezione dei dati, sul quale si fonderà la conformità alla normativa.
L’EDPB, soggetto delegato ad incoraggiare l’adozione di meccanismi di certificazione insieme alle Autorità di controllo e la Commissione Europea, ha specificato gli aspetti principali del GDPR, da prendere in considerazione nella costruzione dello standard:

• la liceità del trattamento a norma dell’articolo 6;
• i principi del trattamento di dati personali a norma dell’articolo 5;
• i diritti degli interessati a norma degli articoli da 12 a 23;
• l’obbligo di notifica delle violazioni dei dati a norma dell’articolo 33;
• l’obbligo di protezione dei dati fin dalla progettazione e della protezione dei dati per impostazione predefinita a norma dell’articolo 25;
• se è stata effettuata o meno una valutazione d’impatto sulla protezione dei dati a norma dell’articolo 35 e le misure tecniche e organizzative messe in atto a norma dell’articolo 32

Oggetto della certificazione

L’oggetto della certificazione DEVE essere una o più operazioni di trattamento di dati personali, espletate mediante l’utilizzo di servizi o prodotti specifici. Diversamente, non potrà configurarsi come oggetto di certificazione, un singolo prodotto in quanto tale.
Ad esempio, l’azienda informatica che sviluppa il software attraverso cui gestire il dossier sanitario, non potrà richiedere la certificazione GDPR del prodotto in quanto tale, bensì potrà certificare il trattamento dei dati personali dei pazienti effettuato attraverso l’utilizzo dello strumento.
La conferma di siffatta impostazione viene condivisa anche dal Comitato europeo che richiede, ai fini della certificazione, una descrizione precisa dell’oggetto di un progetto di certificazione, oltre ad una descrizione puntuale dei trattamenti inclusi nell’oggetto della certificazione e quindi gli elementi chiave, quali dati, processi e infrastrutture tecniche che saranno sottoposti alla valutazione e quali no .

I soggetti attivi nel processo di certificazione GDPR

I soggetti che rivestono un ruolo proattivo nel processo risultano essere:

• l’ente pubblico o privato che richiede la certificazione;
• l’organismo di certificazione accreditato che rilascia i certificati sulla base della conduzione di audit di verifica;
• l’ente di accreditamento che accredita gli enti di certificazione.

Vantaggi della certificazione privacy

La presente dissertazione ha chiarito il fine del meccanismo di certificazione, ovverosia la dimostrazione dell’osservanza del GDPR; a questo punto la domanda che sorge spontanea è: qual è il fine ultimo di tale dimostrazione? Chi potrà esserne interessato?
La risposta è lampante: chi avrà necessità di fidarsi del soggetto richiedente, ergo clienti e stakeholders a vario titolo. Da qui la concezione dello strumento come opportunità per accrescere il proprio business aziendale. Ebbene, la certificazione rappresenta un valore aggiunto per gli enti, che consentirà agli stessi di contraddistinguersi fra i concorrenti del mercato globale, operando secondo le norme in vigore in materia di protezione dei dati, dimostrando la propria Accountability, attraverso l’implementazione di procedure sicure, documentate e standardizzate.

La certificazione non è uno scudo protettivo

È opportuno precisare che la certificazione GDPR non esonera titolari e responsabili del trattamento, dal rispetto delle prescrizioni della normativa europea, difatti il meccanismo non è in sé una prova assoluta della conformità, quanto piuttosto uno degli elementi esperibili per la dimostrazione.
A tal riguardo, viene richiesto di produrre documentazioni giustificative, ossia relazioni puntuali che non si limitino a ribadire i criteri di certificazione dello standard, ma ne illustrino le modalità con cui sono soddisfatti nella realtà di riferimento.

Schemi di certificazione approvati

Lo Studio Tillburg ha individuato circa 117 schemi di certificazione disponibili già nel 2016, a livello mondiale, per le certificazioni privacy.

Come anticipato, lo scorso 13 maggio la Commissione Nazionale per la Protezione dei Dati del Lussemburgo (CNPD) ha adottato il suo meccanismo di certificazione GDPR “CARPA”, che garantirà ad enti privati e pubblici con sede in Lussemburgo di dimostrare l’osservanza del GDPR. Si tratta di uno schema di certificazione generale, difatti, non ha ad oggetto uno specifico settore e racchiude requisiti di governance della protezione dei dati .

Per quanto concerne lo schema ISDP 10003 che fornisce conformità al GDPR, sviluppato dall’ente di certificazione italiano INVEO, sinora lo standard è in fase di approvazione da parte del Garante privacy italiano. Lo schema è agevolmente scaricabile dal privacy tools dal sito web dell’ente e può essere utilizzato da tutti coloro i quali intendano implementare un sistema di gestione privacy a prova di GDPR.

Per approfondimenti a riguardo, Vi invitiamo a rivedere il webinar tenuto dal team Mondo privacy in collaborazione con Inveo – accesso tramite registrazione gratuita all’archivio dei webinar.

Da ultimo, in data 10 ottobre u.s., con parere n. 28/2022, l’EDPB ha ritenuto i criteri di certificazione Europrivacy, in linea con quanto previsto dal GDPR.
Soluzione progettata per aderire ai trattamenti di dati personali tenendo conto dell’innovazione tecnologica (IoT, AI, Blockchain…) e tale da integrarsi alle normative nazionali. Il processo di certificazione segue l’impianto delle norme ISO, quindi, sussiste una prima fase di raccolta delle informazioni seguita da una serie di controlli che riprendono i princìpi cardine del Regolamento Europeo:

1. identificazione dei dati personali trattati;
2. conformità ai requisiti per le informazioni sul trattamento dei dati fornite agli interessati;
3. liceità del trattamento;
4. rispetto del principio di minimizzazione;
5. l’attuazione dei diritti degli interessati;
6. gestione dei data breach;
7. limitazione della conservazione dei dati.

A margine dell’attività, se il risultato è positivo, il percorso si conclude con l’ottenimento del sigillo che attesta l’avvenuta certificazione con durata triennale.
Un ulteriore tassello che mette in luce quanto il rispetto dei dati personali sia sempre più fondamentale sia per la compliance aziendale che per essere e scegliere fornitori qualificati.
Non a caso, anche l’ultima revisione della ISO 27001:2022 inserisce il concetto di privacy nel titolo (Information security, cybersecurity and privacy protection — Information security management systems — Requirements).