• Chi Siamo

    Chi Siamo

    La G.E.N.I. S.r.l. è una società con sede a Palermo formata da professionisti, qualificati dal CEPAS, FITA CONFINDUSTRIA, ANGQ, BSI, EARA, RiNA Industry, AICQ.
  • I nostri clienti

    I nostri clienti

    I nostri clienti si collocano nel settore del commercio, della produzione e dei servizi, oltre che tra gli Enti della Pubblica Amministrazione
  • Risorse Aziendali

    Risorse Aziendali

    Con la G.E.N.I. Srl collaborano Ingegneri Gestionali, Ingegnere Ambientale, Ingegnere Meccanico, Ingegnere Elettronico, Ragioniere Commercialista, Revisore Contabile, Agente e Rappresentante di Commercio, Tecnico competente in Rilevazioni Ambientali.
  • 1
  • 2
  • 3

Certificazioni per trattamenti dati, a che punto siamo: chiariamo tutti i dubbi

Obiettivi e importanza dei meccanismi di certificazione della protezione dei dati introdotti dal Gdpr e complessità del sistema. Lo stato dell’arte in Italia, il ruolo di Accredia, i motivi del ritardo nell’attuazione e un focus sui requisiti professionali essenziali per operare nell’ambito degli organismi di certificazione.

Fin dall’entrata in vigore del Gdpr il fatto che gli artt. 42 e 43 prevedessero e regolassero la possibilità per titolari e responsabili di ottenere la “certificazione Gdpr” dei trattamenti effettuati ha scatenato, almeno in Italia, una “corsa” a offrire certificazioni di vario tipo, seconda soltanto alla corsa, non meno impressionante, che si è verificata per proporsi come DPO.

Lo Stato italiano, dal canto suo, ha fatto la sua parte, individuando l’Organismo nazionale di accreditamento – Accredia – il quale però non può ancora esercitare alcuna attività di accreditamento né possono esservi organismi di certificazione accreditati. Occorre infatti attendere la conclusione dei lavori da parte del Comitato dei garanti europei (EDPB), che dovrebbe avvenire a breve.

Nel frattempo, il problema centrale – e l’obiettivo primario delle considerazioni a seguire – è quello di proteggere titolari e responsabili dal non cessato attacco di “certificatori” più o meno consapevoli di quanto offrono e di quanto ciò che propongono sia, molto spesso, del tutto estraneo alla logica del GDPR.

In secondo luogo, queste riflessioni hanno anche il fine di stimolare, fin da ora, le società di certificazione e gli studi professionali che vogliano svolgere anche attività di certificazione di mettersi in condizione di essere compliant col Gdpr e le sue norme attuative, assicurando le professionalità necessarie.

L’importanza della certificazione

L’art. 42, paragrafo 1, del Gdpr contiene una norma di fondamentale importanza per questa materia, che recita:

“Gli Stati membri, le Autorità di controllo, il Comitato e la Commissione incoraggiano, in particolare a livello di Unione, l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari e dai responsabili del trattamento. Sono tenute in considerazione le esigenze specifiche delle micro, piccole e medie imprese.”

L’art. 42, terzo e quarto paragrafo, specificano inoltre che:

“La certificazione è procedura volontaria e accessibile tramite procedura trasparente” e che essa “non riduce la responsabilità del titolare e del responsabile del trattamento riguardo alla conformità al presente regolamento e lascia impregiudicati i compiti e i poteri delle Autorità di controllo di cui agli articoli 55 e 56.”

Infine, sempre l’art. 42, al paragrafo quinto, stabilisce che:

“La certificazione ai fini del presente articolo è rilasciata dagli organismi di certificazione di cui all’art. 43 o dall’autorità di controllo competente in base ai criteri approvati da tale autorità di controllo competente ai sensi dell’art. 58, paragrafo 3 o del comitato (EDPB), ai sensi dell’art. 63. Ove i criteri siano approvati dal comitato ciò può risultare in una certificazione comune, il sigillo europeo per la protezione dei dati personali”.

L’art. 43, dedicato ai meccanismi e agli organismi di certificazione specifica al primo paragrafo che:

“Fatti salvi i compiti e i poteri dell’Autorità di controllo competente di cui agli art. 57 e 58, gli organismi di certificazione in possesso del livello adeguato di competenze riguardo alla protezione dei dati, rilasciano e rinnovano la certificazione, dopo aver informato l’Autorità di controllo al fine di consentire alla stessa di esercitare i suoi poteri a norma del paragrafo 2, lettera h) ove necessario.

Gli Stati membri garantiscono che tali organismi di certificazione siano accreditati da uno o da entrambi dei seguenti organismi:

  1. Dall’autorità di controllo competente ai sensi degli artt. 55 o 56;
  2. Dall’organismo nazionale di accreditamento designato in virtù del Regolamento (CE) n. 764/2008 del Parlamento e del Consiglio conformemente alla norma EN-ISO/EC 17065/2012 e ai requisiti aggiuntivi stabiliti dall’Autorità di controllo cmpetente ai sensi degli art. 55 o 56”.

L’art. 43 secondo paragrafo contiene poi una lunga serie di specificazioni, che vanno dalla lettera a) alla lettera e), riguardo ai requisiti che comunque, al di là di quanto prescritto dalle Autorità nazionali o dall’EDPB, gli organismi di certificazione devono possedere per poter essere accreditati e poter svolgere la loro attività.

Obiettivi della certificazione

Il quadro normativo relativo alle certificazioni contenuto negli artt. 42 e 43, dei quali peraltro si sono riportati qui solo gli aspetti più rilevanti, consente di sottolineare alcuni punti essenziali:

  • la certificazione è sempre una scelta volontaria dei titolari o dei responsabili;
  • la certificazione deve sempre essere accessibile sulla base di procedure trasparenti;
  • La certificazione riguarda sempre e solo trattamenti di dati personali e ha lo scopo di dimostrare che i trattamenti effettuati dai titolari o dai responsabili che siano stati certificati secondo le modalità previste dagli artt. 42 e 43 sono conformi al GDPR;
  • La certificazione tuttavia non riduce la responsabilità del titolare o del responsabile né i compiti e i poteri delle Autorità di controllo.

A prima vista, leggendo in modo coordinato questi aspetti, sarebbe ragionevole chiedersi non tanto perché, come vuole l’art. 42, primo paragrafo, l’Unione Europea e gli Stati membri siano spinti a incoraggiare l’istituzione di meccanismi di certificazione, quanto perché i titolari e i responsabili dovrebbero avere interesse a chiedere tali certificazioni. Tanto più che, come si è sottolineato, esse non riguardano direttamente l’impresa o l’ente o il soggetto giuridico che trattano dati personali, ma gli specifici trattamenti che essi possono porre in essere nell’ambito delle attività svolte.

Una prima riposta la offre il Considerando 100 che afferma: “al fine di migliorare la trasparenza e il rispetto dovrebbe essere incoraggiata l’istituzione di meccanismi di certificazione e sigilli nonché marchi che consentano agli interessati di valutare rapidamente il livello di protezione dei dati dei relativi prodotti o servizi”.

Dunque, dal punto di vista del GDPR, l’obbiettivo principale della certificazione riguarda da un lato la trasparenza del trattamento e il suo rispetto del GDPR e dall’altro l’incremento della fiducia degli interessati che, grazie alla certificazione, possono “valutare rapidamente il livello di protezione dei loro dati” assicurato da chi fornisce i prodotti o i servizi.

Certificazioni per incrementare il clima di fiducia

Sostanzialmente, secondo il Considerando 100, le certificazioni, così come i sigilli e i marchi, hanno come primo scopo quello di incrementare quel clima di fiducia che il Considerando 7 considera come un obiettivo essenziale del GDPR al fine di “consentire lo sviluppo dell’economia digitale in tutto il mercato interno”.

I meccanismi di certificazione non mirano solo a rafforzare la tutela dei diritti degli interessati. La loro funzione è anche quella di incrementare la fiducia delle persone rispetto alla correttezza dei trattamenti di dati che le riguardano e di favorire così lo sviluppo del mercato digitale.

Questo spiega perché il ricorso alla certificazione sia lasciato alla libera scelta di titolari e responsabili, considerando che sia prima di tutto loro interesse specifico rafforzare la fiducia dei cittadini nelle loro attività. La stessa ragione spiega anche perché l’art. 42, paragrafo 1, nell’incentivare Unione Europea e Stati membri a porre in atto i meccanismi di certificazione, li inviti anche a tener conto delle esigenze specifiche delle micro, piccole e medie imprese.

È chiaro che si vuole consentire anche agli operatori di minori dimensioni e meno dotati di risorse economiche, di poter conquistare la fiducia dei cittadini-consumatori, concorrendo così anche essi a rafforzare il clima necessario allo sviluppo dell’economia digitale.

Le norme di cui tenere conto

Sarebbe però troppo restrittivo limitarsi a citare il Considerando 100 per spiegare il valore che le certificazioni, pur legate a singoli trattamenti o categorie di trattamenti, possono avere per i titolari e i responsabili, sì da spingerli a mettere in pratica quanto richiesto per ottenerle.

Per capire meglio il valore che la certificazione può avere per i titolari e i responsabili, giova ricordare alcune norme particolarmente importanti nell’ambito del GDPR.

La prima è quella contenuta nell’art. 24, paragrafo 3, che specifica, con riferimento all’obbligo per il titolare di poter dimostrare in ogni momento di essere compliant col GDPR, che “l’adesione ai codici di condotta di cui all’art.40 o a un meccanismo di certificazione di cui all’art. 42 può essere utilizzata per dimostrare il rispetto degli obblighi del titolare del trattamento”.

La seconda norma che spiega l’interesse a ottenere la certificazione rispetto ai trattamenti posti in essere è contenuta nell’art. 25.

Con riguardo all’obbligo del titolare di rispettare le norme contenute nei primi due paragrafi dell’art.25, relative alla privacy by design e by default, il terzo paragrafo afferma: “un meccanismo di certificazione approvato ai sensi dell’art. 42 può essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2”.

La terza norma di cui è bene tener conto è contenuta nel quinto paragrafo dell’art. 28, e fa riferimento ai rapporti tra titolare e responsabile e tra responsabile e sub responsabili disciplinati nel primo e quarto paragrafo dello stesso articolo e alle garanzie che tanto il responsabile quanto i sub responsabili devono dare circa la conformità dei trattamenti posti in essere al GDPR.

Stabilisce, infatti, l’art. 28, paragrafo 5 che “l’adesione da parte del responsabile del trattamento a un codice di condotta approvato di cui all’art.40 o a un meccanismo di certificazione approvato di cui all’art. 42 può essere utilizzata per dimostrare le garanzie sufficienti di cui ai paragrafi 1 e 4 del presente articolo”.

L’ultima norma che merita richiamare è l’art. 32 che riguarda la sicurezza del trattamento e che al primo paragrafo contiene un non breve elenco di misure di sicurezza che il titolare o il responsabile sono tenuti a valutare in rapporto ai rischi che i singoli trattamenti presentano.

Il terzo paragrafo dell’art.32 specifica che “l’adesione a un codice di condotta approvato di cui all’art. 40 o a un meccanismo di certificazione approvato di cui all’art. 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo”.

Tutte e quattro le norme citate consentono di comprendere perché aderire a un meccanismo di certificazione e ottenere la certificazione dei propri trattamenti di dati può avere per un titolare o un responsabile un interesse specifico molto rilevante.

I tre profili da considerare nelle certificazioni

Così ricostruito il quadro complessivo, emergono almeno tre profili importanti che vanno sempre tenuti presenti quando si parla di certificazioni.

Il primo, rivolto al rapporto tra titolare e responsabile, da un lato, e interessati, dall’altro, è orientato tutto a rafforzare la fiducia dell’interessato nei trattamenti posti in essere per fornire ai cittadini i prodotti e i servizi che rendono necessari i trattamenti. Un profilo che vuole rafforzare la fiducia degli interessati ma anche, e più in generale, la fiducia dei cittadini UE nell’economia digitale.

Il secondo profilo riguarda il rafforzamento della posizione del titolare e del responsabile rispetto all’Autorità di controllo e a chiunque possa legittimamente chiedere la dimostrazione della loro compliance al GDPR.

Il terzo profilo, riguarda i rapporti tra titolari e responsabili che sono costruiti dall’art. 28 in modo che il titolare sia tenuto a chiedere e verificare che il responsabile fornisce idonee garanzie sui trattamenti dei dati personali; cosa questa molto facilitata per entrambi se il responsabile (e gli eventuali sub responsabili) sono in possesso di certificazioni relative ai trattamenti oggetto del contratto.

A questi tre profili si deve aggiungere che l’essere in possesso di specifiche certificazioni facilita la posizione del titolare e del responsabile anche per quanto riguarda la dimostrazione di aver adottato misure di sicurezza adeguate rispetto ai rischi dei trattamenti che ne sono oggetto.

Tenendo presente le considerazioni fin qui svolte emerge con chiarezza il rilievo che la certificazione assume e si comprende meglio perché i meccanismi relativi, compresi quelli che riguardano l’accreditamento dei certificatori e quelli relativi alla loro attività siano così minuziosamente disciplinati negli artt. 42 e 43 del GDPR.

Gli organismi di certificazione

Infine, proprio il ruolo che, grazie a queste disposizioni, assumono le certificazioni giustifica anche i vincoli che possono essere posti dalle Linee guida che spetta al Comitato europeo per la protezione dei dati (e cioè all’EDPB) dettare sulla base di quanto previsto dall’art. 70 lettera p).

Si tratta della norma che assegna al Comitato il compito di specificare quali siano i requisiti vincolanti che le Linee guida delle Autorità nazionali devono definire per regolare l’attività di accreditamento degli organismi di certificazione, come previsto dall’art. 43, paragrafo 3. Si vuole, infatti, evitare che le attività di accreditamento degli organismi di certificazione divergano in misura troppo rilevante da Stato a Stato, mettendo a repentaglio eccessivo la uniformità di applicazione del GDPR su questo terreno così delicato.

Non è questa la sede per descrivere in dettaglio il contenuto di tutte queste disposizioni.

Basta ricordare che l’art. 43 prevede che le certificazioni possano essere rilasciate da “organismi di certificazione in possesso del livello adeguato di competenze con riguardo alla protezione dei dati personali”.

Gli Stati membri devono garantire che tali “organismi siano accreditati” e che comunque essi non possano rilasciare certificati, né rinnovarli, se non “dopo aver informato l’Autorità di controllo al fine di consentire ad essa di esercitare i suoi poteri a norma dell’articolo 58, paragrafo 2, lettera h)”.

Gli organismi di certificazione non possono operare ai sensi degli artt. 42 e 43 se non sono stati prima accreditati e gli Stati membri devono garantire che siano accreditati o “dall’Autorità di controllo competente ai sensi degli artt. 55 o 56” ovvero da un “Organismo nazionale di accreditamento designato in virtù del regolamento (CE) n. 758/2008 del Parlamento europeo e del Consiglio, conformemente alla norma EN-ISO/IEC 17065/2012 e ai requisiti aggiuntivi stabiliti dall’autorità di controllo competente ai sensi degli articoli 55 e 56”.

Il d.lgs. n.196 del 2003, come novellato dal d. lgs.n.101 del 2018, specifica all’art. 2-septiesdecies che “l’Organismo nazionale di accreditamento di cui all’art. 43, paragrafo 1, lettera b), del Regolamento è l’Ente unico nazionale di accreditamento istituito ai sensi del Regolamento (CE) n. 765/2008 del Parlamento europeo e del Consiglio, fatto salvo il potere del Garante di assumere direttamente, con deliberazione pubblicata in Gazzetta Ufficiale della Repubblica italiana e in caso di grave inadempimento dei suoi compiti da parte dell’Ente unico nazionale di accreditamento, l’esercizio di tali funzioni, anche con riferimento a una o più categorie di trattamenti”.

Il ruolo di Accredia

La scelta fatta dal legislatore delegato italiano è stata dunque nel senso di individuare un Organismo nazionale di accreditamento, ai sensi dell’art. 43, paragrafo 1, lettera b) al quale spetta accreditare gli organismi di certificazione che in concreto, e nel rispetto dei requisiti previsti, potranno poi rilasciare o rinnovare le certificazioni.

L’art.43, secondo paragrafo indica i requisiti che gli organismi di certificazione devono possedere e alcune delle modalità con le quali devono operare. Ovviamente nel sistema italiano spetta all’Organismo nazionale di accreditamento (Accredia) assicurarsi che gli organismi di certificazione che fanno richiesta di essere accreditati posseggano i requisiti richiesti dalla norma. Spetterà inoltre ad Accredia valutare i casi in cui, sulla base di quanto previsto dalle norme che disciplinano l’attività di certificazione, ricorrano le condizioni per revocare l’accreditamento.

(...)

(tratto da Agenda Digitale) 

 

 

Contatti

G.E.N.I. srl

Via Cav. di Vittorio Veneto, 45

90146 Palermo

+39 091 68894835

+39 347 5955507

info@genisrl.it

Lun-Ven: 9.30 - 18.00

Settori

Qualità

Ambiente

Sicurezza

Shipping

Agroalimentare

Certificazioni di prodotto

Adeguamenti alla normativa CE

About Us

La G.E.N.I. S.r.l. è una società con sede a Palermo formata da professionisti qualificati

La società esercita da diversi anni ed ha eseguito consulenze e progetti relative all'implementazione dei Sistemi Qualità, Ambiente, Sicurezza, progettazione Impianti Elettrici, Certificazione di Prodotti e Perizie Tecniche secondo le varie normative e leggi vigenti ( ISO 9000, ISO 14001, D.Lgs 81/08, legge 37/08 etc..)

Copyright © 2019 G.E.N.I. srl - All Rights Reserved