Europrivacy è il primo sigillo ufficiale europeo ai sensi dell’art. 42 del Regolamento UE 2016/679 (di seguito, “GDPR”). È quindi formalmente riconosciuto in tutti gli Stati membri dell’UE e dello SEE e dalle rispettive autorità di controllo nazionali.
La certificazione di trattamento Europrivacy si concentra essenzialmente sulla valutazione e sulla dimostrazione della conformità dei trattamenti di dati personali al GDPR.
Pertanto, disporre già di documentazione che dimostri di aver adempiuto agli obblighi di cui alla normativa in materia di protezione dei dati personali, come la tenuta di un registro dei trattamenti aggiornato ex art. 30 del GDPR, è un requisito imprescindibile per rendere il percorso efficiente.
Il processo per ottenere la certificazione è illustrato di seguito.
Indice degli argomenti
Risorse e strumenti per iniziare
Il primo passo consiste nel raccogliere le risorse necessarie per affrontare il percorso di certificazione, quali ad esempio lo schema di certificazione, le checklist con i criteri Europrivacy, nonché i manuali che forniscono ulteriori informazioni sullo schema. L’organizzazione può valutare se procedere autonomamente, oppure richiedere un’offerta di supporto alle società di consulenza qualificate da Europrivacy (di seguito, “Partners”) o acquistare il Welcome Pack.
Il Welcome Pack, che può anche essere integrato nelle offerte di consulenza dei Partners, è un abbonamento che abilita l’organizzazione ad usufruire, per un periodo di tre anni, di vantaggi e servizi, tra cui l’accesso al materiale di Europrivacy, un corso introduttivo per il DPO e aggiornamenti normativi.
Definire il perimetro della certificazione
Nella fase iniziale, l’organizzazione, eventualmente supportata da Partners, effettua la prima decisione strategica: l’individuazione dei trattamenti di dati personali in perimetro di certificazione, attraverso la definizione del Target of Evaluation (ToE). Il ToE deve essere descritto con precisione, specificando quali operazioni di trattamento, sistemi e flussi di dati sono inclusi e quali sono esclusi dal perimetro. Per “trattamento” non si considera la singola operazione o insieme di operazioni come definite dall’art. 4 del GDPR (es. raccolta, registrazione, organizzazione, strutturazione, conservazione, archiviazione), in quanto ambiti eccessivamente ristretti, bensì si intende:
Cosa può rientrare nel ToE
- una singola attività di trattamento (ad es. la profilazione della clientela, la selezione del personale);
- un insieme di attività di trattamento omogenee, che caratterizzano una determinata area di business (ad es. la gestione dei dati del personale) o configurano un servizio od un prodotto (ad es. l’App di Home Banking).
Risulta quindi fondamentale definire esplicitamente e preventivamente il ToE con l’organismo di certificazione.
L’organizzazione può individuare trattamenti svolti sia in qualità di titolare (o contitolare) che di responsabile.
È inoltre possibile utilizzare le estensioni dei criteri per certificare la conformità a ulteriori normative europee o nazionali.
Un consiglio pratico è selezionare trattamenti prioritari che generano un alto rischio reputazionale o che sono frequentemente oggetto di verifiche da parte di partner commerciali.
Utilizzare le checklist con i criteri Europrivacy per documentare la compliance
Una volta definito il perimetro, ha inizio la fase operativa.
Il lavoro consiste in un’analisi sistematica condotta sulla base dei criteri Europrivacy per identificare ogni non conformità prima dell’audit formale. Tale analisi può essere effettuata tramite interviste con i referenti dei trattamenti in ToE, nonché mediante la raccolta della documentazione rilevante.
Lo schema di certificazione Europrivacy si basa su controlli strutturati intorno ai requisiti del GDPR (ad esempio, informative privacy, procedure per la gestione dei diritti degli interessati e la gestione dei data breach, eventuali data protection impact assessment ex art. 35 del GDPR, data processing agreement ex art. 28 del GDPR), su checklist di misure di sicurezza, su requisiti specifici del settore di riferimento e su obblighi nazionali complementari (quali ad esempio, provvedimenti e le linee guida dell’Autorità Garante per la protezione dei dati personali).
Utilizzando i criteri Europrivacy, l’azienda documenta la propria conformità e riduce i rischi legali e operativi attraverso un’analisi completa e tempestiva, basata su standard rigidi.
Una volta risolte eventuali lacune e convalidata la conformità, l’organizzazione sarà pronta per passare alla fase di audit.
Individuare l’ente di certificazione e affrontare l’audit
L’organizzazione seleziona un organismo di certificazione accreditato che procederà a svolgere una valutazione indipendente e obiettiva e, in caso di esito positivo, concluderà l’iter con il rilascio del certificato.
L’organismo di certificazione deve essere autorizzato dall’European Center for Certification and Privacy (ECCP) e deve essere accreditato dall’autorità nazionale competente o dall’organismo nazionale di accreditamento (in Italia, Accredia) oppure da entrambi.
L’audit, spesso vissuto con preoccupazione, dovrebbe essere inteso come un processo rigoroso e verificabile, finalizzato a dimostrare la conformità sostanziale di quanto valutato.
Concretamente, l’auditor esamina la documentazione, conduce interviste con i referenti dei trattamenti e può anche effettuare verifiche tecniche mirate per raccogliere evidenze, in linea con i criteri di valutazione dello schema.
Errori frequenti non sono necessariamente lacune tecniche, ma l’incoerenza operativa, ossia dichiarare in una procedura un comportamento che le interviste o le evidenze smentiscono. Una preparazione efficace richiede che chi gestisce i trattamenti conosca e applichi realmente le procedure formali.
La certificazione non viene rilasciata in presenza di non conformità gravi non risolte o di più di cinque non conformità minori.
Una volta accertata la conformità, l’organismo emette la decisione e il certificato viene pubblicato nel registro ufficiale online dell’ECCP, garantendone l’autenticità pubblica e prevenendo ogni rischio di falsificazione.
Dopo la certificazione Europrivacy: mantenere e valorizzare il risultato
L’ottenimento della certificazione Europrivacy non è un traguardo statico, bensì l’inizio di un percorso di miglioramento continuo. Da un lato, il mantenimento impone obblighi precisi: il certificato ha una validità di 3 anni, ma richiede audit di sorveglianza annuali obbligatori per verificare che l’organizzazione continui a soddisfare i requisiti dello schema. Qualsiasi modifica significativa ai trattamenti, all’organizzazione o alle tecnologie adottate deve essere monitorata e comunicata all’organismo di certificazione per valutarne l’eventuale impatto sulla validità della certificazione.
Dall’altro lato, la vera valorizzazione strategica avviene nel post-rilascio.
La certificazione Europrivacy è riconosciuta ai sensi dell’art. 42 del GDPR, il che lo rende uno strumento potente per dimostrare l’accountability verso autorità, interessati, investitori e clienti. La certificazione trasforma la conformità in un asset immateriale che può essere utilizzato dall’organizzazione come vantaggio competitivo, oltre a consentire l’accesso a risorse, strumenti e aggiornamenti continui sull’evoluzione della normativa e della giurisprudenza.
Il percorso della certificazione Europrivacy in sintesi
L’intero processo può essere riassunto in un viaggio strutturato in macro-fasi interconnesse. Dalla preparazione strategica, in cui l’organizzazione definisce il proprio punto di partenza e le risorse, si passa alla scelta del ToE e alla gap analysis: è qui che si costruisce l’efficienza del processo risolvendo le non conformità prima dell’audit. Segue la valutazione e certificazione formale, dove l’intervento dell’organismo accreditato convalida la solidità del sistema di gestione. Infine, si passa al mantenimento e alla valorizzazione, trasformando la compliance in una fonte di valore e di reputazione sul mercato.
