protezione dei dati

Certificazioni GDPR, entra in gioco l’ente di normazione europeo: ecco perché è una svolta

A 4 anni dall’entrata in vigore del Gdpr, gli articoli 42 e 43 relativi alla certificazione in ambito protezione dei dati personali non hanno ancora trovato piena applicazione. Tuttavia, il CEN, principale ente di normazione europeo, pubblicherà a breve alcuni schemi in materia che daranno nuovo impulso a tale strumento

27 Lug 2022
Fabio Guasconi

Founding partner, President at BL4CKSWAN

GDPR

Il titolo dell’articolo 42 del GDPR è inequivocabile: “Certificazione”. Leggendolo con attenzione però, anche congiuntamente ai considerando e all‘articolo 43, purtroppo, non si ottiene una vista così chiara come si potrebbe sperare su questo importantissimo tema.

Il GDPR, inoltre, non fornisce un importante tassello: i criteri di certificazione (ossia quello che le organizzazioni che richiedono un certificato, gli auditor e gli organismi di certificazione devono rispettare).

Anche l’ente di normazione europeo CEN si sta muovendo in questo campo, sviluppando norme tecniche a supporto della certificazione ai sensi dell’articolo 42.

Certificazione GDPR: cosa fare per uno schema a norma di legge

Certificazione, le linee guida Edpb

Per questi motivi sono state pubblicate dall’EDPB le linee guida interpretative per le autorità tra cui le “Linee guida 1/2018 relative alla certificazione e all’identificazione di criteri di certificazione in conformità degli articoli 42 e 43 del regolamento (UE) 2016/679” e le “Linee guida 4/2018 relative all’accreditamento degli organismi di certificazione a norma dell’articolo 43 del regolamento generale sulla protezione dei dati (regolamento (UE) 2016/679)” e, da ultimo, le linee guida relative al tema del “Certification criteria assessment”. Nelle numerose pagine che costituiscono il corpo di queste linee guida vengono chiariti diversi elementi chiave tra cui:

WEBINAR
23 Settembre 2022 - 10:00
DIGITAL360 Semestrale 2022: scopri tutte le novità
Acquisti/Procurement
Amministrazione/Finanza/Controllo
  • l’oggetto della certificazione GDPR sono le attività di trattamento, e non il sistema di gestione dell’organizzazione;
  • le basi e in che modo possono essere definiti i criteri di certificazione;
  • quali possono essere i requisiti di accreditamento aggiuntivi rispetto alla ISO/IEC 17065:2012;
  • il percorso che un’Autorità dovrebbe seguire per valutare uno schema di certificazione.

Senza voler entrare in maggiori dettagli in questa sede, basti dire che ora sono finalmente disponibili tutte le informazioni necessarie per poter sviluppare schemi di certificazione e avviare, da parte delle singole autorità nazionali e dell’EDPB, le procedure di valutazione ed eventuale approvazione dei suddetti schemi. Diversi soggetti, per la maggior parte privati, si sono già mossi in questa direzione nella speranza di poter accumulare qualche vantaggio competitivo.

Entra in campo il CEN

Il vantaggio principale di una norma tecnica europea promulgata dal CEN rispetto a uno schema proprietario risiede nel processo con cui questa viene creata. Il processo, infatti, uguale per tutte le proposte che ambiscono al titolo di “EN” (European Standard), si basa sui cinque principi fondamentali del consenso, dell’apertura, della trasparenza, dell’impegno degli enti nazionali e della coerenza tecnica. Per poter garantire il rispetto di tutti questi principi, il percorso di sviluppo di una “EN” ha tuttavia una durata che spesso supera i 3 anni, ma il livello di qualità di quanto prodotto merita l’attesa.

Tra i comitati tecnici del CEN, il JTC 13 “Cybersecurity and data protection” e, più nello specifico, il suo WG 5 “Data protection, privacy and identity management” ha il mandato istituzionale per normare nell’ambito della protezione dei dati personali.

L’iter di preparazione della norma tecnica del CEN

Nel 2019 è giunta a questo comitato, all’epoca da poco esistente, la proposta di avviare un progetto di norma tecnica quale schema abilitante per la certificazione così come intesa dal GDPR. In questa proposta si proponeva non di partire da zero, bensì da una prassi di riferimento italiana già esistente (PdR 43-2:2018 “Requisiti per la protezione e valutazione di conformità dei dati personali in ambito ICT), a sua volta basata su un pilastro del settore: la norma inglese BS 10012 “Specification for a personal information management system” pubblicata per la prima volta nel 2009.

Se già a livello nazionale la PdR 43-2 semplificava la BS 10012 decontestualizzandola rispetto alle formalità dei sistemi di gestione, il lavoro intrapreso dal CEN ne ha rifinito la sostanza, rendendola ancora più calzante rispetto al GDPR e rimuovendo al contempo l’accezione più legata all’ICT della norma italiana dovuta a scelte procedurali.

Dal 2019 al 2022 il progetto di norma tecnica del CEN è stato oggetto di centinaia di commenti da parte di esperti designati dai principali organismi di normazione europei che hanno contribuito ulteriormente a migliorare la qualità del testo normativo proposto, il quale ha concluso la fase di indagine pubblica a marzo del 2022 ed è ora in fase finale di consolidamento in preparazione della pubblicazione, attesa dopo l’estate.

La norma, designata ormai ufficialmente con il non privo di significato numero 17799, si rivolge alle organizzazioni che svolgono il ruolo di titolari o responsabili del trattamento di dati personali, anche PMI, con l’intenzione di fornire un insieme di processi ottimizzati per rispettare gli obblighi del GDPR. La norma specifica quanto previsto dal GDPR e ne sintetizza gli elementi principali nel linguaggio preciso tipico di una norma tecnica pensata per supportare la certificazione, nativamente riferita allo schema di accreditamento ISO/IEC 17065 come richiesto dal GDPR.

Un altro interessante schema in lavorazione

Esiste un altro interessante schema in lavorazione presso il WG 5 del JTC 13: il raffinamento europeo dell’ormai nota ISO/IEC 27701 “Estensione a ISO/IEC 27001 e ISO/IEC 27002 per la gestione delle informazioni in ambito privacy – Requisiti e linee guida”. Questa norma, a sua volta fortemente basata sulla ISO/IEC 27001 “Sistemi di gestione per la sicurezza delle informazioni – Requisiti” e sulla ISO/IEC 27002 “Controlli per la sicurezza delle informazioni” di cui riprende la maggior parte del testo, permette oggi di ottenere una certificazione basata sullo schema di accreditamento ISO/IEC 17021.

Questo schema, se da un punto di vista pratico non va a cambiare significativamente la sostanza di cosa debba essere applicato, da un punto di vista formale costituisce un ostacolo in quanto non rispondente alla specifica del GDPR. Si sta pertanto lavorando a un raffinamento Europeo che sfrutti dei meccanismi già previsti nella ISO/IEC 17065 e nella ISO/IEC 17067 per la certificazione dei sistemi di gestione invece di fare riferimento alla ISO/IEC 17021. Questo importante lavoro sarà verosimilmente pubblicato nel corso del 2023.

Conclusioni

In conclusione, è lecito aspettarsi che le norme EN 17799 e il raffinamento Europeo della ISO/IEC 27701, supportati dai necessari documenti complementari, saranno tra i principali schemi di riferimento relativamente alle certificazioni relative alla protezione dei dati personali in quanto sono oggetti decisamente più maturi, consolidati e istituzionalmente riconosciuti rispetto al resto degli schemi proprietari attualmente esistenti. Diverse autorità hanno peraltro partecipato alla loro stesura e questo elemento aggiunge ulteriori garanzie in questo senso.

È opportuno sottolineare infine che la presenza di due schemi emessi dal CEN non è da considerarsi come un problema, anzi, permetterà di poter meglio soddisfare le esigenze di un mercato che, con ogni probabilità, si orienterà sulla EN 17799 laddove non è già esistente un sistema di gestione per la sicurezza delle informazioni o sarebbe complesso impostarlo, come per molte PMI, mentre nel resto dei casi potrà invece contare sul raffinamento Europeo della ISO/IEC 27701.

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Analisi
PA
Salute digitale
News
Fondi
Formazione
Ecologia
Digital Economy
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Incentivi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Incentivi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 3