Il titolo dell’articolo 42 del GDPR è inequivocabile: “Certificazione”. Leggendolo con attenzione però, anche congiuntamente ai considerando e all‘articolo 43, purtroppo, non si ottiene una vista così chiara come si potrebbe sperare su questo importantissimo tema.
Il GDPR, inoltre, non fornisce un importante tassello: i criteri di certificazione (ossia quello che le organizzazioni che richiedono un certificato, gli auditor e gli organismi di certificazione devono rispettare).
Anche l’ente di normazione europeo CEN si sta muovendo in questo campo, sviluppando norme tecniche a supporto della certificazione ai sensi dell’articolo 42.
Certificazione GDPR: cosa fare per uno schema a norma di legge
Certificazione, le linee guida Edpb
Per questi motivi sono state pubblicate dall’EDPB le linee guida interpretative per le autorità tra cui le “Linee guida 1/2018 relative alla certificazione e all’identificazione di criteri di certificazione in conformità degli articoli 42 e 43 del regolamento (UE) 2016/679” e le “Linee guida 4/2018 relative all’accreditamento degli organismi di certificazione a norma dell’articolo 43 del regolamento generale sulla protezione dei dati (regolamento (UE) 2016/679)” e, da ultimo, le linee guida relative al tema del “Certification criteria assessment”. Nelle numerose pagine che costituiscono il corpo di queste linee guida vengono chiariti diversi elementi chiave tra cui:
- l’oggetto della certificazione GDPR sono le attività di trattamento, e non il sistema di gestione dell’organizzazione;
- le basi e in che modo possono essere definiti i criteri di certificazione;
- quali possono essere i requisiti di accreditamento aggiuntivi rispetto alla ISO/IEC 17065:2012;
- il percorso che un’Autorità dovrebbe seguire per valutare uno schema di certificazione.
Senza voler entrare in maggiori dettagli in questa sede, basti dire che ora sono finalmente disponibili tutte le informazioni necessarie per poter sviluppare schemi di certificazione e avviare, da parte delle singole autorità nazionali e dell’EDPB, le procedure di valutazione ed eventuale approvazione dei suddetti schemi. Diversi soggetti, per la maggior parte privati, si sono già mossi in questa direzione nella speranza di poter accumulare qualche vantaggio competitivo.
Entra in campo il CEN
Il vantaggio principale di una norma tecnica europea promulgata dal CEN rispetto a uno schema proprietario risiede nel processo con cui questa viene creata. Il processo, infatti, uguale per tutte le proposte che ambiscono al titolo di “EN” (European Standard), si basa sui cinque principi fondamentali del consenso, dell’apertura, della trasparenza, dell’impegno degli enti nazionali e della coerenza tecnica. Per poter garantire il rispetto di tutti questi principi, il percorso di sviluppo di una “EN” ha tuttavia una durata che spesso supera i 3 anni, ma il livello di qualità di quanto prodotto merita l’attesa.
Tra i comitati tecnici del CEN, il JTC 13 “Cybersecurity and data protection” e, più nello specifico, il suo WG 5 “Data protection, privacy and identity management” ha il mandato istituzionale per normare nell’ambito della protezione dei dati personali.
L’iter di preparazione della norma tecnica del CEN
Nel 2019 è giunta a questo comitato, all’epoca da poco esistente, la proposta di avviare un progetto di norma tecnica quale schema abilitante per la certificazione così come intesa dal GDPR. In questa proposta si proponeva non di partire da zero, bensì da una prassi di riferimento italiana già esistente (PdR 43-2:2018 “Requisiti per la protezione e valutazione di conformità dei dati personali in ambito ICT), a sua volta basata su un pilastro del settore: la norma inglese BS 10012 “Specification for a personal information management system” pubblicata per la prima volta nel 2009.
Se già a livello nazionale la PdR 43-2 semplificava la BS 10012 decontestualizzandola rispetto alle formalità dei sistemi di gestione, il lavoro intrapreso dal CEN ne ha rifinito la sostanza, rendendola ancora più calzante rispetto al GDPR e rimuovendo al contempo l’accezione più legata all’ICT della norma italiana dovuta a scelte procedurali.
Dal 2019 al 2022 il progetto di norma tecnica del CEN è stato oggetto di centinaia di commenti da parte di esperti designati dai principali organismi di normazione europei che hanno contribuito ulteriormente a migliorare la qualità del testo normativo proposto, il quale ha concluso la fase di indagine pubblica a marzo del 2022 ed è ora in fase finale di consolidamento in preparazione della pubblicazione, attesa dopo l’estate.
La norma, designata ormai ufficialmente con il non privo di significato numero 17799, si rivolge alle organizzazioni che svolgono il ruolo di titolari o responsabili del trattamento di dati personali, anche PMI, con l’intenzione di fornire un insieme di processi ottimizzati per rispettare gli obblighi del GDPR. La norma specifica quanto previsto dal GDPR e ne sintetizza gli elementi principali nel linguaggio preciso tipico di una norma tecnica pensata per supportare la certificazione, nativamente riferita allo schema di accreditamento ISO/IEC 17065 come richiesto dal GDPR.
Un altro interessante schema in lavorazione
Esiste un altro interessante schema in lavorazione presso il WG 5 del JTC 13: il raffinamento europeo dell’ormai nota ISO/IEC 27701 “Estensione a ISO/IEC 27001 e ISO/IEC 27002 per la gestione delle informazioni in ambito privacy – Requisiti e linee guida”. Questa norma, a sua volta fortemente basata sulla ISO/IEC 27001 “Sistemi di gestione per la sicurezza delle informazioni – Requisiti” e sulla ISO/IEC 27002 “Controlli per la sicurezza delle informazioni” di cui riprende la maggior parte del testo, permette oggi di ottenere una certificazione basata sullo schema di accreditamento ISO/IEC 17021.
Questo schema, se da un punto di vista pratico non va a cambiare significativamente la sostanza di cosa debba essere applicato, da un punto di vista formale costituisce un ostacolo in quanto non rispondente alla specifica del GDPR. Si sta pertanto lavorando a un raffinamento Europeo che sfrutti dei meccanismi già previsti nella ISO/IEC 17065 e nella ISO/IEC 17067 per la certificazione dei sistemi di gestione invece di fare riferimento alla ISO/IEC 17021. Questo importante lavoro sarà verosimilmente pubblicato nel corso del 2023.
Conclusioni
In conclusione, è lecito aspettarsi che le norme EN 17799 e il raffinamento Europeo della ISO/IEC 27701, supportati dai necessari documenti complementari, saranno tra i principali schemi di riferimento relativamente alle certificazioni relative alla protezione dei dati personali in quanto sono oggetti decisamente più maturi, consolidati e istituzionalmente riconosciuti rispetto al resto degli schemi proprietari attualmente esistenti. Diverse autorità hanno peraltro partecipato alla loro stesura e questo elemento aggiunge ulteriori garanzie in questo senso.
È opportuno sottolineare infine che la presenza di due schemi emessi dal CEN non è da considerarsi come un problema, anzi, permetterà di poter meglio soddisfare le esigenze di un mercato che, con ogni probabilità, si orienterà sulla EN 17799 laddove non è già esistente un sistema di gestione per la sicurezza delle informazioni o sarebbe complesso impostarlo, come per molte PMI, mentre nel resto dei casi potrà invece contare sul raffinamento Europeo della ISO/IEC 27701.