Certificazioni privacy, è tempo di “bollini”: come ottenerli e le FAQ del Garante - Agenda Digitale

la guida

Certificazioni privacy, è tempo di “bollini”: come ottenerli e le FAQ del Garante

Il Garante ha di recente rilasciato delle FAQ sul tema della certificazione privacy. Analizziamo le novità e facciamo chiarezza su un tema “caldo”

03 Ago 2021
Renato Castroreale

Direttore Tecnico

Chiara Ponti

Avvocato, Privacy Specialist & Legal Compliance e nuove tecnologie

La certificazione di conformità al GDPR è questione dibattuta da tempo. Con la pubblicazione delle FAQ dell’Autorità garante, sono giunti alcuni importanti chiarimenti.

Vediamoli nei dettagli, partendo dal dato normativo all’art. 42, per poi proseguire con le svolte più significative di questo lento, a tratti faticoso, percorso.

Certificazioni Gdpr: così i Garanti Ue indicano la via alle Autorità di controllo nazionali

L’iter di Certificazione

Tutti gli enti di certificazione italiani sono “accreditati” da Accredia, designato dal governo italiano, in applicazione del Regolamento europeo 765/2008, volto ad attestare la competenza, l’indipendenza e l’imparzialità degli OdC, ispezione e verifica, e dei laboratori di prova e taratura. Accredia è un’associazione riconosciuta che opera senza scopo di lucro, sotto la vigilanza del Ministero dello Sviluppo Economico.

[QUIZ] SECURITY/BACKUP
Protezione dei dati: sei sicuro di avere una strategia efficace? Scoprilo nel Quiz
Business Analytics
Business Intelligence

Accredia ha quindi il compito di vigliare sull’operato degli OdC, rilasciando, tra gli altri, anche linee guida per le verifiche che influenzano le attività degli auditor (essendo buona norma tenersi informati su queste linee guida facilmente reperibili).

IAF

Le certificazioni, in generale, hanno una valenza europea talune financo mondiale; chi ha il compito di verificarle?

L’IAF (International Accreditation Forum) associazione mondiale degli organismi di valutazione della conformità e di altri organismi interessati alla valutazione della conformità nei settori dei sistemi di gestione, dei prodotti, dei servizi, del personale e altri programmi analoghi di valutazione della conformità. La sua funzione principale è quella di sviluppare un programma unico a livello mondiale, di valutazione della conformità, che assicuri il riconoscimento dei certificati accreditati e quindi del loro valore, a livello globale.

In che cosa consiste l’accreditamento

Si tratta di quel processo che assicura la competenza e l’imparzialità dell’Ente accreditato, il quale sarà deputato alle verifiche per l’eventuale certificazione. Gli organismi di accreditamento dei Paesi sono firmatari del cd “Accordo Multilaterale di Riconoscimento (MLA)”. In Italia esiste un unico Ente di accreditamento, mentre in altri Stati possono esserci anche più enti (come negli Stati Uniti in cui ce ne sono cinque).

Tutti questi enti hanno accettato di riconoscersi l’un l’altro, incluso l’accreditamento e tutte le regole/regolamenti previste dall’accordo.

È sempre IAF a stabilire le regole (tra queste la durata delle verifiche di certificazione, la gestione delle eventuali diverse sedi, il trasferimento di una certificazione da un ente di certificazione all’altro, ecc.).

Gli enti di accreditamento locali (Accredia del caso) garantiscono l’applicazione delle regole in linea con i requisiti stabiliti da IAF e con quelli degli standard internazionali.

Non tutti gli schemi di certificazione, invero, rientrano nell’ambito di controllo della IAF.

Come ottenere un “bollino” privacy

Riassumendo, esistono tre differenti livelli operativi a governare il complesso processo di certificazione rispetto ad una norma, garantendone il riconoscimento internazionale, ed in particolare:

1) IAF – Ente unico di accreditamento internazionale;

2) Enti locali di accreditamento (in Italia Accredia, che è anche unico);

3) Enti di certificazione (TUV, RINA, CIWA CERMET, l’elenco completo è disponibile presso il sito di Accredia).

Per ottenere una certificazione, in generale, ed anche quella privacy, è necessaria l’attività di un ente di certificazione, che dopo aver valutato alcuni parametri sulla vostra “dimensione” effettuerà un preventivo per le necessarie verifiche (audit). Accettato il preventivo, verrà fissato un piano di audit, che includerà i dettagli temporali ed organizzativi della verifica.

L’audit potrà essere condotto da una singola persona o da una squadra di auditor (a seconda della dimensione e della complessità dell’Organizzazione stessa), ma ci sarà comunque una persona di riferimento (Lead Auditor) unica interfaccia per la gestione delle attività.

Se l’audit avrà buon esito, in assenza di NC importanti tali da essere ostative per il rilascio del certificato, dopo qualche giorno dal termine della verifica verrà rilasciato l’attestato.

Quest’ultimo verrà “rinnovato” per i due anni successivi, con un processo di verifica meno invasivo.

Gli audit di certificazione e/o di rinnovo vanno effettuati entro un anno solare dal precedente (salvo accordi con l’ente di certificazione supportate da particolari motivazioni).

Il prosieguo, tra linee guida e studi

A fronte di tale cornice normativa, sono state rilasciate, da parte dell’EDPB, le linee guida 1/2018 e 4/2018 sull’accreditamento e sulla certificazione.

Successivamente, la Commissione europea ha affidato uno studio all’Università di Tilburg per la selezione di una norma di certificazione sulla protezione dei dati, nel pieno rispetto degli artt. 42 e 43, ed in ragione delle succitate linee guida.

Nello studio la Commissione avrebbe identificato ed analizzato oltre un centinaio (ben 117) di schemi di certificazione, suddivisi in tre differenti raggruppamenti:

  • completamente orientati alla data protection;
  • parzialmente orientati alla data protection;
  • quale argomento collegato (ad esempio la cybersecurity).

Come risulta dal final report pubblicati dalla Commissione europea, per soltanto due di questi schemi, è stata decretato la piena attinenza a questo stabilito dagli artt. 42 e 43.

Le FAQ del Garante

Lo scorso 14 luglio il Garante ha diffuso le risposte alle FAQ (domande più frequenti) in merito a certificazione ed accreditamento ai sensi del GDPR.

Rimandando al comunicato ufficiale, con il quale il Garante introduce la questione, scendiamo ora nel dettaglio di questi chiarimenti messi a punto dal Garante e da Accredia (ente unico di accreditamento italiano) fornendo altresì qualche commento nostro frutto di un lavoro interpretativo condiviso; così come l’aggiunta dei SI e dei NO (a domanda-risposta).

Scarica le faq in formato booklet (.pdf)

Le certificazioni privacy oggi disponibili secondo Accredia

Accredia rilascia l’accreditamento agli organismi che certificano Servizi e Professionisti in ambito privacy. Attualmente, le certificazioni permettono alle Organizzazioni di dimostrare l’impegno per la protezione dei dati personali.

In ambito privacy vengono rilasciate diverse tipologie di certificazione, in base alle esigenze del mercato finalizzate ad allinearsi, in modo volontario, alle prescrizioni del GDPR.

«Gli schemi attivi, ovvero i requisiti per la certificazione, sono definiti dagli Enti di Normazione (UNI e CEI in Italia, EN, ISO e IEC a livello europeo e internazionale) attraverso le norme tecniche o Prassi di Riferimento (PdR) o dagli schemi proprietari appartenenti a categorie private».

Pertanto, se è vero che le certificazioni rilasciate dagli organismi accreditati non sono ancora riconosciute dal Garante ai sensi del GDPR, è altresì vero che queste «sono riconosciute dal mercato come una garanzia e un atto di diligenza dell’adozione volontaria di un sistema di analisi e controllo dei principi e delle norme del Regolamento».

Ciò detto, è bene rammentare che la certificazione non costituisce un esimente rispetto alle possibili sanzioni e possibili imputazioni in termini di colpevolezza derivanti da illeciti (come, ad esempio un Data Breach); tuttavia tale “bollino” costituisce un’attenuante ai sensi dell’art. 83 del GDPR oltre che una importante misura di accountability.

Di seguito una tabella illustrativa, realizzata grazie alle indicazioni fornite direttamente da Accredia.

Certificazione di prodotti e servizi

Tipologie di certificazioni rilasciate da organismi accreditati secondo la norma ISO/IEC 17065

Quale schemaCosa contiene
ISDP 10003 – protezione dei dati personaliLa certificazione accreditata viene rilasciata in base allo schema privato ISDP©10003 “Criteri e regole di controllo per la certificazione dei processi per la tutela delle persone fisiche con riguardo al trattamento dei dati personali – Reg. UE 679/2016”.

Lo schema specifica i requisiti per la gestione in correttezza, sicurezza e conformità dei dati personali delle persone fisiche, con particolare riguardo ai dati personali, e fornisce i principi e gli elementi di controllo per una completa valutazione della conformità dei processi interni in merito alla protezione dei dati personali, con specifico riferimento alla corretta gestione dei rischi.

La certificazione riguarda tutte le tipologie di organizzazioni che vogliano dimostrare la propria accountability attraverso l’adozione volontaria di un sistema di analisi e controllo dei principi e delle norme di riferimento in tema di data protection.

SGCMF 10002 – conformità degli archivi degli operatori sanitariLa certificazione accreditata viene rilasciata in base allo schema privato SGCMF©10002 che riguarda i processi di trattamento dei dati personali degli operatori sanitari delle aziende farmaceutiche, ai sensi del combinato disposto delle norme vigenti in merito di protezione dei dati personali e delle norme che regolano la pubblicità di medicinali.

Attraverso lo strumento della certificazione, l’azienda farmaceutica può tenere sotto controllo le variabili strategiche interne, razionalizzare i processi e operare secondo le norme di legge.

UNI/PDR 43 – gestione dei dati personali in ambito ictLa certificazione accreditata è rilasciata in conformità alla Prassi di Riferimento UNI 43:2018 “Linee guida per la gestione dei dati personali in ambito ICT secondo il Regolamento UE 679/2016 (GDPR)”, studiata per tutte le organizzazioni che trattano dati con strumenti elettronici, in particolare alle piccole e medie imprese.

La PdR compone di due sezioni: la prima (UNI/Pdr 43.1) fornisce le linee guida per la definizione e attuazione dei processi afferenti al trattamento dei dati personali, mediante strumenti elettronici (ICT); la seconda (UNI/Pdr 43.2) fornisce un insieme di requisiti che permette alle organizzazioni, in particolare alle PMI, di essere conformi a quanto previsto dal quadro normativo europeo e nazionale in modo efficace, e può essere usata per l’attività di certificazione.

Attraverso la certificazione, l’organizzazione ha l’obiettivo di dimostrare una gestione dei dati personali in ambito ICT in linea con le prescrizioni del GDPR, in termini di sicurezza e correttezza della gestione del processo di trattamento dei dati personali da parte dei titolari e dei responsabili.

Certificazione di Sistemi di Gestione

Tipologie di certificazioni rilasciate da organismi accreditati secondo la norma ISO/IEC 17021

ISO/IEC 27018 – servizi cloud per la gestione dei dati personaliLa certificazione accreditata è rilasciata secondo le linee guida internazionali ISO/IEC 27018 “Information technology – Security techniques – Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors” integrate con la norma ISO/IEC 27017 “Information technology – Security techniques – Code of practice for information security controls based on ISO/IEC 27002 for cloud services”.

L’obiettivo della certificazione è attestare la capacità dei fornitori di servizi cloud di garantire la sicurezza e la protezione dei dati, inclusi quelli personali soggetti alle normative privacy.

È uno strumento utile per le organizzazioni che agiscono come controllori delle informazioni di identificazione personale, poiché garantisce la qualità e l’efficacia degli obiettivi di controllo, dei controlli stessi comunemente accettati per l’implementazione di misure volte a proteggere le informazioni personali identificabili.

ISO 27701 – sistemi di gestione delle informazioni sulla privacyLa certificazione accreditata è rilasciata secondo la norma ISO 27701 “Security techniques – Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management – Requirements and guidelines” che fornisce i requisiti per integrare la norma ISO/IEC 27001 estendendone lo scopo di applicazione al perimetro della gestione della privacy.

L’applicazione della ISO/IEC 27701 deve appoggiarsi all’applicazione delle norme citate, essendo una estensione della ISO/IEC 27001.

La certificazione è uno strumento utile per l’organizzazione, con l’obiettivo di:

  • attestare a clienti e stakeholder che l’azienda utilizza sistemi efficaci per supportare la conformità al GDPR e ad altre normative sulla privacy correlate.
  • ridurre i rischi legati alla violazione della privacy delle persone e dell’organizzazione migliorando un sistema di gestione della sicurezza delle informazioni esistente.
Certificazione di persone

Tipologie di certificazioni rilasciate da organismi accreditati secondo la norma ISO/IEC 17024.

UNI 11697 – data protection officer (dpo)La certificazione accreditata è rilasciata ai sensi della norma UNI 11697 “Attività professionali non regolamentate – Profili professionali relativi al trattamento e alla protezione dei dati personali – Requisiti di conoscenza, abilità e competenza” al professionista Data Protection Officer (DPO), la figura responsabile della protezione dati introdotta dal GDPR.

La norma definisce i profili professionali relativi al trattamento e alla protezione dei dati personali coerentemente con le definizioni fornite dall’EQF (European Qualifications Framework) e prevede una serie di figure specializzate per la gestione aziendale di tutti gli aspetti relativi alla privacy.

Come evidente, Accredia non considera solo le certificazioni accreditate secondo lo schema ISO/IEC 17065 (le uniche che parrebbero essere, ad oggi, riconoscibili dal Garante), ma anche da altri schemi già di largo utilizzo come la ISO/IEC 27701 nonché quelle a carattere personale.

Per ulteriori approfondimenti clicca qui e consulta qui

Schemi di largo utilizzo

Ne citiamo due, l’INVEO ISDP 10003 e la ISO/IEC 27701:2019, di seguito brevemente illustrati.

INVEO ISDP 10003

Anzitutto degno di segnalazione è lo schema di certificazione ISDP 10003, in particolare nella sua versione recentemente rilasciata ISDP© 10003:2020.

Lo schema si pone l’obiettivo di valutare la conformità al GDPR, ed è stato accreditato da Accredia secondo lo standard ISO/IEC 17065:2012 come richiamato dall’art. 43(1)(b) del GDPR.

Lo schema ISDP©10003:2020, tra l’altro, è liberamente scaricabile dal sito internet www.in-veo.com per un suo libero utilizzo da parte di titolari, responsabili, consulenti, DPO e/o qualunque altro soggetto intenda utilizzarlo come linea guida per un corretto adeguamento al GDPR.

Consigliamo quindi quantomeno una sua attenta valutazione, perché è a nostro avviso uno schema davvero interessante e completo.

La versione 2020 inoltre, considera lo schema HLS, cosa che rende la norma più facilmente integrabile con gli altri sistemi di gestione (abbiamo discusso precedentemente dell’HLS nella narrazione).

La ISDP 10003 definisce i requisiti generali ed i relativi controlli, per dimostrare la conformità dei trattamenti di dati personali, ai sensi del regolamento UE 2016/679, che i titolari e responsabili effettuano nell’ambito della propria attività. In virtù dello schema di riferimento che è stato appositamente selezionato (ISO/IEC 17065) essa si pone in condizioni di vantaggio nella competizione per la selezione di una norma di certificazione pienamente compatibile con il GDPR, ed anzi a nostro avviso merita sicuramente di essere prescelta[1].

ISO/IEC 27701:2019

Lo standard ISO/IEC 27701:2019, che nasce anch’esso per soddisfare le necessità di certificazione richiamate dal GDPR, non è stato incluso nel citato Studio Tilburg, perché è stato rilasciato successivamente.

Questa norma inoltre è stata architettata inserendola nella famiglia dei “sistemi di gestione accreditabili ai sensi della ISO/IEC 17021-1” ed è incompatibile con l’Art. 43(1)(b), incompatibilità riconosciuta da Accredia (Ente di accreditamento italiano) nella sua Circolare tecnica inviata gli Organismi di certificazione disponibile qui per la sua consultazione.

Tuttavia, pur non avendo la completezza dell’ISDP 10003 e non potendo soddisfare appieno i requisiti di compliance al GDPR, lo schema ISO/IEC 27701 è tutt’oggi adottato da diversi enti di certificazione nonchè richiesto da molte organizzazioni, grazie anche al fatto che rappresenta una estensione della norma ISO/IEC 27001 senza la quale evidentemente non sarà possibile fare alcunché.

Ma allora esiste davvero una certificazione GDPR

Esistono ad oggi schemi riconosciuti dal Garante? In realtà non ancora, seppure alcuni siano comunque già accreditati (e quindi certificabili a prescindere), peraltro riconosciuti dal mercato come una garanzia ed atto di diligenza dell’adozione volontaria di un sistema di analisi e controllo dei principi e delle norme del GDPR.

Il risultato sembra palese, in favore dell’unico Schema che pare soddisfare completamente i requisiti del GDPR e dell’Autorità, e le FAQ lo lasciano trapelare chiaramente.

Ma non è tanto questo il punto. É bene, infatti, ricordare che a prescindere dal risultato, può valer la pena dotare la propria Organizzazione o il proprio personale, di certificazioni riconosciute comunque a livello mondiale in termini di Sicurezza delle Informazioni e conformità Privacy, rappresentando un’indiscussa misura di accountability.

Conclusioni

In calce e conclusione di questa trattazione, siamo allora in grado di affermare che qualche timido passo in avanti è stato compiuto, anche solo per iniziare a dirimere (una volta per tutte) la questione.

Ciò non toglie tuttavia che nonostante le recenti FAQ ancora molti dubbi restano irrisolti, ad oggi.

Pensiamo alla 1, che sembrerebbe andare in contraddizione con la 9, e quindi con la 12 sfiorando la 3. In pratica, vogliamo rappresentare che il Garante nell’affermare cos’è la certificazione, dandone un’accezione dall’ampia ricaduta (prodotto, processo, servizio, persona o sistema) sostiene dopo che qualunque “soggetto a vario titolo interessato”, lasciando quindi intendere anche persone possano avvalersi del meccanismo di certificazione, quando invece conformemente al GDPR la certificazione personale non rientra affatto tra quelle disciplinate. Per arrivare a concludere come nonostante tra i vantaggi citati relativamente all’acquisizione della certificazione vi sia “il possesso, il mantenimento nel tempo, delle abilità, delle conoscenze, e delle competenze richieste per lo svolgimento di determinate attività professionali”, in realtà la certificazione privacy personale sia fuori gioco.

Una contraddizione in termini o un ricercato percorso argomentativo?

Si attendano ulteriori sviluppi.

Note

  1. Per ulteriori approfondimenti si rimanda al nostro volume “Il sistema integrato per la SICUREZZA delle INFORMAZIONI ed il GDPR- Guida operativa all’efficace integrazione dei due mondi anche con l’ausilio della ISO/IEC 27701”, EPC Editore, febbraio 2021.
WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 4