Il GDPR non obbliga le organizzazioni, nel loro ruolo di titolari o responsabili del trattamento, ad adottare un sistema di gestione, né tantomeno a certificarlo, ma questa rappresenta una grande opportunità. Quella della certificazione, infatti, è una possibilità comunque prevista dal regolamento europeo che, in più articoli, fornisce precise indicazioni sulla necessità di dimostrare le azioni effettuate, e suggerisce proprio i meccanismi di certificazione come supporto alla propria accountability.
A titolo esemplificativo l’articolo 25, che disciplina la “protezione dei dati fin dalla progettazione e per impostazione predefinita” (privacy by design e by default) e l’articolo 32, dedicato alla sicurezza del trattamento suggeriscono che “un meccanismo di certificazione (approvato ai sensi dell’articolo 42) può essere utilizzato come elemento per dimostrare la conformità ai requisiti”. Queste (ma non solo queste) sono indicazioni che suggeriscono l’adozione di un sistema di gestione. Perché un sistema di gestione permette di valutare i rischi, pianificare le misure gestionali, tracciare le azioni, renderle disponibili, e controllare l’efficacia del nostro operato.
Certificazioni GDPR, la normativa di riferimento
La base per la certificazione degli standard di data protection risiede in due specifici articoli del GDPR, l’art 42 (“Certificazione”) e l’art. 43 (“Organismi di certificazione”) che definiscono proprio le modalità di certificazione.
In estrema sintesi la certificazione deve essere:
- volontaria e accessibile, tramite una procedura trasparente;
- rilasciata da organismi di certificazione o dall’autorità di controllo competente in base ai criteri approvati da medesima;
- rilasciata al titolare del trattamento o responsabile del trattamento per un periodo massimo di tre anni.
L’adozione e certificazione di un sistema di gestione della data protection porta diversi vantaggi:
- riduce l’impatto sanzionatorio in caso di violazioni
- permette il miglioramento delle Relazioni con i soggetti interessati (trasparenza)
- regola e ottimizza le Relazioni business to business (controller vs processor)
- abilita il controllo, in ambito privacy, nei rapporti infragruppo
- contribuisce al contenimento di eventuali sanzioni pecuniarie
I meccanismi approvati possono essere utilizzati per dimostrare il rispetto degli obblighi dei titolari e dei responsabili del trattamento rispetto all’implementazione di adeguate misure tecniche e organizzative in materia di protezione dei dati personali.
Che cos’è una certificazione
È un’attestazione rilasciata da un ente di certificazione, a seguito di un’attività di verifica, che attesta il soddisfacimento da parte dell’organizzazione dei requisiti definiti da uno schema (o standard) in materia di protezione dei dati personali.
È bene ricordare che l’adozione di tale certificazione non è uno strumento idoneo a garantire il rispetto da parte del titolare o del responsabile degli obblighi normativi; i meccanismi di certificazione, che si basano su verifiche campionarie, sono sicuramente un valido strumento per verificare costantemente la propria conformità, ma non una garanzia della medesima.
Certificazioni GDPR, quali sono gli schemi disponibili
Gli schemi disponibili di certificazione, ad oggi non ancora riconosciuti in base a quanto stabilito dal GDPR, ma già certificabili da parte di enti di certificazione su schemi proprietari potremmo sintetizzarli per semplicità in tre tipologie:
- Certificazione di processo – prodotto -servizio;
- Addendum dei controlli Privacy;
- Certificazione di Sistema.
Di seguito forniamo alcune esemplificazioni di schemi di certificazione che rispondono alle tre diverse tipologie.
Processo Prodotto Servizio – UNI/PDR 43:2018
Si tratta di una prassi di riferimento, nata dalla collaborazione tra UNI e AIP con il coordinamento di UNINFO, che si pone l’obiettivo di definire in modo oggettivo e ripetibile le azioni per il corretto trattamento dei dati personali, ponendo le basi per meccanismi di certificazione auspicati dall’art. 42 del Regolamento. L’UNI PdR 43 è esplicitamente pensata per il trattamento dei dati personali con strumenti ICT. È una prassi di riferimento, non ancora una norma.
È composta di due parti: le linea guida e la norma di certificazione che è l’UNI PdR 43.2 Si tratta di uno standard finalizzato alla certificazione di processo, prodotto e servizio conforme allo Standard ISO 17065 e che si focalizza sul rispetto dei requisiti obbligatori del GDPR con l’obiettivo di favorirne il rispetto. Gli Standard di prodotto, processo e servizio si caratterizzano nel focalizzarsi sulla conformità dei requisiti obbligatori in materia di privacy rispetto a degli standard e a delle buone pratiche di gestione; è possibile adottare le misure previste da questi standard solo su un prodotto ( ad esempio un software), un processo ( ad esempio Processo commerciale, Processo HR) e su un Servizio ( ad esempio Servizio di Help Desk), piuttosto che sull’intera organizzazione.
La certificazione in accordo alla Prassi UNI/PdR 43:2018 può essere richiesta da qualunque tipo di organizzazione (persone fisica e/o giuridica) che tratta dati personali mediante strumenti elettronici (ICT), aziende di qualsiasi dimensione e settore lavorativo, indipendentemente dalla loro forma giuridica.
Oltre alla prassi UNIPdR 43.2:2018 sono presenti sul mercato altri schemi di certificazione “proprietari” predisposti secondo lo Standard ISO 17065, redatti da Enti di Certificazione per certificare processi, prodotti e servizi, tra questi va citato lo schema ISDP 10003:2020 (“Requisiti e regole di controllo per la certificazione dei processi di trattamenti con riguardo alla valutazione del rispetto dei diritti fondamentali delle persone fisiche e della libera circolazione dei dati”).
Sistema – BS 10012/2017
Quando si ragiona di sistemi di gestione, bisogna tenere presente che ormai da quasi un decennio questi, i sistemi di gestione, hanno una caratteristica che ne agevola sviluppo e mantenimento: sono perfettamente integrabili perché basati sul modello High Level Structure. Nello specifico, parlando di sistemi di gestione della data protection, infatti, questo modello governa lo schema BS10012proposto dal British Standard Institute, ma può essere integrato anche a modelli di certificazione dei processi, prodotto e servizi come l’UNI PDR 43.2
L’High Level Structure, letteralmente “struttura di alto livello”, è un approccio introdotto da ISO nel 2014, che accomuna tutte le norme pubblicate e conseguentemente tutti gli schemi di certificazione. Vuol dire che tutti gli schemi pubblicati da ISO a partire dal 2014 (ISO 9001, ISO 27001;ISO 45001, ecce cc) hanno in comune una struttura riassumibile in 10 punti e sono facilmente integrabili tra loro
Nello specifico, il BS 10012 è uno standard di riferimento in materia di protezione dei dati personali, che si pone l’obiettivo di fornire gli elementi di base per l’implementazione di un sistema di gestione della protezione dei dati personali, che oltre a favorire la compliance dei requisiti obbligatori del GDPR, integra la gestione della compliance in materia di protezione dei dati personali, alla valutazione delle strategie aziendali, alla gestione delle risorse e delle infrastrutture, ai processi di procurement e alle operation dell’organizzazione. Un’organizzazione può implementare questo standard come valido strumento per la gestione aziendale degli aspetti organizzativi e prescrittivi del GDPR.
Controlli ISO/IEC 27701:2019
Si tratta di uno standard di riferimento in materia di protezione dei dati personali, emesso da ISO e si basa sui requisiti della ISO/IEC 27001 e della ISO/IEC 27002, che si pone l’obiettivo di implementare un PIMS (Privacy Information Management System) integrandolo ai sistemi di gestione della IT Security. Un’organizzazione che ha già implementato un sistema di gestione per la sicurezza delle informazioni secondo lo standard ISO 27001 può integrare quest’ultimo con il sistema di gestione per la protezione dei dati personali.
Conclusioni
L’ottenimento di una certificazione in materia di protezione dei dati personali richiede uno sforzo importante da parte delle organizzazioni che merita di essere valutato anche in questa fase dove non sono ancora disponibili gli schemi approvati dal Garante per la protezione dei dati personali o dall’European Data Protection Board.
In questa prospettiva, se aderire agli schemi di certificazione attualmente disponibili potrebbe sembrare uno sforzo prematuro (anche se gli schemi attuali consentono indubbiamente un miglioramento importante della compliance aziendale), è sicuramente utile quantomeno analizzarli nel dettaglio, metterli a fattor comune e valutare i gap esistenti rispetto alle modalità di gestione della data protection implementate allo stato attuale.
