Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

l'analisi

GDPR, l’importanza di certificazioni e codici di condotta: il Garante acceleri

Favorire lo sviluppo dell’economia digitale è uno degli obiettivi forse meno valorizzati del Gdpr. Cruciali sono strumenti come codici di condotta e certificazioni. Ecco perché la possibilità di ottenere certificazioni compliance col GDPR costituisce una priorità essenziale per l’economia e il Garante deve accelerare

03 Apr 2019

Franco Pizzetti


Il regolamento europeo per la protezione dei dati personali (Gdprnon è soltanto un insieme di regole giuridiche ma anche – grazie soprattutto all’uso di strumenti come Codici di Condotta e Certificazioniuna metodologia relativa al trattamento e all’uso dei dati, che mira ad accentuare in concreto la adattabilità delle norme alle nuove esigenze tecnologiche e, allo stesso tempo, a favorire, per quanto possibile, una capacità di controllo e una informazione adeguate ed efficaci a favore degli interessati.

Accelerare la possibilità di ottenere anche in Italia certificazioni compliance col GDPR ha pertanto un assoluto valore e costituisce una priorità essenziale per l’economia del Paese e la competitività delle aziende italiane.

Un primo segnale in tal senso è arrivato, in Italia, il  20 marzo 2019: con la convenzione sottoscritta dal Garante con Accredia (Ente italiano di accreditamento).

Con l’auspicio che l’Autorità italiana acceleri l’emanazione dei criteri volti ad attivare tutto il processo di rilascio delle certificazioni approfondiamo, quindi, di seguito le caratteristiche e le finalità dei Codici di Condotta e delle Certificazioni, i due strumenti che, più di ogni altro, contribuiscono a fare del Gdpr un regolamento dinamico e volto a favorire lo sviluppo dell’economia digitale.

Obiettivo, quest’ultimo, rafforzato dal fatto che in contemporanea con la data di piena attuazione del Regolamento, la Commissione europea ha adottato due Comunicazioni strategiche e decisamente orientate al futuro: la prima incentrata su uno “spazio comune europeo per i dati”, la seconda sulla intelligenza artificiale in Europa.

I poteri delle Autorità come strumenti di flessibilità

Per capire bene il significato di questa Convenzione giova ricordare che il GDPR contiene numerosi strumenti di flessibilità rispetto all’applicazione delle sue norme e, soprattutto, all’attuazione delle regole e procedure. Fra questi possono essere collocati certamente i poteri delle Autorità di controllo e dello EDPB relativamente alla possibilità di stabilire Linee Guida finalizzate a definire le corrette modalità di attuazione delle norme sul territorio nazionale (quando le Linee guida sono emanate dalle Autorità) o nell’ambito di tutta l’Unione quando sono emanate dallo EDPB.

In un certo senso persino lo spazio molto ampio lasciato alle legislazioni nazionali rispetto a materie e ambiti rigorosamente definiti può e deve essere visto come uno strumento di flessibilità, finalizzato non solo a consentire il rispetto dei valori e delle specificità degli ordinamenti nazionali in settori determinati, ma anche a permettere agli Stati di “sperimentare”, sempre nel quadro delle competenze ad essi assegnate, possibili evoluzioni della normativa per far fronte in modo più efficiente all’evoluzione della tecnologia.

In questo senso il GDPR è un sistema regolatorio uniforme e rigido su tutto il territorio dell’Unione per quanto attiene alla tutela dei diritti e delle libertà fondamentali delle persone fisiche, ma anche uno strumento regolatorio che, avendo come scopo favorire e incentivare la libera circolazione dei dati su tutto il territorio dell’Unione, deve necessariamente scontare flessibilità ed adattabilità all’evoluzione tecnologica.

Del resto, non a caso, per conciliare la necessità di una tutela uniforme dei diritti su tutto il territorio dell’Unione con la non meno importante esigenza di favorire la libera circolazione dei dati, anche per agevolare lo sviluppo dell’economia digitale, il GDPR dedica l’intero CAPO VII ai meccanismi di coerenza e di cooperazione.

Di questi aspetti si è già parlato più volte, ma è sempre bene averli presenti perché, come si vedrà, sono particolarmente importanti anche per comprendere il contesto nel quale si collocano le Certificazioni di cui agli artt. 42 e 43 del GDPR.

Codici di condotta e certificazioni

Tra i numerosi elementi di flessibilità, caratteristici del GDPR e parte essenziale della sua metodologia, vanno annoverati anche altri due strumenti, o istituti, che hanno la caratteristica essenziale di consentire agli stessi operatori di attivarli.

Si parla ovviamente dei Codici di Condotta e delle Certificazioni sulle cui caratteristiche, anche sotto il profilo del loro carattere di elementi di flessibilità, si è spesso parlato e in particolare, sia consentito ricordarlo, in F.Pizzetti, “La protezione dei dati personali e la sfida dell’Intelligenza artificiale”, in F. Pizzetti ( a cura di) “Intelligenza Artificiale, protezione dei dati personali e regolazione”, Giappichelli, Torino, 2018, pag. 142 e ss..

La caratteristica principale di questi due strumenti, ai quali poi si aggiungono i sigilli, i marchi e le icone il cui rilascio è di competenza della Commissione, consiste nel fatto che entrambi sono “volontari”, nel senso che spetta ai titolari di trattamento o a loro associazioni di categorie promuoverne l’avvio.

Peraltro, come è noto, la natura dei Codici di Condotta è assai diversa da quella delle Certificazioni, giacché i primi sono finalizzati “a contribuire alla corretta applicazione del presente regolamento, in funzione della specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e macro imprese” (cfr. art.40,1 del GDPR).

Del tutto diverse invece le Certificazioni, così come i sigilli e i marchi di protezione dei dati.

Le finalità di questi strumenti, la cui attivazione avviene solo su specifica richiesta dei titolari o dei responsabili dei trattamenti, sono “dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento” (cfr. art. 42, 1 GDPR).

Ovviamente i procedimenti disposti dal GDPR per l’approvazione da parte delle Autorità nazionali di controllo o dell’EDPB dei Codici di condotta e delle Certificazioni sono molto diversi, anche se per entrambi gli strumenti si prevedono procedure complesse e verifiche periodiche, anche dopo il rilascio.

Qui non interessa esporre minutamente le diverse fasi dei due tipi di procedimento, quanto sottolineare che entrambi questi strumenti hanno, da un lato, carattere volontario e facoltativo e dall’altro un forte grado di flessibilità, sia con riguardo alle modalità di attuazione delle norme del GDPR (i Codici), sia con riguardo alle caratteristiche verificate dei singoli trattamenti (le Certificazioni).

Codici di condotta, certificazioni e sviluppo dell’economia digitale

L’aspetto più importante di questi due strumenti, tuttavia, finora poco compreso anche dalla maggioranza dei commentatori, consiste nel fatto che essi sono strettamente connessi all’esigenza, essenziale per la Unione Europea, di favorire lo sviluppo dell’economia digitale.

Molte volte si sono citati i Considerando 5, 6 e 7 per aiutare i cittadini europei e quanti sono chiamati ad attuare queste norme a capire che il GDPR ha certamente lo scopo essenziale di tutelare i diritti e le libertà fondamentali delle persone fisiche ma anche quello di favorire la massima circolazione dei dati nell’ambito dell’Unione per accelerare lo sviluppo dell’economia digitale, indicata, particolarmente nei tre Considerando citati, come fondamentale per consentire all’economia dell’Unione Europea di poter reggere la concorrenza con gli altri grandi player mondiali.

Nello stesso senso, se si sa leggere oltre il significato superficiale delle parole, si colloca il Considerando 98, relativo ai Codici di Condotta, laddove dice che attraverso questi strumenti “si potrebbero calibrare gli obblighi dei titolari e dei responsabili dei trattamenti…tenendo conto delle caratteristiche specifiche dei trattamenti in alcuni settori e….del potenziale rischio per i diritti e le responsabilità delle persone fisiche”.

Dunque i Codici di condotta sono strumenti regolatori specifici, che nel definire le modalità di attuazione delle norme del GDPR in vari settori, puntualmente indicati dalle categorie o associazioni che ne fanno richiesta, devono individuare il corretto punto di equilibrio fra le esigenze specifiche dei trattamenti che è necessario svolgere nei settori che ne sono oggetto e i rischi per i diritti fondamentali.

Insomma, un modo per definire, per categorie e settori di attività, il giusto punto di equilibrio fra le esigenze dell’utilizzo dei dati, compresa la loro libera circolazione e la loro utilizzazione, e la tutela dei diritti fondamentali.

Analogamente il Considerando 100 che definisce le Certificazioni, insieme ai sigilli e marchi, come “modalità idonee a consentire agli interessati di valutare rapidamente il livello di protezione dei dati utilizzati per fornire i relativi prodotti e servizi”.

Qui l’intento è ancora più chiaro: attraverso le certificazioni, i sigilli e i marchi si tende innanzitutto ad incentivare la accountability di chi pone in essere i trattamenti, in quanto essi sono asseverati anche da una sorta di dichiarazione pubblica di compliance col GDPR (anche se la responsabilità del titolare e del responsabile in caso di violazioni del Regolamento resta intatta).

Allo stesso tempo però si tende ad ampliare il potere di controllo dell’interessato sui trattamenti dei propri dati, consentendogli di capire meglio e più efficacemente i rischi che i trattamenti possono comportare. Ragione non ultima, questa, che spiega perché l’Autorità di controllo è invitata a tenere conto dell’esistenza di certificazioni al fine di definire le sanzioni o altri provvedimenti afflittivi nel caso in cui comunque sia avvenuta una violazione del regolamento.

Insomma tanto i Codici di Condotta quanto le Certificazioni sono componenti essenziali di un GDPR pensato dal regolatore come un apparato normativo da applicare in modo dinamico.

Il quadro in cui si colloca il GDPR

Per capire meglio il quadro nel quale si deve collocare il GDPR, basterà ricordare che il 24 gennaio 2018, a 5 mesi dall’effettiva entrata in piena applicazione del GDPR, la Commissione aveva presentato una Comunicazione dal titolo “Orientamenti per l’applicazione diretta del regolamento generale sulla protezione dei dati a partire dal 25 maggio”, molto ricognitiva sia del lavoro svolto dal WP29 tra il 2016 e il 2018 che degli adempimenti nel frattempo intervenuti.

Invece, e non a caso, il 25 aprile 2018, un mese prima dell’entrata in vigore del GDPR la Commissione ha presentato due nuove Comunicazioni, entrambe dal titolo e contenuto estremamente interessanti.

La prima si intitola “Verso uno spazio comune europeo dei dati”, e fra l’altro annuncia anche il Regolamento 2018/1806, relativo ai trattamenti dei dati non personali.

La seconda ha un titolo ancora più significativo: “L’intelligenza artificiale in Europa”.

Questa seconda comunicazione, partendo dalla relazione intermedia della strategia del mercato unico digitale presentata dalla Commissione nel maggio 2017 ed enfatizzando, come doveroso, la Dichiarazione di Tallin “On e- government” adottata a Tallin il 2 0ttobre 2017, enuncia tutte le iniziative che la Commissione intende assumere entro la fine del proprio mandato per promuovere la Intelligenza Artificiale nell’ambito della UE.

In sostanza, il dato importante e, se si vuole, simbolico, è che praticamente in contemporanea con la data di piena attuazione del GDPR, la Commissione adotta due Comunicazioni di portata assolutamente strategica, e decisamente orientate al futuro.

Un indicatore evidente, anche per chi non avesse occhi per vedere e orecchie per intendere, che il futuro del GDPR non è in una applicazione burocratica, strettamente giuridica, finalizzata più a vietare che a consentire, più a sanzionare le violazioni che a promuovere lo sviluppo dell’economia dei dati nella piena tutela dei diritti e delle libertà fondamentali dei cittadini.

Il GDPR è l’opposto di un quadro normativo che vede il suo obiettivo principale nel vietare ogni cosa che possa costituire, anche indirettamente un pericolo, usando le sanzioni previste come un grosso bastone dietro la schiena, utile a spaventare e intimorire gli operatori anche a costo di inibire e rallentare lo sviluppo dell’economia digitale.

In sostanza, e per essere chiari: nessuno è più inadeguato a comprendere il valore e il significato del GDPR di quanti lo considerano solo come una normativa di tutela e difesa, sia pure rispetto a diritti fondamentali ai quali nessuno in UE è disposto a rinunciare.

Il GDPR, molto più della Direttiva 95/46 che era di Mercato Unico e quindi CE, ha come scopo essenziale assicurare insieme la massima tutela dei diritti fondamentali dei cittadini UE e lo sviluppo, il più ampio possibile, dell’economia digitale europea attraverso la libera circolazione dei dati in UE. Questo significa anche garantire lo sviluppo il più veloce ed efficace possibile dell’Intelligenza Artificiale.

Il Gdpr e lo sviluppo dell’intelligenza artificiale

In questo senso, come è chiarito oltre ogni ragionevole dubbio nella Comunicazione della Commissione del 7 dicembre 2018 “Piano coordinato sull’Intelligenza artificiale”, e ancora più dettagliatamente nel Rapporto del Parlamento europeo del 30 gennaio 2019 intitolato “On a comprehensive European industrial policy on artificial intelligence and robotics”, è un punto fermo della politica dell’Unione assicurare una elevata tutela dei diritti fondamentali della persona umana rispetto allo sviluppo dell’economia digitale, della Data Analysis , dell’Algoritmo e dell’Intelligenza artificiale (compresa l’Internet delle Cose).

Tuttavia è fortissima, e crescente, la spinta ad accelerare il più possibile lo sviluppo dell’economia digitale, in modo da colmare i ritardi accumulati in questi anni.

Ovviamente in questo quadro è molto forte anche l’attenzione ai temi della sicurezza, considerati da tempo così centrali da aver condotto già nel 2016 alla adozione della Direttiva 2016/1148, nota come Direttiva NIS fino ad arrivare, al termine del mandato della Commissione Junker, ad ottenere il 12 marzo 2019 l’ approvazione da parte del Parlamento UE del UE Cybersecurity Act, del quale si attende ora la approvazione definitiva da parte del Consiglio europeo l’8 o il 9 di aprile.

Tutta la nuova normativa nell’ambito dello spazio economico europeo dei dati e dello sviluppo del Digital Single Market ha dunque come scopi essenziali:

  • la tutela dei trattamenti di dati personali per garantire i diritti e le libertà fondamentali delle persone fisiche;
  • la libera circolazione dei dati nello spazio comune europeo; l’implementazione coordinata delle loro modalità di trattamento, di archiviazione e di trasmissione, anche al fine di incentivare l’interoperabilità; la promozione della società e dell’economia digitale; la estensione dei servizi digitali e della loro capacità di interconnessione; lo sviluppo dell’Intelligenza artificiale.

A questo si aggiunge una attenzione sempre più elevata alla sicurezza, che col Cybersecurity Act conduce, non a caso, alla assegnazione di nuovi e ben più penetranti compiti a ENISA.

Sono tutti aspetti di cui tratta ampiamente Giuseppe D’Acquisto nel suo contributo pubblicato insieme a questo.

Le indicazioni dei Garanti Ue su Codici di condotta e certificazioni

Resta da comprendere bene in che senso, e attraverso quale connessione il tema dei Codici di Condotta e, ancora di più, quello delle Certificazioni, sia così rilevante rispetto a questo quadro.

A questo proposito merita sottolineare che subito dopo la prima seduta di insediamento, avvenuta ovviamente il 25 maggio 2018, già nella seconda seduta dell’11 febbraio 2018 il nuovo Comitato di protezione dati (EDPB) ha adottato due schemi di Linee Guida.

  1. Il primo dedicato a “On Codes of Conduct and Monitoring Bodies under Regulation 2016/679.
  2. Il secondo schema di Linee guida ha avuto come titolo “On Certification and identifying certification criteri in accordance with Articles 42 and 43 of the Regulation 2016/679 -Annexe 2- version for public consultation”.

E’ evidente il segnale che l’EDPB ha voluto lanciare.

In sostanza i suoi due primi provvedimenti, adottati subito dopo le due Comunicazioni della Commissione su “Spazio comune europeo dei dati” e su “Intelligenza artificiale per l’Europa” hanno riguardato i due strumenti di maggiore flessibilità contenuti nel GDPR, e quelli che più di ogni altro possono, oggi e in futuro, aprire la via alla ricerca di punti di equilibrio solidi tra la irrinunciabile difesa dei diritti fondamentali delle persone e lo sviluppo delle forme più avanzate di economia digitale.

Da ultimo il 23 gennaio 2019 l’EDPB ha adottato in via definitiva le Linee guida 1/2018 “On certification and identifyng certification criteria in accordance with Articles 42 and 43 of the Regulation 206/679”.

Dunque dal gennaio 2019 è scattato il periodo dal quale, e nell’arco temporale più breve possibile, spetta alle Autorità nazionali (e allo stesso EDPB a livello europeo) dettare i criteri a cui esse stesse, se intendono farlo direttamente, o i meccanismi nazionali di accreditamento di cui all’art.43,1, b) debbano attenersi per individuare gli organismi certificatori e dare così avvio in concreto all’attività di certificazione.

Sul tema dei criteri in base ai quali le Autorità nazionali e, per quanto a noi interessa, il Garante devono dettare i criteri di cui all’art. 42,5 affinché i procedimenti di individuazione degli organismi di certificazione possano aver luogo anche ad opera dell’Organismo nazionale di accreditamento, torneremo in futuro, quando il Garante, si spera in tempi brevissimi, avrà provveduto.

In questa sede, invece, avendo ora ogni elemento necessario a disposizione, merita chiarire quale sia il significato da attribuire alla Convenzione firmata in data 20 marzo tra Garante e Accredia.

Il significato della Convenzione Garante-Accredia

La Convenzione ha come “obiettivo la definizione dei rapporti di collaborazione tra l’Autorità e Accredia ai fini dello scambio di informazioni e aggiornamenti relativamente alle attività di accreditamento ai sensi dell’art. 43 del Regolamento, finalizzate ad attestare che un determinato organismo di certificazione soddisfi i requisiti stabiliti dalla norma UNI CEI EN ISO/ IEC 1765 e dall’art. 43 del Regolamento, per il rilascio delle certificazioni ai sensi dell’art. 42 dello stesso Regolamento”.

A tal fine Accredia si impegna a comunicare all’Autorità:

  • gli accreditamenti, inclusi i rinnovi e le estensioni, rilasciati a seguito delle delibere del proprio Comitato settoriale di accreditamento;
  • i ricorsi presentati dagli organismi accreditati e le decisioni assunte in merito da Accredia;
  • le scadenze dei certificati di accreditamento;
  • i provvedimenti sanzionatori, corredati da adeguata motivazione;
  • l’elenco delle certificazioni nonché le revoche, le sospensioni e le riduzioni rilasciate agli Organismi accreditati;
  • ogni altra informazione, con particolare riguardo alle iniziative assunte da Accredia anche alla luce delle informazioni dell’Autorità.

L’Autorità (il Garante), da parte sua, si impegna a comunicare ad Accredia:

  • gli aggiornamenti riguardanti l’evoluzione normativa con particolare riferimento a Linee Guida, pareri e decisioni dell’EDPB;
  • gli aggiornamenti relativi agli schemi di certificazione approvati a livello nazionale e dinanzi allo EDPB;
  • informazioni sulle problematiche connesse alle certificazioni, evidenziate da reclami o altri atti pervenuti all’Autorità;
  • ogni altra informazione e documentazione ritenuta pertinente ai fini della Convenzione, in particolare con riguardo alle iniziative assunte dall’Autorità anche alla luce delle informazioni fornite da Accredia.

Va premesso che l’art.2-septiesdecies del Codice italiano novellato, avvalendosi di un potere esplicitamente consentito al legislatore nazionale dall’art. 43,1,b), ha individuato in Accredia “l’organismo nazionale di accreditamento di cui all’art. 43, pargrafo1, lettera b) del Regolamento è l’Ente unico nazionale di accreditamento, istituito ai sensi del Regolamento (CE) n. 765/2008, del 9 luglio 2008, fatto salvo il potere del Garante di assumere direttamente, con deliberazione pubblicata nella Gazzetta Ufficiale della Repubblica italiana e in caso di grave inadempimento dei suoi comiti da parte dell’Ente unico nazionale di accreditamento, l’esercizio di tali funzioni, anche con riferimento a una o più categorie di trattamenti”.

La Convenzione del 20 marzo 2019 va letta, dunque, non solo alla luce del GDPR e dell’art. 43,1, b) in esso contenuto, ma anche tenendo conto della specifica posizione riconosciuta ad Accredia dall’art. 2-septdecies del Codice novellato.

Da questo punto di vista non si può che accogliere con favore la stipulazione di questa Convenzione, considerandola come un primo passo importante e un segnale inequivoco della volontà del Garante di procedere quanto prima a dettare anche i criteri ai quali Accredia deve attenersi al fine di attribuire agli organismi interessati che ne facciano richiesta la qualifica di certificatore.

Non vi è dubbio, infatti, che dopo l’adozione in via definitiva delle Linee guida dell’EDPB sulla Certificazione, è ora indispensabile e urgente che il Garante indichi i criteri richiesti in conformità a quanto previsto dall’art. 42 paragrafo 5 affinché Accredia possa operare, gli organismi certificatori possano essere individuati e i certificati possano essere rilasciati a chi ne faccia richiesta e presenti adeguata documentazione.

Sappiamo tutti bene che purtroppo il Garante è prossimo al termine del suo mandato e che è oberato di mille impegni, anche gravosissimi, finalizzati tutti dare piena attuazione al GDPR e, in larga misura, anche al Codice, profondamente novellato dal d.lgs. n.101 del 2018.

Abbiamo apprezzato e apprezziamo tutti la dedizione dimostrata dal Presidente Soro, dal Collegio e dall’Ufficio del Garante in questi mesi.

Proprio per questo, però, ci auguriamo anche che quanto prima l’Autorità provveda a dettare i criteri necessari affinché tutto il processo di rilascio delle certificazioni possa mettersi in moto anche nel contesto italiano.

Si tratta di una necessità vitale per l’economia italiana e il suo sviluppo.

Pur essendo vero che il possesso di certificazioni, sempre relative a specifici trattamenti, non esonera mai il titolare né il responsabile ex art. 28 dalle loro responsabilità è pur vero che poter esibire certificazioni adeguate rispetto ai trattamenti di dati oggetto di gare pubbliche, o anche di offerte di servizi a terzi, costituisce, e sempre più costituirà, un requisito essenziale per partecipare a bandi e gare pubblici (e presto anche privati) sia nei diversi Paesi dell’Ue che a livello di UE direttamente.

Sarebbe gravissimo se, per ritardi del Garante nel dettare i criteri citati, l’intero meccanismo delle certificazioni non potesse mettersi rapidamente in moto anche in Italia. Questo metterebbe infatti le imprese e i produttori di beni e servizi italiani in condizioni di grave inferiorità rispetto ai loro concorrenti transfrontalieri, fino al rischio di vedersi escludere da gare i cui bandi richiedono il possesso di tali certificazioni.

Come si vede, il tema delle Certificazioni ha, allo stesso tempo, una prospettiva molto lunga nel tempo e di incredibile interesse e potenzialità. Accelerare la possibilità di ottenere anche in Italia certificazioni compliance col GDPR ha quindi un assoluto valore e costituisce una priorità essenziale per l’economia del Paese.

Il Garante è perfettamente consapevole di tutto questo.

Ci auguriamo che, come finora è sempre avvenuto, sappia ancora una volta essere attento agli interessi del Paese e meritoriamente solerte nella sua attività.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4