Certificazioni privacy per le imprese

Il GDPR ha comportato una rivoluzione in materia di protezione dei dati personali e ha introdotto un approccio normativo al quale le imprese italiane non erano ancora abituate: accountability, approccio risk based, obblighi non perfettamente delineati dal legislatore i cui contenuti sono lasciati al libero apprezzamento delle organizzazioni – le quali devono risultare GDPR compliant, con il rischio di vedersi imporre importanti sanzioni.

A distanza di più di tre anni, la normativa in materia di protezione dei dati personali continua ad essere appannaggio degli specialisti del settore, e a risultare talvolta incomprensibile agli occhi delle organizzazioni e, soprattutto, a quelli degli interessati.

In questo contesto le certificazioni privacy ai sensi dell’articolo 42 possono costituire un valido strumento:

• Per le organizzazioni, le quali possono beneficiare di “sconti di pena” e rendersi più appetibili agli occhi del mercato;
• Per gli interessati, che attraverso un “bollino” possono agilmente riconoscere i trattamenti di dati approvati da controllori competenti.

Ma qual è il ruolo delle certificazioni all’interno del GDPR? Quali sono gli standard per la certificazione? È possibile adottare la ISO/IEC 27701 ed avere i benefici di una certificazione ai sensi del GDPR?

Andiamo per ordine.   

Innanzitutto, è bene ricordare che le certificazioni privacy ai sensi dell’art. 42 riguardano i processi aziendali, e non il personale dell’azienda.

Le certificazioni di cui stiamo parlando sono dei “bollini” che assicurano che uno specifico trattamento di dati personali nell’ambito dell’organizzazione sia conforme allo schema di certificazione adottato.

Lo scheletro della disciplina in materia di certificazioni è costituito dagli artt. 42, 43 e 83 del GDPR.

In breve, possiamo dire che la certificazione:

• Non esclude l’accountability (la “responsabilità” dell’organizzazione);
• Può risultare idonea ad evitare la sanzione GDPR o a ridurne l’importo, secondo il libero apprezzamento dell’autorità di controllo; 
• È un’arma a doppio taglio: la sua revoca comporta informazione al Garante da parte dell’organismo di certificazione.

Per ulteriori approfondimenti circa le certificazioni GDPR in generale, rimandiamo alle recentissime FAQ dell’Autorità Garante (https://www.garanteprivacy.it/regolamentoue/certificazione-e-accreditamento).

Quando si parla di certificazioni ai sensi del GDPR, gli schemi dei quali si parla più spesso sono i seguenti: 

• ISO/IEC 27701:2019
• UNI/PdR 43.2:2018
• ISDP 10003:2020

È necessario ricordare che non tutti sono o possono diventare certificazioni ai sensi dell’art. 42. 

Vediamoli nel dettaglio.

1.2.1 ISO/IEC 27701:2019

La ISO/IEC 27701 ha fatto molto parlare di sé nel momento della sua pubblicazione.

La norma specifica i requisiti e fornisce una guida per stabilire, implementare, mantenere e migliorare continuamente un sistema di gestione delle informazioni per la protezione dei dati personali (PIMS) sotto forma di estensione della ISO/IEC 27001.

Nonostante ciò, tale schema non costituisce (e non potrà mai costituire) uno standard valido per la certificazione ai sensi dell’articolo 42 del GDPR, così come affermato anche dalla stessa Accredia, l’ente di accreditamento italiano.

Nonostante il presente schema non possa costituire una certificazione valida ai sensi dell’art. 42 del GDPR, esso è molto conosciuto e ha una grande appetibilità agli occhi del mercato, anche a livello internazionale, con tutti i benefici che ne derivano.

​​​​​​1.2.2 UNI/PdR 43.2:2018

La UNI/PdR 43 è intitolata “Linee guida per la gestione dei dati personali in ambito ICT secondo il Regolamento UE 679/2016 (GDPR) - Requisiti per la protezione e valutazione di conformità dei dati personali in ambito ICT”.

Essa è strutturata in 2 sezioni.

La n. 2 fornisce un adeguato insieme di requisiti che permetta alle organizzazioni, in particolare alle PMI, di strutturare processi conformi a quanto previsto dal quadro normativo europeo e nazionale, potendo dimostrare tale conformità ed efficacia anche attraverso un percorso di certificazione.

Tale standard è idoneo a costituire una certificazione ai sensi del GDPR, seppure il suo iter di approvazione in tal senso non sia ancora stato completato.

L’adozione del presente schema non può attualmente comportare i benefici tipici di una certificazione ai sensi del GDPR, ma può comunque essere consigliabile in determinati contesti e costituire un’evidenza di affidabilità agli occhi del mercato.

​​​​​​1.2.3 ISDP 10003:2020

Lo schema ISDP 10003:2020 definisce i requisiti generali e i controlli per dimostrare la conformità al GDPR dei trattamenti di dati personali che il titolare e il responsabile effettuano nell’ambito dei prodotti, processi e servizi.

Come la UNI/PdR 43.2:2018, anche tale standard è idoneo a costituire una certificazione ai sensi del GDPR, seppure l’iter in tal senso non sia ancora stato completato.

A differenza della norma UNI, questo standard si propone come schema internazionale. Si tratta di una certificazione di processo.

Anche in questo caso, il mancato completamento dell’iter per la piena operatività dello schema come certificazione ai sensi del GDPR implica che l’ISDP 10003 non sia, momentaneamente, idoneo a determinarne i benefici tipici.

Al lato del mancato completamento dell’iter, i “contro” dell’eventuale adozione della presente certificazione sono quelli tipici di qualsiasi certificazione GDPR, cioè la mancata garanzia della piena GDPR compliance dell’intera organizzazione e la comunicazione al Garante in caso di revoca della certificazione. 

​​​​​​Pochi, maledetti e non subito – gli schemi per la certificazione ai sensi dell’articolo 42 del GDPR non esistono ancora.

Mentre la blasonata ISO/IEC 27701 non è idonea a costituire uno schema valido per la certificazione ai sensi del GDPR, la UNI/PdR 43 e la ISDP 10003 sono rimaste momentaneamente incagliate (così come tutte le certificazioni di cui all’art. 42) nelle maglie della lenta macchina regolatoria europea.

Seppure si vociferino ulteriori sviluppi entro l’anno, ai titolari e ai responsabili del trattamento non rimane che attendere la possibilità di certificarsi.

Nonostante ciò, aderire agli schemi sopra descritti può comportare comunque dei vantaggi.

La conformità alla ISO/IEC 27701 è utile alle organizzazioni certificate ISO/IEC 27001 che vogliano trasmettere affidabilità agli occhi del mercato.

Seppur non si tratti di una certificazione ai sensi del GDPR, la conformità a questo standard ne comporta tutti i benefici tipici (ad es. a livello organizzativo) e può essere utile alle organizzazioni che intendano emergere attraverso una certificazione blasonata e alle organizzazioni extra UE che intendano avvicinarsi al GDPR.

La UNI/PdR 43 e la ISDP 10003 diverranno, probabilmente, delle certificazioni valide ai sensi dell’art. 42 del GDPR.

Va ricordato che ambedue gli standard sono già adottabili e i processi (trattamenti) sui quali vengono declinati sono già certificabili (anche se per ora tale certificazione non è quella “valida” ai sensi del GDPR).

L’adozione di questi standard può essere utile non solo alle organizzazioni che vogliano iniziare a prendervi dimestichezza e che vogliano proiettarsi nel futuro, ma anche a quelle che vogliano beneficiare di un “bollino di conformità” dei propri trattamenti molto utile agli occhi del mercato, seppure ancora non riconosciuto dal GDPR.