[ITA] Certificazioni secondo la GDPR: il Garante Italiano fa il punto
Il 18 luglio 2017 il Garante per la Privacy Italiano si è espresso, tramite un importante comunicato stampa, sull'argomento "Certificazioni" previste dalla nuova General Data Protection Regulation, facendo per la prima volta chiarezza su un punto importante: le attuali certificazioni presenti sul mercato non sono conformi agli art. 42 e 43 GDPR. Questo articolo ne analizzerà le motivazioni.
Il richiamo del Garante
Sin dalla pubblicazione della GDPR in Gazzetta Ufficiale dell'Unione nel 2016 tante società avevano iniziato a proporre modelli di compliance alla GDPR sotto il nome di "certificazioni".
La prima domanda da porsi è dunque:
Qual è l'organo responsabile nell'emanare certificazioni?
Il Garante chiarifica che "i soggetti legittimati al rilascio della certificazione sono l'Autorità di controllo competente (per l'Italia, il Garante per la protezione dei dati personali) oppure gli organismi di certificazione". Tali organismi, in base al regolamento, possono essere accreditati dallo stesso Garante o dall'Organismo nazionale di accreditamento (per l'Italia, ACCREDIA), "**secondo i requisiti previsti dalla norma UNI CEI EN ISO/IEC 17065:2012** (che stabilisce i requisiti per gli organismi di certificazione di prodotti, processi e servizi) integrata da "requisiti aggiuntivi" che devono essere stabiliti dall'Autorità di controllo competente".
Gli organismi di certificazione e il garante italiano potrebbero dunque rilasciare certificazioni, le quali però devono soddisfare determinati criteri (come richiesto dall'articolo 42(5) GDPR), i quali devono essere identificati dallo stesso Garante (Criteri di certificazione).
Conclusioni
Il Garante ha preso le distanze da entità o aziende che hanno offerto finora certificazioni alle imprese, per due motivi (come si può anche vedere nello schema soprastante):
- Non sono stati identificati dal Garante i "requisiti aggiuntivi" necessari per accreditare gli organismi di certificazione (ai sensi dell'articolo 43, paragrafo 1, lettera b).
- Non sono stati identificati, altresì, I "Criteri di certificazione" necessari per emettere certificazioni ai sensi dell'art. 42 (5) GDPR (sia dal DPA che dagli organismi di certificazione).
Questo è il motivo per cui le certificazioni attualmente rilasciata non sono conformi agli art. 42 e 43 GDPR; dunque non conformi alla GDPR stessa.
I mesi successivi saranno fondamentali per definire i requisiti mancanti: il Garante sta già lavorando assieme alle altre autorità per la protezione dei dati europee con l'obiettivo di definirli ed uniformare la materia.