La guida

Certificazioni in ambito GDPR, ecco il nuovo schema ISDP©10003

Il nuovo strumento di certificazione basato sullo schema ISDP©10003 porta vantaggi alle imprese che devono dimostrare la propria compliance al GDPR e l’accountability: approfondiamo la sua struttura tecnica

05 Mag 2020
C
Claudia Ciampi

CISO, Responsabile Data Protection & Legal Manager


In ottica di dimostrare la propria accountability, le aziende vengono invitate a conseguire certificazioni in ambito data protection, procedura prevista dal GDPR. Un utile strumento in questo senso è lo schema ISDP©10003. Vediamo di che cosa si tratta.

Certificazioni in ambito GDPR

In epoca GDPR l’obiettivo primario delle organizzazioni non è semplicemente conformarsi alla normativa, bensì essere in grado di dimostrare la compliance attraverso l’attestazione documentata degli adempimenti privacy presi in carico, del controllo sui trattamenti effettuati, delle responsabilità e compiti assegnati, nonché delle misure di sicurezza individuate e implementate attraverso un approccio risk-based.

In soccorso all’esigenza di dover dimostrare la sostanza degli adempimenti e non il mero rispetto formale degli stessi, la disciplina degli articoli 42 e 43 del GDPR incoraggia l’istituzione di meccanismi di certificazione, sigilli e marchi di protezione dei dati da parte degli Stati membri, delle Autorità di controllo e degli Organismi nazionali di accreditamento.

L’ottenimento della certificazione, come evidenziato dal Comitato Europeo per la Protezione dei Dati nelle Linee guida 1/2018, pur non dimostrando “ex se” la conformità al Regolamento da parte del titolare o del responsabile, rappresenta un elemento che può essere utilizzato per dimostrare la conformità.

In sostanza, titolari e responsabili del trattamento che decidono di adottare gli schemi di certificazione GDPR possono avvalersi di principi e linee guida a supporto del processo di adeguamento privacy e strutturare e implementare un sistema di controlli interni per verificare la correttezza dei propri processi organizzativi nel tempo, e sostanziare lo stato di conformità al Regolamento.

Lo schema di certificazione considerato più vicino ai dettami del GDPR è stato identificato nella norma ISO/IEC 27701:2019 “Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines”, fino al 13 Dicembre 2019 quando Accredia ha emanato la Circolare Tecnica 17/2019 statuendo che “se molti argomenti trattati dalla Norma ISO/IEC 27701:2019 hanno riscontro in specifici requisiti di legge nazionali, sia in Italia, sia in altri Paesi dell’Unione Europea, disciplinati dal GDPR e dalle precedenti leggi nazionali, la norma, basandosi sulla ISO 17021-1, non è da considerarsi valida ai fini del GDPR, che prevede invece una certificazione accreditata IS0 17065”.

Ne consegue che la certificazione ISO/IEC 27701 è fuori scopo, in quanto richiede l’accreditamento degli OdC per i sistemi di gestione (ISO 17021-1) e non ISO 17065 art. 43.1(b) e C. 100. A fronte di questo chiarimento ufficiale, oggi le aziende, PMI, micro Imprese e PA che intendono perseguire una certificazione accreditata ISO 17065 in termini GDPR possono far riferimento solo alla norma ISDP©10003:2018 “Schema internazionale per la valutazione della conformità al Regolamento europeo 2016/679” accreditato da Accredia secondo la norma UNI EN ISO 17065 e liberamente scaricabile tramite il sito web dell’OdC IN-Veo.

Gli obiettivi della norma

ISDP©10003:2018 è lo schema internazionale di certificazione per la valutazione della conformità al GDPR di tutte le tipologie di organizzazioni in ogni settore merceologico, accreditato da Accredia a maggio 2018  secondo la norma UNI EN ISO 17065 ed avvalorato a livello europeo dallo Studio della Commissione Europea sui meccanismi di certificazione GDPR ex art.42 e 43, condotto dalla prestigiosa Tilburg University, che lo ha classificato fra i 15 migliori schemi di certificazione a livello internazionale e come uno dei due conformi allo scopo di cui all’art. 42 del GDPR.

Lo schema è stato redatto utilizzando le regole specificate per gli standard dei sistemi di gestione nelle direttive ISO Annex SL e segue la struttura comune. Di conseguenza risulta compatibile con le altre norme volontarie, in particolare UNI EN IS019011, UNI CEI EN ISO/IEC 17021-1, ISO 9001, UNI EN ISO/IEC 27001, UNI ISO/IEC 25012, ISO/IEC 29100, ISO/IEC 29134, UNI ISO 31000 e SGCMF©10002.

FORUM PA 6- 11 luglio
Innovazione e trasformazione digitale per la resilienza. Scopri il nuovo FORUM PA digitale
CIO
Dematerializzazione

L’obiettivo dello schema è consentire alle organizzazioni di dimostrare la propria “Accountability” rispetto all’attuazione dei requisiti normativi ed al monitoraggio dell’adeguatezza dei processi e delle procedure interne all’organizzazione in merito al trattamento ed alla protezione dei dati personali, con particolare riferimento alla corretta gestione dei rischi.

Esso fornisce i principi e gli elementi di controllo ai titolari e responsabili del trattamento, anche fuori dall’Unione Europea, per la valutazione di conformità delle operazioni di trattamento al EU Reg. 2016/6791 e dettaglia inoltre i requisiti e i controlli necessari, affinché i dati personali gestiti attraverso sistemi hardware e software, siano trattati secondo criteri di esattezza, accuratezza, attualità, coerenza, completezza e aggiornamento, richiesti dalla normativa vigente sulla protezione dei dati personali.

Schema ISDP©10003: struttura tecnica

Dal punto di vista della strutturazione tecnica lo schema ISDP©10003 si compone di:

  • 7 macro-processi, che permettono di monitorare il rispetto dei principi fondamentali richiamati dal EU Reg. 2016/679 quali la liceità del trattamento, la capacità e tempestività di notificare violazioni, la privacy by design e by default e la valutazione d’impatto ove applicabile
  • 20 processi:
  • 98 controlli che riguardano:
  1. Politica e obbligazioni del titolare;
  2. Soggetti coinvolti nel processo del trattamento;
  3. Principi applicabili al trattamento e tutela dei diritti;
  4. Processi di adeguamento in fase di sviluppo, progettazione e selezione di applicazioni prodotti e servizi;
  5. Valutazione d’impatto;
  6. Trasferimento dei dati personali verso paesi terzi;
  7. Gestione del Cloud e IoT.
  • 1 check list

L’organizzazione che si sottopone a certificazione ISDP©10003 deve, nella misura necessaria e nei limiti dei trattamenti dei dati effettuati, predisporre e mantenere aggiornata la documentazione GDPR obbligatoria ed una serie di altri documenti.

Nello specifico:

  • manuale privacy (o documentazione equivalente) che comprenda:
  1. mappatura dei trattamenti (archivi interni ed esterni e relativi tracciati record);
  2. istruzioni formali alle persone autorizzate al trattamento sotto l’autorità del titolare (addetti);
  3. qualifiche e contratti responsabili del trattamento;
  4. procedure di monitoraggio degli Amministratori di Sistema;
  5. template di Informative (ed eventuali richieste di consenso).
  • registro del trattamento;
  • valutazione del rischio e metriche di misurazione;
  • metodologia di valutazione d’impatto sulla protezione dei dati e registro delle DPIA effettuate;
  • relazione annuale dell’amministratore di sistema;
  • relazione annuale del DPO se nominato;
  • procedure che regolano la raccolta e il trattamento dei dati;
  • procedura per la gestione dei diritti dell’interessato;
  • procedura di modifica e/o cancellazione dati;
  • procedure misure tecniche ed organizzative per la gestione della sicurezza dei trattamenti, o documentazione equivalente che comprenda antivirus. backup, restore. gestione credenziali, gestione cookie, business continuity, disaster recovery ecc.;
  • procedure di gestione della privacy by design e by default;
  • procedura di gestione degli audit interni.

I vantaggi per titolari e responsabili del trattamento

La prima considerazione da fare riguarda la rispondenza della ISDP©10003 ai dettami degli articoli 42 e 43 del Reg. UE 2016/679 e, quindi, la sua efficacia come strumento atto a dimostrare la conformità al GDPR di titolari e responsabili del trattamento, ovvero a sostanziare il “Principio di Responsabilizzazione” (artt. 5.2 e 24), che legislatore pone in capo a titolare e responsabile del trattamento.

In secondo luogo la certificazione altro non è che una macro-misura organizzativa messa in atto ai sensi degli articoli 25 e 32 del Regolamento che, di conseguenza, rappresenta  evidenza oggettiva di un elevato grado di responsabilità del titolare e del responsabile del trattamento (articolo 83.2, lett. d del Regolamento) e costituisce uno degli elementi che possono indurre l’Autorità di controllo a mitigare le eventuali sanzioni a fronte di violazioni del GDPR (articolo 83.2, lett. j del Regolamento).

È chiaro che la certificazione per la valutazione della conformità al GDPR, resta pur sempre un processo volontario e non riduce la responsabilità del titolare del trattamento o del responsabile del trattamento, riguardo gli obblighi di conformità al regolamento stesso o a parti di esso.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4