Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'approfondimento

GDPR, tutto sulle certificazioni: quali sono e a cosa servono

Panoramica sulle principali certificazioni in ambito privacy, approfondendo la loro funzione e le modalità per ottenerle

4 giorni fa
C
Marina Rita Carbone

Consulente privacy


Le attività di accreditamento, disciplinate agli artt. 42 e 43 del GDPR consentono non soltanto di verificare la correttezza dei propri processi organizzativi, ma raccolgono altresì una serie di principi e linee guida che fungono da pilastro nel processo di adeguamento privacy di qualunque titolare. Nel prosieguo, una sintetica analisi delle principali certificazioni ottenibili e del processo di accreditamento.

Che cosa sono le certificazioni

Nonostante coprano una vasta varietà di materie e processi, in ambito privacy le certificazioni rappresentano uno dei molteplici strumenti tramite cui il titolare, in virtù del generale principio di accountability, può dimostrare di compiere un trattamento in linea con le normative di volta in volta vigenti.

Tuttavia, occorre che le stesse siano attendibili per poter assurgere al ruolo di parametri di valutazione. Per tale motivo, è stata istituita, ben prima dell’entrata in vigore del GDPR, ISO, ovvero l’Organizzazione internazionale per la normazione, la quale si occupa di definire le normative relative alla gestione ed alla certificazione di qualità di svariate tipologie di processi organizzativo-produttivi.

Alla creazione degli standard ISO partecipa anche l’Italia tramite l’Ente Nazionale Italiano di Unificazione (più comunemente conosciuto come UNI).

Chi procede alle certificazioni

Al fine di garantire che l’organismo di certificazione agente nel territorio nazionale operi in modo competente, coerente e imparziale, la norma UNI CEI EN ISO/IEC 17065:2012 stabilisce, a sua volta, i requisiti da soddisfare affinché lo stesso possa effettivamente qualificarsi quale “terza parte indipendente” e procedere alla valutazione della conformità ai parametri ISO o alle linee guida di volta in volta delineate da specifiche Autorità quali, a titolo esemplificativo, il Garante per la protezione dei dati personali.

In Italia è Accredia, in quanto ente nazionale di accreditamento designato dal Governo italiano, che si occupa di certificare la conformità di prodotti, processi e servizi, anche in ambito privacy e IT. La stessa ha persino concluso, in data 29.03.2019, una convenzione con il Garante privacy volta a favorire lo scambio di informazioni in merito alle attività di accreditamento e certificazione, nonché a valorizzare le reciproche competenze.

La conclusione della succitata convenzione consentirà ad Accredia di integrare le proprie procedure di attestazione con “requisiti aggiuntivi” specificatamente individuati dal Garante sulla base di una approfondita analisi del contenuto delle linee-guida comuni elaborate in seno al Comitato europeo per la protezione dei dati, garantendo così la massima conformità, per i richiedenti, all’intero impianto normativo-giurisprudenziale.

Sarà, infatti, compito di Accredia e del Garante procedere ad un reciproco scambio di informazioni volte al coordinamento dei relativi interventi:

  • Accredia comunicherà all’Autorità gli accreditamenti rilasciati, i ricorsi degli organismi accreditati e le decisioni assunte, le scadenze dei certificati, i provvedimenti sanzionatori, l’elenco delle certificazioni e le relative revoche e sospensioni rilasciate dagli organismi;
  • il Garante comunicherà ad Accredia gli aggiornamenti della normativa, le novità sugli schemi di certificazione approvati a livello nazionale ed europeo, nonché le informazioni su problematiche che potrebbero emergere da reclami pervenuti all’Autorità.

L’iter di accreditamento adottato da Accredia

Il percorso di accreditamento seguito da Accredia si articola in numerose fasi, nel seguito sinteticamente esposte:

  1. Domanda di accreditamento, posta al vaglio dei funzionari tecnici del dipartimento Accredia competente. Ove conforme, Accredia procede alla comunicazione dell’avvenuta accettazione della domanda ed inoltra apposito preventivo tecnico economico.
  2. Esame della documentazione: verifica, da parte degli esperti tecnici di Accredia, della conformità dell’attività svolta dal richiedente ai requisiti normativi tramite l’esame dei documenti forniti con la domanda di cui al punto precedente;
  3. Verifiche ispettive in sede: ove la predetta fase abbia esito positivo, Accredia provvede ad inviare presso la sede del richiedente un gruppo di ispettori ed esperti qualificati per accertare che quanto contenuto nei documenti sia corrispondente al vero e, dunque, che le procedure operative poste in atto dal richiedente siano concretamente conformi ai parametri di legge. A conclusione dell’ispezione viene redatto un rapporto di valutazione nel quale si evidenziano eventuali criticità emerse;
  4. Delibera dell’accreditamento: il Comitato Settoriale competente per l’attività svolta dal richiedente riceve la relazione del gruppo di ispettori, valuta la pratica e delibera la concessione o meno dell’accreditamento, formalizzando apposita convenzione fra Accredia ed il soggetto accreditato ed emettendo un certificato a marchio Accredia, dalla validità di 4 anni.

Alle su esposte fasi ne seguono tre ulteriori, conseguenti all’ottenimento del certificato:

  1. Sorveglianza periodica: messa in atto nei quattro anni di validità del certificato, consiste in un monitoraggio periodico per verificare che i requisiti normativi di settore siano mantenuti nel tempo;
  2. Estensione dell’accreditamento: eventuale estensione, nel corso dei 4 anni di validità del certificato, dell’accreditamento a nuovi schemi di certificazione rientranti nello schema già coperto.

Rinnovo dell’accreditamento, tramite le medesime modalità sinora descritte, finalizzato al rinnovo per ulteriori 4 anni dell’originario certificato.

Le principali certificazioni in ambito privacy

Attualmente, le certificazioni relative alla protezione dei dati e, più in generale, alla sicurezza ed alla gestione degli stessi, sono molteplici, principalmente appartenenti alla categoria delle ISO/IEC 27000: tale famiglia di standard si occupa di disciplinare il Sistema di Gestione della Sicurezza delle Informazioni e mira a tutelare ogni realtà aziendale dalla perdita dei caratteri di riservatezza, integrità e disponibilità dei propri dati, personali e non.

Facciamo una sintetica analisi del contenuto cardine delle principali ISO in materia, per l’approfondimento delle quali si rimanda al contenuto della norma nonché ai relativi articoli pubblicati nel presente sito.

ISO/IEC 27001

La ISO 27001 rappresenta lo standard internazionale più rilevante di sicurezza delle informazioni e definisce i requisiti logici, fisici e organizzativi necessari per impostare e gestire un sistema di gestione della sicurezza delle informazioni (detto anche SGSI o ISMS, ovvero “Information Security Management System”).

Proprio in virtù del peculiare settore preso in esame dalla ISO di cui ad oggetto e della portata innovativa dei principi in essa dettati, nonostante la sua pubblicazione sia avvenuta più di un decennio prima dell’entrata in vigore del GDPR, sono molti i punti in cui la norma ed il Regolamento guardano nella stessa direzione (come evidenziato da Giuliano Mandotti nel suo articolo “ISO 27001 e GDPR, linee guida per mettere al sicuro i dati aziendali” cui si rimanda per ulteriori approfondimenti):

  • si mira a dettare linee guida quanto più dettagliate che possano consentire alle organizzazioni di garantire la riservatezza, l’integrità e la disponibilità dei dati, da un lato suggerendo forme di tutela quali la crittografia, il backup dei dati e la resilienza dei sistemi (art. 32 GDPR), dall’altro ponendo alla base dell’ottenimento della certificazione la preventiva analisi delle criticità dei sistemi e la creazione di un programma di sicurezza che possa costituirne la soluzione (clausola 4 ISO 27001);
  • si pone la massima importanza alla valutazione del rischio proprio insito in ogni processo e/o trattamento ed al bilanciamento delle misure di sicurezza sulla base delle relative risultanze (art. 35 GDPR, paragrafi 6.1.2 e 6.1.3 ISO 27001);
  • si focalizza l’attenzione sul flusso di dati verso l’esterno, obbligando le società a identificare e monitorare le azioni esternalizzate (clausola 8 ISO 27001), esplicando in un atto/contratto quali responsabilità e garanzie regolano i rapporti in essere fra il titolare e i c.d. responsabili del trattamento (art. 28 GDPR);
  • si mette in luce l’importante ruolo della notifica del breach (dei dati o dei sistemi) al fine di responsabilizzare le aziende e sollecitare una tempestiva ed efficace risoluzione degli incidenti (artt. 33-34 GDPR, par. A.16 ISO 27001);
  • si esige un controllo “a monte” dei progetti e delle relative misure di sicurezza applicabili, per la creazione di prodotti compliant sin dal principio (art. 25 GDPR, clausole 4-6 ISO 27001);
  • si richiede la classificazione delle proprie attività, tramite la stesura di appositi registri del trattamento (art. 30 GDPR) o l’inventario delle attività di informazione (par. A.8 ISO 27001).

Per tali ragioni, sebbene non garantisca la piena conformità alle normative vigenti in materia di protezione dei dati personali, la ISO 27001 è tuttora posta alla base dei processi di adeguamento al Regolamento UE 679/2016, rappresentandone, di fatto, una sua specifica.

ISO/IEC 27002

La norma in esame consiste sostanzialmente in una raccolta di “best practices” che possono essere adottate per soddisfare i requisiti della norma ISO 27001:2005 al fine di proteggere le risorse informative. Ogni sezione della norma è dedicata, infatti, a specifiche aree inerenti alla sicurezza delle informazioni all’interno dell’azienda, a livello di infrastrutture sia tecniche che organizzative:

  • politiche di sicurezza (Security Policy);
  • sicurezza organizzativa (Security Organization);
  • controllo e classificazione dei beni (Asset Classification and Control);
  • sicurezza del personale (Personnel Security);
  • sicurezza fisica e ambientale (Physical and Environmental Security);
  • gestione di comunicazioni e operazioni (Communications and Operations Management);
  • controllo di accesso (Access Control);
  • sviluppo e manutenzione di sistemi (System Development and Maintenance);
  • gestione continuità operativa (Business Continuity Management);
  • adeguatezza (Compliance).

ISO/IEC 27701

Lo standard ISO 27701, di recentissima pubblicazione (agosto 2019) rappresenta lo sviluppo e l’implementazione degli standard precedentemente introdotti dalle ISO 27001 e 27002 di cui si è precedentemente discusso. Lo scopo che la norma si prefissa, sulla base delle novità legislative introdotte dal GDPR, è quello di migliorare gli attuali sistemi di gestione, aggiungendo alle ISO esistenti ulteriori requisiti specifici in ambito di gestione delle informazioni sulla privacy.

Per tali motivi, non può prescindere da una lettura congiunta delle ISO cui la stessa si lega, istituendo una serie di controlli specifici per le figure del titolare e del responsabile del trattamento introdotti dal GDPR, dei quali precedentemente non si teneva (almeno espressamente) conto.

Alternative alla certificazioni

Sebbene l’ottenimento di un certificato di conformità alle norme ISO/IEC costituisca un valore aggiunto, lo stesso non risulta necessario al fine di dimostrare l’effettiva compliance alle norme vigenti in ambito privacy.

Sono gli stessi Garanti a pronunciarsi in tal senso, per il tramite di quanto contenuto nel “Manuale RPD” di Douwe Korff e Marie Georges: nella parte relativa alla certificazioni, infatti, si sottolinea come “la documentazione dettagliata delle valutazioni di impatto (DPIA) […] e il monitoraggio dei trattamenti su base continuativa […] (unitamente alla documentazione di tale attività di monitoraggio), assolvono in certa misura a una funzione simile a quella delle certificazioni perché tale documentazione dimostra che il titolare ed i suoi collaboratori hanno attentamente preso in esame tutte le implicazioni relative alla privacy/protezione dei dati delle specifiche attività di trattamento, adottando le opportune misure correttive”.

Conclusione

In chiusura, dunque, può riconoscersi alle certificazioni il vantaggio di rappresentare dei metodi di valutazione oggettivi ed imparziali, provenendo le considerazioni in esse contenute da analisi effettuate da soggetti terzi indipendenti privi di qualsiasi collegamento con il titolare.

Ciò, tuttavia, non esula quest’ultimo dallo svolgimento di accurate ed obiettive valutazioni che tutelino non solo i dati personali, ma bensì l’intera infrastruttura tecnico-operativa sulla quale l’attività aziendale si fonda, sulla base dei principi dettati dal Regolamento e dalla normativa nazionale applicabile.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5