Certificatori GDPR, il Garante Privacy detta i requisiti: ecco tutte le regole - Cyber Security 360

L'analisi

Certificatori GDPR, il Garante Privacy detta i requisiti: ecco tutte le regole

Indipendenza, capacità di gestione, disponibilità: le indicazioni fornite dal Garante della privacy per i certificatori GDPR toccano numerosi aspetti dell’organizzazione del lavoro e della normativa. Vediamo nel dettaglio quali sono i requisiti necessari per affrontare il compito

04 Set 2020
C
Marina Rita Carbone

Consulente privacy

Il Garante della privacy ha dettato le indicazioni necessarie ai certificatori GDPR per svolgere il compito. Infatti, con il decreto legislativo 196/03, in applicazione dei principi dettati dal regolamento, è stato affidato ad Accredia il compito di provvedere all’accreditamento degli organismi che, in Italia, saranno deputati a rilasciare certificazioni attestanti la conformità alla normativa europea sulla data protection da parte delle imprese e degli enti che trattano dati personali al fine di fornire determinati beni o servizi. Analizziamo, nel seguito, le ultime novità relative ai requisiti richiesti a tali organismi.

Certificatori, le regole del GDPR

Ai sensi dell’art. 43 GDPR, gli organismi di certificazione sono gli unici soggetti cui può demandarsi il compito di rilasciare certificazioni. Gli stessi dovranno essere in possesso di un livello “adeguato di competenze riguardo alla protezione dei dati”. Ma come può interpretarsi tale competenza? In aiuto viene, in primis, il paragrafo 2 della medesima norma, il quale afferma che “sono accreditati in conformità di tale paragrafo solo se:

  • hanno dimostrato in modo convincente all’autorità di controllo competente di essere indipendenti e competenti riguardo al contenuto della certificazione;
  • si sono impegnati a rispettare i criteri di cui all’articolo 42, paragrafo 5 (n.d.a. dettati dall’autorità di controllo o da Edpb, il Comitato europeo per la protezione dei dati), e approvati dall’autorità di controllo competente ai sensi degli articoli 55 o 56 o dal comitato, ai sensi dell’articolo 63;
  • hanno istituito procedure per il rilascio, il riesame periodico e il ritiro delle certificazioni, dei sigilli e dei marchi di protezione dei dati;
  • hanno istituito procedure e strutture atte a gestire i reclami relativi a violazioni della certificazione o il modo in cui la certificazione è stata o è attuata dal titolare del trattamento o dal responsabile del trattamento e a rendere dette procedure e strutture trasparenti per gli interessati e il pubblico; e
  • hanno dimostrato in modo convincente all’autorità di controllo competente che i compiti e le funzioni da loro svolti non danno adito a conflitto di interessi”.

Da quanto sinora esposto, quindi, emerge che i principali criteri richiesti all’organismo siano così riassumibili:

  • indipendenza;
  • possesso delle conoscenze in merito al contenuto della certificazione, ossia in materia di trattamenti dei dati personali;
  • rispetto di eventuali criteri aggiuntivi dettati dalle Autorità nazionali ed europee;
  • organizzazione interna ed esterna per la gestione delle richieste e per l’esame delle stesse;
  • possesso di adeguate procedure di gestione dei reclami;
  • trasparenza nei confronti dei richiedenti e dei terzi;
  • assenza di conflitto di interessi.

Il GDPR fa altresì espressa menzione, quale norma di riferimento per la enucleazione di eventuali criteri aggiuntivi da parte delle Autorità Nazionali, alla norma EN-ISO/IEC 17065/2012, avente ad oggetto proprio i requisiti che un organismo di certificazione, indipendentemente dal settore in cui opera, deve soddisfare per dimostrare di operare in modo “competente, coerente e imparziale”.

Il provvedimento del Garante

Proprio alla norma ISO/IEC 17065/2012 ha fatto riferimento il Garante Italiano per la protezione dei dati personali nel provvedimento n. 148 del 29 luglio 2020, tramite il quale detta i requisiti di accreditamento “aggiuntivi” richiesti ai soggetti che desiderino ottenere la qualifica di organismo di certificazione da parte della società convenzionata Accredia, individuata quale Ente unico nazionale di accreditamento. Il contenuto del provvedimento fa propri anche i principi dettati dal Comitato europeo nelle Linee Guida aventi ad oggetto proprio l’analisi degli artt. 42 e 43 e i requisiti richiesti agli OdC (rispettivamente, Guidelines 4/2018 on the accreditation of certification bodies under Article 43 of the General Data Protection Regulation (2016/679) e Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation).

Non solo: l’avvenuto ottenimento, da parte del Garante, dell’approvazione del Comitato, consentirà agli OdC di emanare certificazioni “europee”, ai sensi di quanto stabilito espressamente dall’art. 42 paragrafo 5 GDPR, nel quale si introduce per la prima volta il concetto di “sigillo europeo per la protezione dei dati”. Il provvedimento si snoda secondo numerose aree operative, che ricalcano quanto enunciato, in linea di principio, dal GDPR:

  • Aspetti generali (con particolare riferimento agli aspetti giuridici e contrattuali e ai requisiti di indipendenza e imparzialità);
  • Requisiti strutturali;
  • Requisiti per le risorse umane;
  • Requisiti di processo;
  • Requisiti del sistema di gestione;
  • Ulteriori requisiti aggiuntivi.

Negli allegati si elencano, inoltre, i requisiti per l’accesso ai profili professionali che andranno a comporre l’Organismo di certificazione: Responsabile protezione dati (RPD o DPO), Manager Privacy, Specialista privacy, Valutatore Privacy. Nel seguito una sintesi dei principali requisiti “aggiuntivi” richiesti dal Garante:

  • La capacità di dimostrare il possesso di procedure e misure conformi al Regolamento finalizzate al controllo e alla gestione dei dati personali dallo stesso trattati, con eventuale designazione di un RPD;
  • La redazione di accordi di certificazione che non solo siano pienamente conformi al contenuto della ISO/IEC 17065/2012 ma che impongano al cliente di rispettare i principi di collaborazione, trasparenza e diligenza propri della normativa in tema di certificazione;
  • La capacità di fornire chiara e specifica prova della propria indipendenza, in particolare per quanto riguarda le modalità di finanziamento dell’organismo, ove tale fattore possa incidere sulla sua imparzialità: tale requisito può essere assolto tramite produzione di statuto e atto costitutivo; policies di composizione, nomina, remunerazione e durata del mandato dei componenti dell’odc aventi capacità decisionale in merito alle attività di certificazione; documenti comprovanti i rapporti commerciali, finanziari, contrattuali o di altro genere che intercorrono con i clienti;
  • L’assenza di conflitti di interesse, anch’essa da provare da parte dell’organismo richiedente (per tale requisito il Garante fa espresso riferimento alla Guida EA-2/20 Consultancy, and the Independence of Conformity Assessment Bodies, consultabile al sito https://european-accreditation.org/wp-content/uploads/2020/04/EA-2-20_Consultancy_rev00_April-2020.pdf);
  • L’assenza di collegamenti rilevanti con il cliente che provvede a valutare;
  • L’assenza di procedure concorsuali o fallimentari pendenti e la regolarità contributiva nei confronti degli enti previdenziali e delle Autorità Tributari;
  • Il mantenimento della riservatezza su ogni informazione raccolta o utilizzata nel corso delle attività di valutazione e rilascio della certificazione;
  • La pubblicazione delle informazioni sulle procedure di certificazione e di gestione dei reclami e ricorsi;
  • Il possesso, da parte del personale dell’OdC, di stringenti requisiti di competenza, onorabilità, conoscenza, esperienza, formazione, sia in ambito tecnico che giuridico (con rimando anche ai requisiti di cui al citato Allegato 1)
  • L’accurata descrizione, nella domanda predisposta, dell’oggetto e di eventuali situazioni di contitolarità del trattamento e/o il ricorso a responsabili del trattamento;
  • L’istituzione di metodi di valutazioni vincolanti con riguardo all’oggetto della valutazione, che tengano conto delle competenze tecniche e di quelle giuridiche;
  • L’istituzione di processi di certificazione standardizzati che valutino: la necessità e la proporzionalità del trattamento rispetto al loro scopo e agli interessati, la valutazione dei rischi presi in considerazione dal titolare del trattamento e dal suo responsabile del trattamento, ove presente; la valutazione delle misure di sicurezza adottate in relazione ai summenzionati rischi; il possesso di adeguata documentazione che comprovi quali metodi siano stati utilizzati dal cliente e le relative risultanze;
  • La previsione di adeguate procedure di riesame periodico, monitoraggio e revoca delle certificazioni;
  • La verifica, con il cliente, della pendenza di eventuali procedimenti dinanzi al Garante;
  • La costante disponibilità, nei confronti del proprio personale e del pubblico, di informazioni in merito ai prodotti, ai processi ed ai servizi certificati;
  • L’adeguamento delle procedure di certificazione alle eventuali modifiche normative e l’aggiornamento dei relativi metodi di valutazione;
  • La definizione di adeguate procedure di gestione dei reclami, con specifica definizione dei soggetti che possono presentarli, dei soggetti che si occupano di trattare tali reclami, delle verifiche effettuate, dei diritti garantiti agli interessati, dei relativi termini e comunicazione;
  • La pubblicazione delle certificazioni rilasciate e dei meccanismi e schemi di certificazione adottati, oltre che del quadro di riferimento e delle condizioni cui la certificazione è subordinata;
  • La trasparenza e la verificabilità dell’attuazione dei requisiti di accreditamento da parte dell’OdC, nonché la conformità permanente agli stessi;
  • La formazione del proprio personale;
  • L’istituzione di procedure adeguate per consentire di comunicare in modo semplice con il cliente, sia per richieste di informazione, sia per la comunicazione di eventuali reclami o di decisioni dell’Autorità Garante.

Conclusioni

L’avvenuta definitiva enunciazione dei criteri di accreditamento degli OdC rappresenta una svolta per tutti i titolari del trattamento e per i loro responsabili, in quanto l’ottenimento delle relative certificazioni potrà rappresentare, al pari di quanto già avviene in altri settori, un ulteriore elemento di fiducia sul mercato, specialmente nei settori fortemente caratterizzati dal trattamento dei dati personali dei propri utenti (ad esempio: società operanti nel settore dell’e-commerce).

@RIPRODUZIONE RISERVATA

Articolo 1 di 5