Il mondo delle certificazioni ai sensi del Gdpr alla luce delle Faq del Garante Privacy e di Accredia
Certificazioni: un angolo del Regolamento UE 2016/679 (d'ora in poi anche solo 'Gdpr') rimasto un po' in penombra, defilato (per quanto si tratti di una significativa novità della nuova disciplina sulla protezione dei dati) su cui il Garante ha sentito il bisogno, mediante le Faq redatte in collaborazione con Accredia e pubblicate pochi giorni or sono (cui si riferiranno i virgolettati, ove non diversamente specificato), di comunicare alcuni concetti basilari sia ai cittadini che agli addetti ai lavori.
Anzitutto (si premette qui) 'accreditamento&certificazione' è binomio indissolubile: se un organismo di certificazione non fosse accreditato, non potrebbe certificare alcunché. E l'accreditamento (quale “forma indipendente e autorevole di attestazione dell’imparzialità, competenza e adeguatezza degli organismi di valutazione della conformità”, Faq. n. 2) da solo non avrebbe senso, perché la sua funzione è, appunto, fornire garanzia al mercato della rispondenza degli organismi di certificazione ai requisiti richiesti. Si tratta della creazione di un vero e proprio sistema di fiducia, di una certificazione “accreditata” nella misura in cui – si spiega nella Faq n. 1 - viene data dimostrazione, da parte dell’ente unico nazionale di accreditamento, “dell’imparzialità, competenza e adeguatezza” di un organismo di certificazione.
Nell'ordinamento giuridico italiano con l'art. art. 2-septiesdecies del D. Lgs. 196/2003 (come modificato dal D. Lgs. 101/2018) si è stabilito che “l’organismo nazionale di accreditamento di cui all’articolo 43, paragrafo 1, lettera b), del Regolamento è l’Ente unico nazionale di accreditamento, istituito ai sensi del Regolamento (CE) n. 765/2008, del Parlamento europeo e del Consiglio, del 9 luglio 2008, fatto salvo il potere del Garante di assumere direttamente, con deliberazione pubblicata nella Gazzetta Ufficiale della Repubblica italiana e in caso di grave inadempimento dei suoi compiti da parte dell’Ente unico nazionale di accreditamento, l’esercizio di tali funzioni, anche con riferimento a una o più categorie di trattamenti”. Si è adottata una scelta di continuità rispetto al passato, pur a fronte della possibilità – concessa dall'art. 43.1 Gdpr - che gli organismi di certificazione fossero accreditati “da uno o entrambi dei seguenti organismi”: dall'autorità di controllo e/o dall'organismo nazionale di accreditamento. L'Italia ha scelto Accredia quale ente unico di accreditamento (Faq. n. 5, salvo il ricorrere di una situazione di tipo eccezionale, come visto).
Dunque, l'autorità di controllo italiana non accredita gli organismi di certificazione (come il Garante specifica nell'introduzione al documento) ma, a ben vedere (e anche questo è specificato dal Garante, Faq n. 8), neppure le compete (anche se sarebbe consentito dall'art. 42.5 Gdpr) il potere di certificazione ovvero di svolgere la funzione di organismo di certificazione.
Se, in generale, la certificazione è una attestazione rilasciata da una parte terza (organismo di certificazione) relativa a un oggetto (prodotto, processo, servizio, persona o sistema) sottoposto a valutazione della conformità rispetto a requisiti contenuti in una norma tecnica (standard) o in un disciplinare specifico, ebbene l'oggetto della certificazione ex art. 42 Gdpr è un trattamento o più trattamenti di dati personali (Faq n. 6). Come spiega il Garante, atteso che la definizione di “trattamento” di dati personali è molto ampia, “anche l’oggetto della certificazione può variare in misura considerevole e può comprendere una sola operazione di trattamento (es. la conservazione di dati personali) ovvero più operazioni di trattamento (es. raccolta, conservazione, messa a disposizione) svolte dal titolare o dal responsabile del trattamento”. E, nella misura in cui uno o più trattamenti configurano un “servizio” o un “prodotto”, “la certificazione può avere come oggetto tale servizio o prodotto (es. il servizio di gestione del personale di un’azienda)”.
Quel che è certo è che la certificazione in ambito Gdpr non riguarda/copre un sistema di gestione: la scelta è incontrovertibile, giusta la previsione dell'art. 43.1, lett. b), che richiama la norma ISO 17065:2012. Non devesi dunque fare confusione con gli standard con cui si certificano i sistemi gestione (come l'ISO 27001, che si basa sulla norma ISO 17021-1), così come sono tutt'altra cosa quelli per la certificazione del personale (come l'UNI 11697/2017, richiamato nella Faq n. 12, che si basa sulla norma ISO 17024), parimenti non rientrando tra le certificazioni disciplinate dall’art. 42 Gdpr. Il Garante puntualizza che la certificazione ai sensi dello standard UNI 11697/2017 “può rappresentare comunque, al pari di altri titoli, un valido strumento ai fini della dimostrazione del possesso, e del mantenimento, delle conoscenze, abilità e competenze da parte dei professionisti”.
L'impresa/ente che sceglie di certificarsi deve definire l’oggetto specifico della certificazione che vorrà richiedere: il Garante rammenta che la relativa indicazione verrà riportata nel certificato rilasciato dall'organismo di certificazione (Faq n. 6), dovrà esservi indicata con chiarezza ed è (si aggiunge qui) interesse precipuo del richiedente che l'indicazione sia coerente con la decisione strategica (è il caso di dirlo) assunta.
Quanto ai vantaggi di una certificazione (Faq n. 4), essa “rappresenta uno strumento utile per i titolari e i responsabili del trattamento a dimostrare il rispetto degli obblighi, le garanzie sufficienti e la conformità ai requisiti di protezione dei dati”. Trattandosi di obblighi e requisiti stabiliti dalla legge, la certificazione procura all'organizzazione una infrastruttura immateriale, disegnata dallo schema, che rende effettivamente cogente e operativo quell'insieme poderoso di adempimenti/misure di sicurezza la cui obbligatorietà di legge, non di rado nella prassi, si è mostrata non abbastanza 'convincente'. L'approccio fondamentale è una costante analisi e valutazione dei rischi, l'architrave è la responsabilità (accountability) del titolare (o del responsabile), il fine è tutelare i diritti e le libertà delle persone fisiche, la filosofia è quella del miglioramento continuo. Con ciò la 'certificazione Gdpr' potrà risultare di particolare interesse per quelle organizzazioni che desiderino concretizzare e dimostrare la propria compliance per consolidare/sviluppare le proprie attività e/o accrescere trasparenza e reputazione/fiducia, come ad esempio: imprese operanti nei settori del marketing, dell'ICT, dei servizi socio-sanitari, fornitori di servizi stabiliti in Paesi terzi, non pochi enti ed organismi pubblici.
Ribadito con la Faq. n. 5 che la certificazione ai sensi del Gdpr deve essere rilasciata in base a schemi di certificazione approvati dall’autorità di controllo competente, ad oggi esistono due schemi specifici (cioè allineati/basati sul Gdpr), lo schema ISDP 10003 ed Europrise (il primo italiano, il secondo tedesco), che ancora attendono di essere approvati dalle rispettive autorità di controllo. Che cosa significa questo? Che nel frattempo le certificazioni rilasciate dispiegheranno una piena validità nel sistema della normativa tecnica e volontaria, non in quello della normativa di legge. Tuttavia, ciò non significa che in questo secondo sistema non avranno alcun valore o significato, non sarebbe ragionevole né equo, essendo/risultando (a maggior ragione, vogliam dire) evidenze della sollecitudine, della accountability delle organizzazioni certificate. Ed un'impresa certificata, salvi tutti i vantaggi intrinseci alla certificazione, potrà comunque invocare (onde vedere attenuata una eventuale sanzione amministrativa) la disposizione dell'art. 83.2, lett. k) (o lett. d), se si considera la certificazione come una macro-misura di sicurezza ex art. 32), anche se non dell'art. 83.2, lett. j).
Uno schema di certificazione “sviluppato per essere utilizzato in tutti gli Stati membri dell’Unione europea” è quello che si dice “sigillo europeo” (Faq n. 7): a tal fine “viene preso in considerazione l'ambito di applicazione dei criteri dello schema di certificazione e, più in generale, l’idoneità dello stesso a fungere da certificazione comune europea”. La ulteriore precisazione per cui “lo schema e i relativi criteri devono essere adattabili così da tenere conto, se del caso, delle diverse regolamentazioni settoriali nazionali, applicabili ai trattamenti di dati oggetto della certificazione” può suonare ridondante: le norme tecniche sono progettate e redatte per rispondere a criteri di astrattezza e generalità (spesso carenti, piuttosto, nelle legislazioni pubbliche/statuali), così da rendersi strutturalmente adattabili ai contesti più disparati, perché questa è (da sempre) la loro missione.
Con la Faq n. 11 il Garante spiega come una certificazione sia soggetta ad inciampi, anche ben prima della sua scadenza (art. 42.7 Gdpr). E così, qualora siano rilevate delle non conformità rispetto ai requisiti di certificazione, come risultato della sorveglianza (annuale) o per un qualsiasi altro motivo, l’organismo di certificazione dovrà esaminare la non conformità e decidere le azioni appropriate, che possono consistere nel mantenimento della certificazione a precise condizioni, nella sospensione della certificazione in attesa di azioni correttive, nella riduzione del campo di applicazione della certificazione o nella sua revoca. Quest'ultima è disposta dall'organismo che l’ha rilasciata “qualora non siano o non siano più soddisfatti i requisiti per la certificazione”, potere tuttavia non precluso all'autorità di controllo, giusta la previsione dell'art. 58.2, lett. h), Gdpr.
