Lo scorso 14 luglio 2021, il Garante per la protezione dei dati personali (c.d. Garante Privacy) e Accredia – l’ente unico nazionale di accreditamento degli organismi di certificazione (OdC) – hanno pubblicato le FAQ relative alle attività di certificazione e accreditamento previste dal GDPR in materia di trattamento dei dati (artt. 42 e 43).
Il GDPR stabilisce e favorisce l’istituzione di meccanismi di certificazione della protezione dei dati personali al fine di dimostrare la conformità dei trattamenti effettuati dai titolari e dai responsabili del trattamento.
Dunque, per tali categorie soggettive la certificazione costituisce senza dubbio uno strumento valido e utile attestante il rispetto degli obblighi, le garanzie sufficienti e la compliance ai requisiti di protezione dei dati.
Nel documento contenente le FAQ, i titolari o i responsabili del trattamento dei dati, tanto del settore privato quanto di quello pubblico, potranno trovare risposta ad alcune domande generali inerenti alla certificazione della conformità del trattamento dei dati: definizione, oggetto, soggetti emittenti e richiedenti, conseguenze.
Dal punto di vista definitorio, per “certificazione” si intende un’attestazione rilasciata da una terza parte (OdC) relativa ad un oggetto (prodotto, processo, servizio, persona o sistema) sottoposto alla valutazione della conformità rispetto a determinati requisiti, contenuti in una norma tecnica (standard) o in un disciplinare specifico.
La certificazione può essere “accreditata”: ciò significa che l’ente unico nazionale di accreditamento – in Italia, Accredia – riconosce e attesta gli elementi di terzietà, competenza, imparzialità e adeguatezza in capo all’OdC emittente la certificazione medesima.
Per l’economia del nostro discorso ma soprattutto per gli operatori del settore, il punto più importante concerne l’oggetto della certificazione. Essa, infatti, riguarda un trattamento di dati personali e non anche i prodotti in quanto tali, né tantomeno le figure professionali (ad esempio, i consulenti).
Dal momento che la definizione di “trattamento” di dati personali è molto estesa, pure l’oggetto della certificazione può variare considerevolmente e può comprendere un’unica operazione di trattamento (ad esempio, la conservazione di dati personali) oppure molteplici operazioni di trattamento (ad esempio, la raccolta, la conservazione, la messa a disposizione) eseguite dal titolare o dal responsabile del trattamento.
Se uno o più trattamenti configurano un “servizio” o un “prodotto”, la certificazione può avere come oggetto quel servizio o quel prodotto (ad esempio, il servizio di gestione del personale di un’azienda).
Ma quello che qui ci preme sottolineare – e che può dare avvio a futuro dibattito – è l’area degli oggetti esclusi dalla certificazione. In questo senso, è utile immaginare un caso pratico, ponendo una domanda diretta: è possibile certificare un software per la gestione dei dati dei dipendenti, indipendentemente dal suo reale impiego? La risposta è negativa, stante il fatto che una certificazione ex GDPR non può riguardare un singolo prodotto, in sé e per sé, bensì in quanto parte integrante di un trattamento di dati personali eseguito da un titolare o da un responsabile. Ritornando quindi al caso concreto, oggetto della certificazione non potrà che essere il trattamento dei dati dei dipendenti svolto dal datore di lavoro in qualità di titolare mediante il suddetto software, il quale perciò diviene oggetto della certificazione.
In altri termini, il Garante puntualizza che non è possibile certificare un prodotto slegandolo dall’uso concreto che se ne fa.
Un ulteriore aspetto meritevole di chiarimento è quello inerente ai soggetti legittimati al rilascio delle certificazioni conformi al GDPR.
Da un lato, vi sono gli OdC, che possono rilasciare le certificazioni della protezione dati solo dopo aver ottenuto da Accredia l’accreditamento, secondo i requisiti stabiliti dal Garante Privacy; dall’altro, vi sono le Autorità di controllo competenti. Bisogna però precisare che, nonostante la previsione del GDPR, il nostro Garante Privacy attualmente non rilascia certificazioni.
Altro chiarimento riguarda il fatto che non tutte le tipologie di certificazioni in ambito privacy e tutela dei dati personali sono da considerarsi tra le certificazioni di conformità previste dal GDPR.
Esempio è fornito dalle certificazioni relative alle persone del consulente o del DPO (ossia il responsabile della protezione dei dati). Sebbene queste certificazioni siano presenti sul mercato e attestino determinate competenze individuali, sono rilasciate secondo schemi elaborati da singoli enti oppure in base ad una norma tecnica adottata dall’UNI (Ente Italiano di Normazione) e non sono contemplate dal GDPR.
Una volta visti i soggetti emittenti, è tempo di passare a prendere in esame i soggetti richiedenti la certificazione di conformità. Questi, invero, possono essere enti o aziende oppure altri soggetti a vario titolo interessati, che operino in qualità di titolare e/o responsabile del trattamento di dati personali. La richiesta di una certificazione da parte di tali soggetti mira a dimostrare la conformità, totale o parziale, dei trattamenti al GDPR nel suo complesso oppure solo ad alcune sue disposizioni o principi.
Invero, i titolari e/o responsabili del trattamento hanno facoltà di aderire a meccanismi di certificazione allo scopo di dimostrare di aver improntato la propria attività ai principi del GDPR, e tale adesione può rappresentare un valido elemento di responsabilizzazione (c.d. accountability).
L’organizzazione o la persona in possesso della certificazione dimostra al mercato essere in grado di: a) strutturarsi e gestire le proprie risorse e processi produttivi, così da riconoscere e soddisfare i bisogni della clientela; b) ottenere e mantenere la conformità dei prodotti realizzati o dei servizi erogati; c) possedere e conservare abilità, conoscenze e competenze richieste per lo svolgimento di certe attività professionali.
Tale certificazione è uno strumento primario alla base dei processi di costruzione della qualità e motiva il professionista ad acquisire, conservare e implementare, nel tempo e con continuità, le competenze professionali.
In aggiunta, la certificazione accreditata consente di: a) esibire sul mercato un’attestazione autorevole, di terza parte, accettata a livello internazionale; b) soddisfare i requisiti di bandi di gara predisposti dalle stazioni appaltanti pubbliche e private; c) svolgere specifiche attività in settori cogenti e regolamentati gestiti dalla PA tramite autorizzazioni, abilitazioni e notifiche.
Un ultimo aspetto analizzato in questa sede sono le conseguenze che la certificazione subisce qualora non risulti conforme in base a determinati requisiti.
Nel caso in cui venga rilevata una non conformità (NC) come risultato della sorveglianza o per un qualsiasi altro motivo, l’OdC è tenuto ad esaminare la NC e ha davanti a sé tre alternative: mantenere, sospendere o revocare la certificazione di conformità privacy.
Secondo la prima ipotesi, l’OdC può decidere di conservare la certificazione sotto determinate condizioni: a) valutare il rischio della NC; b) effettuare azioni appropriate immediate per contenerne gli effetti; c) analizzare la causa; d) pianificare e applicare azioni definite.
Diversamente l’OdC può procedere con la sospensione della certificazione in attesa di azioni correttive da parte dell’organizzazione certificata.
Infine, l’OdC può revocare la certificazione o ridurne il campo di applicazione, quando l’organizzazione certificata non ottemperi alla pianificazione delle azioni necessarie a ripristinare la conformità dei trattamenti o non sussistano più le conformità dei trattamenti di dati personali ai criteri dello schema di certificazione dei trattamenti stessi e questi siano in essere e non siano previste le azioni necessarie e immediate conseguenti. La certificazione è perciò revocata, eventualmente, dallo stesso OdC che l’ha rilasciata, qualora non siano o non siano più soddisfatti i requisiti per la certificazione.
Tuttavia, pure il Garante Privacy ha il potere di ingiungere ad un OdC di revocare o non rilasciare una determinata certificazione, nel caso in cui non siano o non siano più soddisfatti i relativi requisiti.
