I meccanismi di certificazione ex artt. 42 e 43 del Regolamento UE 679/2016

L’art. 42 del GDPR recita: “Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento. Sono tenute in considerazione le esigenze specifiche delle micro, piccole e medie imprese”.

Non vi è chiarezza su quali siano questi meccanismi di certificazione, ma ciò che si evince dal dettato normativo è il riferimento:

  • a più meccanismi di certificazione lasciando alle organizzazioni, ovvero ai Titolari e ai Responsabili del trattamento, la discrezionalità sulla loro scelta;
  • agli Organismi di certificazione (OdC), così come identificati dall’art. 43 quali soggetti legittimati al rilascio della certificazione in discorso, accreditati in conformità della norma UNI CEI EN ISO/IEC 17065/2012 “Valutazione della conformità – Requisiti per organismi che certificano prodotti, processi e servizi” [v. art. 43 § 1 lett. b)];
  • all’organismo nazionale di accreditamento, Accredia, designato in virtù del regolamento (CE) n. 765/2008 del Parlamento europeo e del Consiglio [v. art. 43/679 § 1 lett. b) e art. 2-septiesdecies/196].

Va da sé che siffatti meccanismi di certificazione devono essere del tutto conformi al GDPR ed alla normativa nazionale di riferimento.
Ciò implica, e non è cosa da poco, che non è sufficiente che gli OdC siano accreditati secondo la ISO 17065. E’ necessario che anche il meccanismo di certificazione implementato sottenda ai principi propri della suddetta norma rispetto ai sistemi di gestione (9001, 14001, 18001, 27001, ecc.) che, facendo riferimento alla UNI CEI EN ISO/IEC 17021 “Requisiti per gli organismi che forniscono audit e certificazione di sistemi di gestione”, si basano su presupposti diversi.

Tenendo quindi fede a quanto sopra sottolineato ricordo, a Titolari e Responsabili del trattamento, l’esistenza di standard volontari che normano, da un punto di vista sistemico, la protezione dei dati personali.
Mi riferisco in particolare agli schemi proprietari ISDP 10003:2018 e DPMS 44001:2016, alle prassi di riferimento UNI/PdR 43.1 e 43.2 emesse nel mese di settembre del 2018 nonché al BS10012.

Lo schema ISDP 10003:2018 è uno schema di certificazione volontario, di cui Inveo Srl è owner, accreditato da Accredia per determinare la conformità al GDPR.
Unico schema italiano ad essere vagliato e promosso, dalla Commissione europea, ISDP 10003:

  • ha una struttura HLS il che consente una facile integrazione, per esempio, con la ISO 27001;
  • copre tutti gli aspetti delle conformità GDPR in un unico schema;
  • è semplice ed estremamente accessibile anche per le PMI …

… e ancora:

  • consente l’acquisizione di un punteggio più alto nella partecipazione ai bandi di gara;
  • trova credito, apprezzamento e applicazione anche negli altri paesi UE;
  • ha una validità internazionale oltre che europea.

Il DPMS 44001:2016 è, nel rispetto del dettato di cui ai §§ 1 e 2 dell’art. 40 del Regolamento Ue, il codice di condotta elaborato da FEDERMANAGER Roma e UNIQUALITY (Stakeholders) con il coinvolgimento del CODACONS.
Il codice di condotta DPMS 44001:2016 è stato presentato via PEC il 2016-07-07 ed è stato depositato al Garante per la Protezione Dati Personali, cui è stato assegnato il Fascicolo n. 109762.

Le PdR 43.1 e 43. 2 hanno una valenza squisitamente nazionale; sono linee guida UNI per la gestione dei dati personali in ambito ICT secondo il regolamento UE 679/2016 (GDPR) che fanno riferimento:

  • alla Gestione e monitoraggio dei dati personali in ambito ICT
  • ai Requisiti per la protezione e valutazione di conformità dei dati personali in ambito ICT.

Debitamente allineate al Regolamento queste prassi di riferimento forniscono strumenti utili per conformarsi alla normativa. Ciò premesso, tuttavia, si ricorda che un’eventuale certificazione basata su di esse è invalida e non conforme al GDPR venendo meno il soddisfacimento del requisito ex art. 43, § 1, lett. b).

La norma BS10012, infine, è il Sistema di gestione delle informazioni personali che, emessa dal BSI nel 2009, è stata revisionata nel 2017 appositamente per adeguarsi al GDPR.
Essa fornisce una molteplicità di input di adeguamento al Regolamento. Si ricordi tuttavia che in questo caso si parla di una norma di certificazione riferita ai sistemi di gestione conformemente alla ISO 17021 e non ai prodotti, processi e servizi di cui alla ISO 17065 il che determinerebbe, ancora una volta, una non conformità al GDPR.

Da quanto sopra è di tutta evidenza il differenziale competitivo rappresentato dallo schema ISDP 10003 la cui applicazione fornisce anche ragionevoli garanzie circa il soddisfacimento dei requisiti  del Regolamento UE 679/2016.

Marcello Colaianni
Certified DPO e DP Auditor UNI 11697

Certified DP Auditor ISDP 10003:2018 Scheme