Le FAQ del Garante per la Protezione dei Dati Personali sulle certificazioni previste dal GDPR

---

Il Garante per la Protezione dei Dati Personali ha pubblicato le FAQ in tema di GDPR, certificazioni e cyber security.

---

Nel mese di luglio abbiamo pubblicato un white paper che approfondisce il tema delle certificazioni previste dal GDPR in relazione alla cyber security.

Con questo documento, a cura degli esperti privacy e data protection del Settore Privato del Comitato Scientifico di ASSO DPO, abbiamo ritenuto necessario un approfondimento per coloro che svolgono l’attività di Responsabili della protezione dei dati proprio per la stretta collaborazione tra essi e tutti coloro che, per via dei rispettivi ruoli e responsabilità, sono chiamati a predisporre le misure di sicurezza informatica quali, per esempio, gli addetti alla funzione IT dei vari enti interessati o per perché Titolari del trattamento o perché Responsabili del trattamento.

Tale conoscenza consentirà una stretta ed efficace collaborazione tra i suddetti soggetti, l’uno avendo una visione del lavoro dell’altro e viceversa. Come non dovrebbero esserci più dubbi a che i compiti e i doveri assegnati al RPD, per le loro articolazioni e complessità, siano da demandare ad una funzione dell’ente appositamente costituita dove il DPO non sarà l’unico professionista presente, così non dovrebbero esserci altrettanti incertezze sulle conoscenze trasversali interdisciplinari che il Responsabile della protezione dei dati deve possedere appunto per poter (almeno) dialogare con gli altri responsabili avendo ben presente gli argomenti, le difficoltà e le caratteristiche delle attività di ognuno laddove tutte queste attività si riverberano sul sistema organizzativo adottato, che avrà bisogno di una costante azione di miglioramento che non potrà che essere il prodotto delle sinergiche attività di tutte le parti in causa. 

Le FAQ del Garante PDP

Si ritiene utile, viste le FAQ pubblicate sul sito del Garante per la protezione dei dati personali proprio nello stesso giorno della pubblicazione del nostro white paper (a dimostrazione della sensibilità dell’Associazione all’attualità dei temi che via via sono scelti per porli all’attenzione dei Soci e di tutti coloro che navigano nel stesso sito web di ASSODPO), fare una sintesi che valga come approfondimento dell’argomento e che può valere come appendice di aggiornamento al white paper stesso.

Da sottolineare subito che il Garante ricorda che l’art. 42, paragrafo 1, del GDPR prevede che ogni organismo che intenda rilasciare le certificazioni siano stati preventivamente accreditati o dall’Autorità di controllo o dall’Organismo nazionale di accreditamento o da entrambi (per ora in Italia è solo Accredia e non il Garante a rilasciare gli accreditamenti). 

Saranno applicati i requisiti aggiuntivi da parte dell’Autorità quando l’accreditamento venga accordato dal suddetto Organismo nazionale (che per l’Italia è Accredia) in conformità della norma volontaria ISO/IEC 17065/2012. A tal fine il Garante pdp, nel mese di luglio 2020, ha pubblicato il suo provvedimento con l’allegato contenente i requisiti “aggiuntivi” con riguardo alla suddetta ISO da rispettare, per prima Accredia e poi gli Organismi di certificazione, per accreditare, per essere accreditati e per mantenere l’accreditamento. 

Cosa evidenziano le FAQ

Intanto cosa si intende per certificazione. Cioè una attestazione rilasciata da una parte terza rispetto al soggetto certificato relativa ad un prodotto, processo, servizio o sistema sottoposto a valutazione della conformità rispetto a requisiti contenuti in una norma tecnica (standard) o in un disciplinare specifico. 

Il termine norma non deve trarre in inganno: non si tratta qui delle norme cogenti imposte dagli Organi statuali (Governo e Parlamento) ma delle cosiddette norme volontarie di autoregolamentazione. È infatti il soggetto stesso che, desiderando certificarsi, sceglie volontariamente di sottoporsi e rispettare i disciplinari standard internazionali laddove siano per l’appunto classificati ISO (International Organization for Standardization. Composto da varie organizzazioni di diversi Paesi, fondato nel 1947, è un ente che ha la finalità di sviluppare e pubblicare standard internazionali tecnici, industriali e commerciali). 

L’accreditamento significa attestare che l’organo di certificazione possiede: terzietà, competenza, imparzialità e adeguatezza. L’attività di accreditamento è regolata dal Regolamento (CE) n. 765/2008 per l’Unione Europea e dalla ISO/IEC 17011 a livello internazionale.

Perché sostenere gli oneri della certificazione

Perché l’ente che si certifica potrà dimostrare a tutti i suoi stakeholder, interni ed esterni: 

a) la capacità di strutturarsi e gestire le proprie risorse e i propri processi produttivi in modo tale da riconoscere e soddisfare i bisogni dei clienti, inclusi quelli relativi al rispetto dei requisiti cogenti, nonché l’impegno a migliorare continuativamente tale capacità (certificazione di sistemi di gestione)

b) la capacità di ottenere e mantenere la conformità dei prodotti realizzati o dei servizi erogati. A tal fine, il marchio della conformità può essere apposto sulla confezione del prodotto o altri supporti afferenti al servizio oggetto della certificazione (certificazione di prodotto, processo o servizio). Ma non solo. l’ente potrà esibire sul mercato un’attestazione autorevole, di terza parte, accettata a livello internazionale in virtù degli Accordi di mutuo riconoscimento; soddisfare i requisiti di bandi di gara predisposti dalle stazioni appaltanti pubbliche e private; svolgere specifiche attività in settori cogenti e regolamentati gestiti dalla PA attraverso autorizzazioni, abilitazioni e notifiche.

Il Regolamento Generale per la Protezione dei Dati Personali (GDPR) prevede, disciplina e incoraggia gli accreditamenti di organismi di certificazione e procedure di certificazione della protezione dei dati personali allo scopo di dimostrare la conformità al GDPR, dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento. 

I soggetti di regola coinvolti nel processo di certificazione sono: 

i) l’ente che intende essere certificato

ii) l’organismo di certificazione accreditato che rilascia i certificati dopo aver svolto le sue verifiche vigilando nel tempo per il mantenimento delle certificazioni

iii) Accredia che accredita gli enti di certificazione e controlla, a sua volta, il mantenimento dei loro requisiti (imparzialità, competenza e adeguatezza).

Oggetto della certificazione

In base a quanto previsto dal Regolamento Generale per la Protezione dei Dati Personali e dalle linee-guida 1/2018 dell’European Data Protection Board l’oggetto della certificazione è un trattamento di dati personali. 

Oggetto che sarà poi indicato in maniera chiara nel certificato se rilasciato. Poiché la definizione di “trattamento” di dati personali è molto ampia, anche l’oggetto della certificazione può variare in misura considerevole e può comprendere una sola operazione di trattamento (es. la conservazione di dati personali) ovvero più operazioni di trattamento (es. raccolta, conservazione, messa a disposizione) svolte dal titolare o dal responsabile del trattamento. Come esempio di un servizio di trattamento il Garante indica quello di gestione del personale dipendente. 

Molto importante è la precisazione che le FAQ evidenziano circa il fatto che la certificazione ai sensi del GDPR non può, tuttavia, riguardare un singolo prodotto in quanto tale (es. un software per la gestione dei dati dei dipendenti, a prescindere dal suo utilizzo concreto) bensì in quanto parte integrante di un trattamento di dati personali svolto da un titolare o responsabile (es. il trattamento dei dati dei dipendenti svolto dal datore di lavoro in quanto titolare attraverso il suddetto software, che quindi diviene oggetto della certificazione).

Sigillo europeo per la protezione dei dati

Sarà utilizzato in tutti gli Stati membri dell’Unione europea. A tal fine, viene preso in considerazione l'ambito di applicazione dei criteri dello schema di certificazione e, più in generale, l’idoneità dello stesso a fungere da certificazione comune europea. In particolare, lo schema e i relativi criteri devono essere adattabili così da tenere conto, se del caso, delle diverse regolamentazioni settoriali nazionali, applicabili ai trattamenti di dati oggetto della certificazione.

Cosa accade in caso di non conformità

L’organismo di certificazione deve esaminare la non conformità (NC) e decidere le azioni appropriate, che possono consistere nel: 

i) mantenimento della certificazione sotto condizioni specificate dall’OdC, in primo luogo: la valutazione del rischio relativo alla NC, le azioni appropriate immediate per il contenimento degli effetti, l’analisi della causa radice e la pianificazione e applicazione delle azioni definite. L’OdC può anche prevedere provvedimenti aggiuntivi (per esempio la sorveglianza incrementata)

ii) sospensione della certificazione in attesa di azioni correttive da parte dell’organizzazione certificata

iii) revoca della certificazione o riduzione del campo di applicazione della certificazione, quando l’organizzazione certificata non ottemperi alla pianificazione delle azioni necessarie a ripristinare la conformità dei trattamenti o non sussistano più le conformità dei trattamenti di dati personali ai criteri dello schema di certificazione dei trattamenti stessi e questi siano in essere e non siano previste le azioni necessarie e immediate conseguenti. La certificazione è quindi revocata, se del caso, dallo stesso OdC che l’ha rilasciata, qualora non siano o non siano più soddisfatti i requisiti per la certificazione. Anche il GPDP ha il potere di ingiungere a un OdC di revocare o non rilasciare una determinata certificazione, qualora non siano o non siano più soddisfatti i relativi requisiti.

Per ultima, ma non ultima per importanza, il Garante si sofferma anche sulla norma UNI 11697:2017 “Attività professionali non regolamentate - Profili professionali relativi al trattamento e alla protezione dei dati personali - Requisiti di conoscenza, abilità e competenza” e la Prassi di riferimento UNI/PdR 66:2019 “Raccomandazioni per la valutazione di conformità ai requisiti definiti dalla UNI 11697:2017" "Attività professionali non regolamentate - Profili professionali relativi al trattamento e alla protezione dei dati personali - Requisiti di conoscenza, abilità e competenza") che definiscono, rispettivamente, i requisiti di competenza e le regole per la valutazione della conformità di alcune figure professionali quali il Responsabile della protezione dei dati, il Manager Privacy, lo Specialista Privacy e il Valutatore Privacy.

La specificazione che ne fa l’Autorità di controllo (pur sottolineando, naturalmente, che essendo una certificazione relativa alle persone non rientra tra quelle disciplinate dall’art. 42 del GDPR) rappresenta un formale riconoscimento di questa certificazione offrendone formalmente i motivi e cioè che può rappresentare comunque, al pari di altri titoli, un valido strumento ai fini della dimostrazione del possesso, e del mantenimento, delle conoscenze, abilità e competenze da parte dei professionisti.

Non meno importante (come era stato già evidenziato nel white paper), il possesso della UNI 11697:2017 da parte di alcune figure che svolgono un ruolo importante negli organismi di certificazione (il personale responsabile delle decisioni e il personale responsabile delle valutazioni), afferma il Garante, è un elemento idoneo a dimostrare i requisiti di competenza ed esperienza in materia.

FAQ, White Paper e GDPR

Dopo questa veloce carrellata e alla luce proprio di come e quanto il Garante pdp ha voluto evidenziare circa il ruolo importante che le certificazioni hanno avuto sia nella loro formalizzazione in alcuni articoli del GDPR e sia, come conseguenza, avranno con la loro prossima (e ci si augura al più presto) operatività sul campo, pare opportuno riprendere alcune riflessioni riportate nel white paper che ben si armonizzano con le stesse recenti FAQ:

• l’art. 32 del GDPR (che può essere inteso come un articolo programmatico sulla sicurezza  anche se nel 1° paragrafo indica alcuni precisi elementi da tenere in debita con siderazione per l’attuazione delle misure organizzative e tecniche adeguate per garantire un livello di sicurezza adeguato al rischio), al paragrafo 3, evidenzia come l’adesione ad un meccanismo di certificazione approvato di cui all’art. 42“può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1”;
• l’art. 24 del GDPR, al paragrafo 3, afferma che l’adesione ad un meccanismo di certificazione di cui all’art. 42 può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento;
• l’art. 25 del GDPR – protezione dei dati fin dalla progettazione e per impostazione definitiva – al paragrafo 3 si attesta che un meccanismo di certificazione di cui all’art. 42 che può essere utilizzato come elemento per dimostrare la conformità ai requisiti indicati nello stesso articolo 25;
• l’art. 28, paragrafo 5, del GDPR, prevede la possibilità della adesione ad un meccanismo di certificazione per il Responsabile del trattamento affinché lo stesso possa dimostrare le garanzie sufficienti di cui al medesimo articolo 28, anche quando ricorra ad un altro responsabile del trattamento (il sub responsabile);

• l’art. 83, paragrafo 2, lettera j), sempre del GDPR prevede che l’Autorità di controllo, nel momento di decidere     se infliggere una sanzione amministrativa pecuniaria e di stabilirne l’ammontare si, tenga in debito conto l’adesione (o meno) ai meccanismi di certificazione.

Infine, per dare ulteriore concretezza ed effettiva operatività a questo apprezzabile sistema di autoregolamentazione volontaria previsto in maniera lungimirante dallo stesso GDPR si considera necessario che:

1. siano sempre chiare le “regole di ingaggio”, in maniera che nessun soggetto privato (si intendono sia quello di accreditamento sia quelli di certificazione posti tra l’Autorità di controllo e il soggetto certificando) coinvolto nel processo certificativo possa permettersi, per ricavarsi spazi nel mercato, di pubblicizzare la “sua” certificazione come elemento di attestazione della conformità legale alle norme europee e nazionali;
2. nessun soggetto offra le “sue” certificazioni “a prova” di ispezioni dell’Autorità di controllo nel senso che, una volta certificati, si faccia credere all’ente certificato (meglio, certificando) di possedere una sorta di immunità a prescindere dalle sanzioni del Garante;
3. le certificazioni non siano intese – da Titolari e dai Responsabili del trattamento – come un mezzo per essere deresponsabilizzati trasferendo le loro responsabilità agli stessi organismi di certificazione;
4. i costi delle certificazioni siano tali da non scoraggiare (nel raffronto tra costi e benefici) le micro e le piccole imprese nel valutare la convenienza e nel programmare il percorso che le porterà alla certificazione. Altrimenti, anche questa opportunità offerta dallo stesso GDPR sarà appannaggio solo degli enti ben strutturati sia organizzativamente e, soprattutto, finanziariamente;
5. sia ricordato costantemente che la valutazione delle misure organizzative e tecniche saranno (resteranno) in ogni caso demandate all’Autorità Garante che si esprimerà attraverso i poteri e le sanzioni di cui, rispettivamente all’art. 58 e 83 del GDPR;
6. venga sottolineato che i soggetti che potranno (probabilmente dovranno, per posizionarsi adeguatamente nel mercato ed essere scelti come controparte nei contratti con i Titolari del trattamento ex art. 28 del GDPR) avere i maggiori benefici dalle certificazioni, saranno i Responsabili del trattamento nel loro ruolo di fornitori. A tal fine si cita il Considerando 78 del GDPR “…In fase di sviluppo, progettazione, selezione e utilizzo di applicazioni, servizi e prodotti basati sul trattamento di dati personali o che trattano dati personali per svolgere le loro funzioni, i produttori dei prodotti, dei servizi e delle applicazioni dovrebbero essere incoraggiati a tenere conto del diritto alla protezione dei dati allorché sviluppano e progettano tali prodotti, servizi e applicazioni e, tenuto debito conto dello stato dell’arte, a far sì che i titolari del trattamento e i responsabili del trattamento possano adempiere ai loro obblighi di protezione dei dati…”.
7. sia approfondita la questione delle rispettive responsabilità, cioè in quale misura gli Organismi di certificazione potranno o meno essere chiamati in causa in occasione di una sanzione inflitta dal Garante laddove il Titolare o il Responsabile  del trattamento ritenessero che le violazioni riscontrate siano da addebitare allo stesso Organismo certificatore (ciò tenendo anche conto di quanto  stabilito dall’art. 43, paragrafo 4 del GDPR, sulla responsabilità degli Organismi di certificazione circa la corretta valutazione dei requisiti ed elementi che comportano la certificazione che, è bene ricordarlo, può e deve essere revocata o sospesa in assenza e/o perdita dei componenti presenti al momento della certificazione stessa). A tal riguardo si sottolinea che nell’art. 35 del GDPR – la valutazione d’impatto – al paragrafo 8 sono citati i codici di condotta come elemento da tenere in positiva considerazione a favore dei Titolari e Responsabili del trattamento ma nulla si dice delle certificazioni. È solo una dimenticanza del legislatore oppure è proprio una esclusione voluta delle certificazioni dal complesso delle misure organizzative e tecniche che sono prese in considerazione nel processo della DPIA? Non sembra cosa di poco conto nella convinzione che le certificazioni, assieme ai codici di condotta, possono rappresentare un validissimo supporto a Titolari e Responsabili nell’intero loro processo di adeguamento alla normativa;
8. siano resi chiari agli amministratori responsabili degli enti gli effettivi vantaggi delle certificazioni e l’esatto significato della parola conformità rispetto all’osservanza delle norme europee e nazionali. Ciò per non diffondere e far nascere dubbi sulle responsabilità che sono e saranno sempre in capo ai Titolari del trattamento e, per la loro parte, ai Responsabili del trattamento per quest’ultimi secondo i contenuti degli atti negoziali redatti ai sensi dell’art. 28 del GDPR;
9. sia evidenziato che le certificazioni contengono una presunzione di conformità alle norme obbligatorie, possono garantire i trasferimenti verso Stati extra UE/SEE; rappresentano, in sostanza, una prova concreta di quanto e in che maniera il Titolare e il Responsabile del trattamento abbiano inteso curare la protezione dei dati personali in occasione dei trattamenti da essi decisi o effettuati per conto nel caso dei Responsabili. È, quindi, un anticipo della rendicontazione delle proprie attività che può essere rivolta verso sé stessi (autovalutazione) o verso gli interessati (in caso di richieste di soddisfacimento dei loro diritti) oppure verso l’Autorità di controllo (in occasione di richieste o di ispezioni);
10. gli step imposti dalle varie fasi degli schemi di certificazione costituiscono senza dubbio per il Titolare e per il Responsabile del trattamento (anche per i loro consulenti) una concreta guida alla valutazione del rischio derivante     dal trattamento dei dati personali. Valutazione dei rischi che sta alla base dell’accountability (il principio del risk based approach);
11. in relazione ai trasferimenti in Paesi extra UE/SEE sia ricordato le certificazioni ISO/IEC (quindi approvate da organismi internazionali) possono costituire una clausola vincolante nei contratti tra data exporter e     il data importer a dimostrazione della conformità al GDPR (in una ipotizzabile alternativa alle clausole standard per esempio) come indicato nell’art. 46, 2° paragrafo, lettera f) potendo, le certificazioni, essere fatte proprie anche da soggetti esterni al perimetro UE/SEE.

Intanto, l’ICO, l’Information Commissioner’s Office, l’Autorità Garante per la protezione dei dati personali del Regno Unito, ha approvato i primi tre criteri di certificazione che sono: i) ADISA ICT asset recovery 8.0, per data processor fornitori dei servizi di rimozione dei dati dagli strumenti IT prima che questi siano distrutti o riutilizzati; ii) ACCS, uno l’Age Check Certification Scheme, per la verifica nei casi di accesso a prodotti o servizi per i quali sono state definite soglie di età, l’altro per la tutela della privacy  in rete dei minori.  

Come si legge nel sito web dell’ICO “le organizzazioni che raggiungono gli standard stabiliti in questi schemi di certificazione possono creare un vantaggio competitivo e dimostrare di avere il massimo livello di impegno per la conformità alla protezione dei dati nei confronti dei propri clienti, partner e investitori.” 

E ancora “si tratta di un significativo passo avanti nel consentire alle organizzazioni di dimostrare il proprio impegno a rispettare la legge sulla protezione dei dati del Regno Unito. I prodotti e i servizi coperti da questi criteri - garanzia dell'età, progettazione adeguata all'età e smaltimento delle risorse - sono aree in cui è fondamentale una maggiore fiducia e responsabilità nel modo in cui i dati personali sono protetti. L'abilitazione della certificazione in queste aree stabilisce un quadro vincolante a cui le organizzazioni possono aderire. Ciò alzerà il livello della protezione dei dati e garantirà che seguano sempre le ultime buone pratiche in queste aree in continua evoluzione e, soprattutto, siano in grado di dimostrare tale impegno nei confronti dei propri clienti, fornitori e pubblico”.

Conclusioni

In conclusione, l’”Illuminismo” del GDPR è dimostrato (anche) dalla previsione delle certificazioni, quindi regole giuridiche obbligatorie sì ma affiancate da norme di regolazione volontaria squisitamente tecniche e dalle rispettive certificazioni relative ai processi, a prodotti e ai servizi con lo sguardo rivolto, sin da subito, all’IOT e  alla AI. 

Tutto ciò pretenderà nel prossimo futuro pertinenti approfondimenti circa la qualifica delle norme di certificazione quali eventuali fonti del diritto, se potranno cioè essere considerate fonti di normazione secondaria (self regulation) secondo il principio di sussidiarietà tra le azioni di soggetti pubblici (i Garanti nazionali ed europei) e quelle di soggetti privati (Accredia e gli Organismi di certificazione).

Articolo a cura del Gruppo Privato del Comitato Scientifico di ASSO DPO