La circolazione dei dati personali, in un mondo sempre più iperconnesso, è ormai una necessità. Una necessità che però va adeguatamente regolamentata, perché i dati personali degli individui devono sempre essere protetti. Per tale motivo, la normativa europea ha indicato diversi strumenti.
Il GDPR è un insieme di norme che mirano a tutelare le persone e, nello specifico, il trattamento che si fa dei loro dati personali. In quest’ottica, la certificazione rilasciata da un soggetto accreditato è una soluzione di fondamentale importanza. La cui applicazione, benché ancora poco diffusa, va assolutamente promossa.
Temi:
- Cosa cambia con il GDPR
- La responsabilizzazione
- Certificazione e art. 42 del GDPR
- Certificazione privacy GDPR: cos’è e a cosa serve
- Chi la rilascia: gli organismi di certificazione
- Ente certificatore GDPR: Accredia
Cosa cambia con il GDPR
Il GDPR ha riguardato, trasversalmente, un po’ tutti i settori lavorativi. Come questi due ambiti specifici, che possono essere considerati tra quelli che hanno dovuto adattarsi in maniera più significativa al General data protection regulation.
- Gestione dei dati personali. Per “dato personale” si intende qualunque informazione che possa ricondurre, in maniera univoca, a uno specifico individuo. Chi chiede l’autorizzazione al trattamento dei dati personali deve specificare i tempi e lo scopo dell’utilizzo. Scaduto il termine o esaurito lo scopo, i dati personali devono essere cancellati. Inoltre, la persona, a determinate condizioni, può revocare l’autorizzazione al trattamento dei propri dati personali.
- Conservazione dei documenti. I documenti, quasi per definizione, contengono informazioni che possono ricondurre a uno specifico individuo. Anche in questo caso, l’ente che gestisce i documenti deve sempre specificare i tempi e lo scopo del trattamento delle informazioni. Fermo restando che i tempi per la conservazione dei documenti stabiliti per legge (come nel caso dell’articolo 2220 del Codice civile) devono sempre essere rispettati (ad esempio, indipendentemente dal consenso o meno, le fatture vanno conservare per almeno dieci anni).
La responsabilizzazione
L’articolo 5 comma 1 del GDPR stabilisce i limiti entro i quali un soggetto terzo più chiedere e utilizzare i dati personali di una persona. Ma, dal punto di vista del tema specifico trattato, è il comma 2 quello che risulta particolarmente interessante. Perché recita:
Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»).
Il principio di responsabilizzazione, in sostanza, stabilisce che il titolare del trattamento deve adottare tutte le misure necessarie per garantire alla persona che i suoi dati personali saranno trattati nel rispetto di quanto stabilito dal GDPR. Ed è proprio qui che entra in gioco la certificazione.
Certificazione e art. 42 del GDPR
Il concetto di certificazione è introdotto ed esplicitato nell’articolo 42 comma 1 del GDPR. Il quale riporta testualmente:
Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento. Sono tenute in considerazione le esigenze specifiche delle micro, piccole e medie imprese.
Molto importante anche citare quanto stabilito al comma 7, che specifica i tempi di validità:
La certificazione è rilasciata al titolare del trattamento o responsabile del trattamento per un periodo massimo di tre anni e può essere rinnovata alle stesse condizioni purché continuino a essere soddisfatti i criteri pertinenti. La certificazione è revocata, se del caso, dagli organismi di certificazione di cui all’articolo 43 o dall’autorità di controllo competente, a seconda dei casi, qualora non siano o non siano più soddisfatti i criteri per la certificazione.
Certificazione privacy GDPR: cos’è e a cosa serve
Dato il quadro normativo generale all’interno del quale ci si muove, è ora il momento di chiarire i punti fondamentali:
- La certificazione è uno strumento grazie al quale un ente o un’azienda possono attestare il proprio livello di adesione alle indicazioni del GDPR in materia di protezione e trattamento dei dati personali;
- La certificazione non è obbligatoria (Stati, autorità e commissioni competenti la “incoraggiano”) ma è responsabilità del titolare del trattamento dimostrare di essere conforme alle prescrizioni del GDPR;
- La certificazione non rappresenta una prova inconfutabile della conformità del titolare alle indicazioni contenute nel GDPR ma è comunque valida per valutare il livello di accountability del titolare o del responsabile del trattamento;
- Esiste un’ampia varietà di schemi o “meccanismi” (definizione utilizzata nello stesso GDPR) per valutare l’adesione di un soggetto alle norme sulla protezione dei dati personali: la norma internazionale ISO/IEC 17065:2012 è una delle più utilizzate e apprezzate a tal fine.
Chi la rilascia: gli organismi di certificazione
Chi può rilasciare una certificazione di conformità al GDPR? La risposta è presente nell’articolo 43 (al quale si fa già accenno nel comma 7 dell’articolo 42):
[…] gli organismi di certificazione in possesso del livello adeguato di competenze riguardo alla protezione dei dati rilasciano e rinnovano la certificazione, dopo averne informato l’autorità di controllo al fine di consentire alla stessa di esercitare i suoi poteri a norma dell’articolo 58, paragrafo 2, lettera h), ove necessario.
Accreditamento dei certificatori
Un certificatore (anche detto organismo di certificazione) può essere accreditato unicamente se (articolo 43, comma 2):
- Ha dimostrato di essere indipendente e competente per la funzione che deve svolgere;
- Ha istituito delle precise modalità per il rilascio, il rinnovo e la revoca delle certificazioni;
- Ha istituito procedure per gestire i reclami;
- Ha dimostrato di svolgere il proprio lavoro di certificazione senza dare adito a conflitto di interessi.
Ente certificatore GDPR: Accredia
In Italia, l’accreditamento dei soggetti certificatori viene effettuato da Accredia, così come stabilito dal d.lgs. 101/2018 art. 2 septiesdecies. Per accreditarsi, basta inoltrare la domanda generale DA-00 e quella specifica del settore per il quale ci si vuole accreditare.
Per maggiori informazioni:
Sito ufficiale Accredia: Accredia.it