Il blog di E-Lex

Le “certificazioni privacy” ed il Regolamento UE

Tra le maggiori novità introdotte dal cd. “Regolamento Privacy”, merita di essere segnalata, sicuramente, quella delle certificazioni: è ora previsto il coinvolgimento di Organismi di certificazione accreditati per valutare la conformità dei sistemi di protezione dei dati attivati dai titolari o dai responsabili del trattamento soggetti al Regolamento.
L’introduzione delle certificazioni – le prime, per quanto è dato sapere, a livello legislativo in materia di protezione dei dati personali – si segnala per una molteplicità di ragioni.
Innanzitutto, perché si ha l’impressione che, nella difficoltà di dettare regole giuridiche comuni, proprie dello strumento normativo adoperato, si è fatto ricorso a forme di unificazione da un punto di vista tecnologico: in altri termini, le certificazioni non incontrano i limiti delle regole giuridiche, dal momento che non risentono delle singole tradizioni nazionali e sono identiche per tutti gli Stati membri.
Infine, l’adozione delle certificazioni serve ai titolari del trattamento per offrire – nella prospettiva risk based che permea l’intero Regolamento – uno strumento per dimostrare (o, quanto meno, per determinare una presunzione) di aver adottato delle misure di sicurezza efficaci, nonché per limitare l’importo della sanzione, in caso di eventuale contestazione da parte dell’Autorità competente.
Dunque, mentre gli operatori vedono incombere l’onda del cd. “Regolamento Privacy”, acquista sempre più importanza la scialuppa di salvataggio della certificazione.
La domanda è: esiste già, oggi, una certificazione utilizzabile? Se sì, chi può rilasciarla?

Partendo dal dato normativo, il Legislatore Comunitario menziona tali certificazioni in numerose norme, tra cui gli artt. 42 “Certificazione” e 43 “Organismi di Certificazione”, che individuano il meccanismo di base individuato dal legislatore europeo.
In particolare:
• Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, soprattutto a livello di Unione, l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al Regolamento dei trattamenti effettuati dai titolari e dai responsabili del trattamento. Sono tenute in considerazione le esigenze specifiche delle micro, piccole e medie imprese (art. 42 comma 1).
• La certificazione, da un lato, non è obbligatoria (art. 42 comma 3); dall’altro, non è completamente risolutiva, in quanto lascia impregiudicata la possibilità per il Garante di contestare eventuali non conformità al Regolamento delle misure adottate dal titolare del trattamento (art. 42 comma 4). A tal proposito, vanno allora lette con equilibrio alcune disposizioni del Regolamento (quali ad esempio l’art. 32 comma 3 in materia di misure di sicurezza) che sì, valorizzano la certificazione, ma nello stesso tempo ne sanciscono la non esaustività.
• La certificazione può essere rilasciata direttamente dal Garante (art. 42 comma 5) ovvero, in alternativa, dagli Organismi di certificazione che si siano preventivamente accreditati presso il Garante o presso il “certificatore dei certificatori”, rappresentato nel nostro Paese da Accredia (Ente unico nazionale designato dal governo in base al regolamento EU n 765/08, conformemente alla norma EN- ISO/IEC 17065/2012).
Saranno gli Stati europei a garantire che l’accreditamento sia affidato a uno solo o a entrambi i soggetti indicati nel provvedimento.
• A tal proposito, ai fini dell’accreditamento di tali Organismi da parte del Garante ovvero di Accredia, sarà necessario che gli Organismi richiedenti dimostrino di avere determinati requisiti: di essere soggetti indipendenti; non in conflitto di interessi; competenti in materia di protezione dati; che abbiano formalizzato apposite procedure (per il rilascio, il riesame periodico, il ritiro delle certificazioni e per la gestione dei reclami). Inoltre, devono dimostrare di soddisfare i criteri (di cui all’articolo 42 paragrafo 5) approvati dall’Autorità di controllo (artt. 55 e 56) o dal Comitato (art. 63), unitamente ai requisiti previsti dal Regolamento CE 765/2008 e da altre norme tecniche in materia.
Con riferimento a quanto appena esposto, si precisa che ad oggi il Garante e/o il Comitato non hanno ancora adottato alcun criterio.
L’accreditamento è rilasciato per un periodo di 5 anni ed è rinnovabile, ovvero revocabile, dal Garante o da Accredia.
• È previsto che gli Organismi di certificazione, cosí accreditati, trasmettano all’Autorità di controllo i motivi a sostegno della rilasciata o negata certificazione e che, successivamente, le Autorità di controllo provvedano a trasmetterli al Comitato. Il Comitato deve raccogliere in un Registro tutti i meccanismi di certificazione e i sigilli di protezione dei dati e li deve rendere pubblici con qualsiasi mezzo appropriato.
Gli Organismi di certificazione accreditati sono pertanto ritenuti responsabili della valutazione che comporta il rilascio (ovvero la revoca) della certificazione richiesta, fatta salva la specifica responsabilità del titolare.
• In linea generale, ai fini della certificazione, il titolare del trattamento (o il responsabile del trattamento che sottopone il trattamento effettuato al meccanismo di certificazione) fornisce all’Organismo di certificazione di cui all’articolo 43 ovvero all’Autorità di controllo competente tutte le informazioni e l’accesso alle attività di trattamento necessarie ad espletare la procedura di certificazione.
La certificazione è rilasciata al titolare del trattamento o responsabile del trattamento per un periodo massimo di tre anni. Essa può essere rinnovata alle stesse condizioni purché continuino a essere soddisfatti i requisiti pertinenti, ovvero può essere revocata qualora tali requisiti non siano più soddisfatti.
• La certificazione, rilasciata come sopra esposto, deve rispondere ai criteri approvati dall’Autorità di controllo (art. 58) oppure dal Comitato europeo per la protezione dei dati, istituito dal Regolamento stesso (art. 63).
• Il Regolamento, infine, prevede cha la Commissione europea possa adottare atti di esecuzione per stabilire norme tecniche riguardanti i meccanismi di certificazione e i sigilli e marchi di protezione dei dati, nonché le modalità per promuoverli e riconoscerli (art. 43, comma 9).
In poche parole, il sistema di valutazione delle conformità previsto dal Regolamento si fonda su una struttura gerarchico-piramidale composta da entità diverse, tra loro autonome e indipendenti:
 l’ente accreditatore;
 l’organismo di valutazione;
 il soggetto da certificare.
L’indipendenza e la terzietà di ciascuna di tali parti costituiscono requisiti essenziali per la corretta affidabilità dell’intero sistema.

Continua qui.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Novità normative e giurisprudenziali dal mondo del diritto delle tecnologie e dal nostro Studio