La “privacy” o, meglio, la materia della ‘data protection’ ha uno standard di certificazione ‘dedicato’. Non si può infatti ritenere propriamente tale la norma UNI CEI EN ISO/IEC 27001:2017, in quanto il relativo sistema di gestione ha finalità (sicurezza) e oggetto (informazioni) diversi dalla protezione dei diritti e delle libertà delle persone fisiche a fronte di trattamenti di dati personali. In termini tecnici si può definire la relativa certificazione come ‘aspecifica’, rispetto alla materia della protezione dei dati personali. Naturalmente ciò non esclude che la stessa possa risultare di obiettivo giovamento per l’organizzazione, anche sotto il profilo della protezione dei dati personali.
Lo standard dedicato e specifico per la normativa ‘data protection’ è lo schema ISDP 10003:2018. La prima edizione risale al 2015 e recentemente è stata decisa la messa a disposizione gratuita, on line (https://www.in-veo.com). Lo schema o standard ISDP 10003:2018 è stato redatto e sviluppato dall’organismo di certificazione Inveo Srl, accreditato a tal fine dall’ente italiano di accreditamento Accredia.
IL REGOLAMENTO
E’ opportuno ricordare che ai sensi del’art. 42.1 del Regolamento UE 2016/679, i meccanismi di certificazione hanno lo scopo “di dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento”. Ovvero di “migliorare la trasparenza e il rispetto del presente regolamento”, consentendo agli interessati di “valutare rapidamente il livello di protezione dei dati dei relativi prodotti e servizi.
Ai sensi del Reg.to, la certificazione in sé non è una prova della conformità, ma rappresenta un elemento che utilizzabile per dimostrare la conformità”. Mentre per l’ISO la certificazione è da definire come il “rilascio da parte di un organismo indipendente di un’assicurazione scritta del fatto che il prodotto, soddisfi requisiti specifici”.
Nel proprio sito l’organismo di certificazione Inveo Srl avverte i ‘naviganti’ della circostanza che “non essendo stati ancora stabiliti gli eventuali criteri integrativi di cui agli artt. 42 e 43 del Reg. 679/2016, quando questi verranno rilasciati dal comitato o dall’autorità nazionale competente ai sensi degli artt. 55 e 56, lo schema ISDP10003:2015 verrà con sollecitudine adeguato”.
Dal canto suo il Garante, nel comunicato del 18 luglio 2017 sottolineava insieme ad Accredia che “al momento le certificazioni di persone non possono definirsi “conformi agli artt.” 42 e 43 del regolamento 2016/679″. Questo poiché devono ancora essere determinati i “requisiti aggiuntivi” ai fini dell’accreditamento degli organismi di certificazione e i criteri specifici di certificazione”.
Accredia ha la competenza per svolgere l’accreditamento degli organismi di certificazione. Essendo Ente unico nazionale di accreditamento ai sensi del Regolamento UE 2008/765. Inoltre, il Garante ha il potere di sostituirsi a tale Ente nell’ipotesi in cui questo dovesse incorrere in un grave inadempimento dei compiti assegnati.
PERCHE’ OTTENERE LA CERTIFICAZIONE
Quali sono quindi gli interessi che un titolare può avere nell’implementare un sistema di gestione e ottenere la certificazione?
In primis, campeggia sicuramente l’incentivo costituito dall’art. 83.2, lett. j), in base al quale la certificazione costituisce uno dei parametri che possono indurre l’autorità di controllo a mitigare le eventuali sanzioni. La scelta dell’adozione di un sistema di gestione, per quanto non (ancora) certificato, può reputarsi rilevante sulla base della lett. d) dell’art. 83.2, in quanto verosimile evidenza di un elevato grado di responsabilità del Titolare.
TUTTI I SERVIZI DI BWB CONFORMA
La seconda considerazione è che la normativa in materia di data protection impone, l’adozione di un sistema di gestione per la protezione dei dati. Di conseguenza, la disponibilità di uno schema specifico diventa preziosa e la certificazione non fa che offrire la tessera di completamento del mosaico costituito dall’insieme di adempimenti e misure per la conformità alle disposizioni del Reg.to. La certificazione, in quanto rilasciata da un ente terzo e indipendente è l’elemento che consente di superare i possibili rischi sottesi ad una affermazione meramente autoreferenziale del rispetto di determinati requisiti.
La terza considerazione è che la certificazione assicura che il sistema di gestione della protezione dei dati sia effettivamente orientato al miglioramento continuo. L’organizzazione che assume la filosofia del miglioramento continuo è concentrata sul perseguimento degli obiettivi prefissati e il controllo dei processi, mediante procedure formalizzate e standardizzate. Inoltre, persegue una adeguata formazione dei propri collaboratori, assume una metodologia di lavoro che coniuga efficienza, consapevolezza, condivisione, responsabilità e attenzione ai risultati.
LO SCHEMA ISDP 10003:2018
Si legge nella sua parte introduttiva che lo schema ISDP 10003:2018 è:
- applicabile a qualsiasi Titolare e Responsabile del trattamento
- flessibile e scalabile per poter essere applicato a organizzazioni di differenti tipi e dimensioni
Lo schema in questione si presta a coprire “l’intera gamma delle disposizioni dell’EU Reg. 2016/679”, comprendendo ragionevolmente la possibilità che sia esclusa l’applicazione di requisiti “limitatamente ai punti di controllo che non possono essere applicati alla tipologia di trattamento dell’organizzazione richiedente la certificazione”.
Lo schema entra nel vivo del sistema di gestione articolando gli stessi in gruppi o famiglie logico-sequenziali in cui campeggia il Riesame (da programmare almeno una volta ogni anno). Grazie a ciò l’organizzazione può e deve essere esaminata da cima a fondo. Infatti, qui si esercita al massimo livello l’accountability del Titolare, il quale si accinge a valutare che cosa abbia e non abbia funzionato e perché. Infine, sia corregge la rotta e si pianificano e le misure in cui prendano corpo l’adeguamento, l’aggiornamento, l’affinamento del sistema.
Chiude lo schema una check list di riscontro redatta/costruita sulla base delle disposizioni vigenti e delle già numerose linee guida redatte dall’European Data Protection Board.
La visualizzazione dello scarto tra ‘essere’ e ‘dover essere’ sarà già un primo, importante passo verso quella consapevolezza che è parte imprescindibile dell’accountability del Titolare.
L’area GDPRConforma è a tua completa disposizione per poter attivare servizio GDPR NO STRESS con le sue varie opzioni : Implementazione, Formazione , Verifica e Mantenimento.
Controlla ed eleva la tua azienda salvaguardandoti da sanzioni.
Scrivi a supporto@bwbconforma.it e richiedi informazione sulla GDPR no Stress.