Chiarezza sulle certificazioni GDPR

La certificazione volontaria a tutela delle persone fisiche con riguardo al trattamento e la libera circolazione dei dati personali è un’importante innovazione introdotta dal GDPR. Tutto quello che c’è da sapere sull’istituto della certificazione, l’accreditamento, i requisiti aggiuntivi e i criteri approvati

C’è una cosa che forse ancora non è stata ben compresa del Il GDPR: non è la legge sulla privacy, ma disciplina la protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. Chiarito questo, e compreso appieno l’importanza della certificazione e il valore dell’accreditamento, ogni lettura, interpretazione e applicazione, diverrà più fluida e si potrà leggere correttamente il ruolo che, il legislatore europeo, ha voluto attribuire al titolare del trattamento.

Il principio di responsabilizzazione

Con la definizione del “Principio di Responsabilizzazione” (artt. 5.2 e 24), il legislatore mette il titolare del trattamento nella condizione di dover essere sempre pronto a dimostrare di aver rispettato e di essersi conformato agli obblighi identificati nel regolamento.

Nei fatti, con quali strumenti il titolare potrà dimostrare di aver attuato quelle misure tecniche e organizzative adeguate?

Ed ancora, come potrà il titolare dimostrare che tale adeguatezza sia valida per tutta l’organizzazione e che le misure siano realmente riesaminate e aggiornate qualora necessario per garantire ed essere in grado di dimostrare che il trattamento sia effettuato conformemente al regolamento?

L’istituto della certificazione

Le risposte sono nell’art. 42.1 e nel considerando 100.

L’introduzione dell’istituto della certificazione consente di attestare pubblicamente il livello di conformità dell’azienda. L’organizzazione certificata relativamente ai processi, prodotti e servizi aziendali a cui è applicabile, fornisce garanzia verso le parti interessate dell’adozione di un metodo di analisi e controllo dei principi e delle norme di riferimento.

Il GDPR pertanto, ha assegnato un ruolo fondamentale a strumenti di regolamentazione volontaria, noti come “soft law”; questi non sono obbligatori ma nel momento in cui il Titolare o il Responsabile del trattamento decidono di adottarli, diverrà obbligatorio supportare l’Organismo di certificazione (CaBs) con tutte le informazioni necessarie (art.42.6).

Va detto inoltre che la certificazione di per sé non rappresenta la prova assoluta di conformità del titolare, ma costituisce un valido elemento di giudizio per supportare l’accountability dello stesso o del responsabile del trattamento.

A ben leggere l’articolo 42.1, risulta evidente come il GDPR attribuisca agli Stati membri, alle autorità di controllo, al comitato e alla commissione, in termini di certificazione, il solo ruolo di «incoraggiare» in particolare (anche se non in via esclusiva) – a livello EU – «meccanismi» di certificazione della protezione dei dati allo scopo di dimostrare la conformità al regolamento.

L’utilizzo del verbo «incoraggiare» inoltre – nella logica del legislatore europeo – potrebbe essere letto come la volontà di attuare misure di stimolo, nell’ambito delle rispettive competenze, indirizzate a tutti quei soggetti in grado di elaborare processi e schemi di certificazione nuovi e utili a coprire le esigenze introdotte dal nuovo regolamento, compresi gli scheme owner (cfr. WP29 n. 261)

Inoltre, con il termine meccanismo, usato nella sua forma plurale «meccanismi» (art. 4.1), il legislatore ha inteso introdurre un sistema basato su un’ampia pluralità di schemi, giustificando di fatto l’impiego della norma internazionale ISO/IEC 17065:2012, a vantaggio principalmente delle esigenze delle micro, piccole e medie imprese e di una specificità settoriale.

A tal proposito giova ricordare che, già nel settembre 2014, l’Autorità Garante Uk, ICO, chiese a tutti i soggetti interessati (ICO privacy seals project Framework criteria – draft consultation v.1.3) documentazione utile a produrre schemi di certificazione, «incoraggiando» di fatto quanto richiamato dall’art. 42.1

Più nel dettaglio, il documento richiamava alcuni “criteri” che, gli eventuali nuovi schemi di certificazione avrebbe dovuto soddisfare (pag. 5):

  • Essere un nuovo schema di certificazione protezione dei dati personali
  • Dover coprire il trattamento dei dati personali in Uk
  • Essere rivolto al consumatore, e promuovere la fiducia dei consumatori e la protezione dei dati dei consumatori
  • Essere basato sulla certificazione di prodotto, processo e servizio (EN-ISO/IEC 17065:2012),
L’accreditamento degli organismi di certificazione

L’accreditamento degli Organismi di certificazione (CaBs), come indicato dall’EU Reg. 679/2016, identifica in un ente indipendente che ne attesti competenza ed indipendenza di giudizio, la possibilità di essere accreditati.

Per quanto attiene il processo di accreditamento dell’organismo di certificazione, gli Stati membri hanno il compito di «garantire» che gli organismi di certificazione siano accreditati da uno o entrambe tra: l’Organismo nazionale di accreditamento (per l’Italia, Accredia) e l’Autorità di controllo competente (per l’Italia, il Garante) (art. 43.1, lett. a) e b)).

Un primo problema sembra nascere dalla lettura attenta dell’art. 2.11 Reg. 765/2008 ove viene specificato che l’Ente nazionale di accreditamento è “il solo ente”, in ogni stato membro, che possa effettuare l’accreditamento.

Questa definizione parrebbe in contrasto con quanto indicato dall’art. 43.1 del GDPR, in quanto viene attribuita all’Autorità di controllo, la stessa facoltà riguardo all’accreditamento dei CaBs.

L’indicazione fornita dal WP29 n. 261 è che l’art. 43.1 è lex specialis nei confronti dell’art. 2.11 del Reg. (CE) 765/2008.

Le linee guida WP29 n. 261 pertanto, ancorché non definitive, argomentavano già in modo esaustivo la questione, fornendo un autorevole parere su quale norma adottare e le ragioni per cui la scelta primaria dovesse ricadere sugli Organismi di Accreditamento.

Il testo dell’art. 43.1, fornisce infatti un margine di manovra: in linea di principio la funzione di accreditamento dell’autorità di controllo dovrebbe essere interpretata come compito soltanto ove applicabile.

Il ruolo di Accredia

L’Italia, fugando qualunque dubbio residuo, ed evitando evidenti conflitti d’interesse nell’espletamento dei propri ruoli istituzionali, attraverso il d.lgs. 101/2018 art. 2 septiesdecies, ha identificato nell’organismo nazionale di accreditamento (Accredia) designato in virtù del regolamento (CE) 765/2008, il soggetto che effettuerà l’accreditamento.

Rimane il potere al Garante di accreditare direttamente in alcune materie specifiche (es. Biometria, genetica, ecc.) o qualora l’Ente di accreditamento risulti inadempiente, mediante una deliberazione pubblicata in Gazzetta Ufficiale.

Pienamente condivisibile la scelta di delegare Accredia quale organismo deputato all’accreditamento, anche per quei settori che richiedono particolari e delicate esperienze da parte degli organismi di certificazione. Rimane il dubbio però circa le tempistiche necessarie ad acquisire le competenze utili a svolgere il ruolo di accreditamento nei settori ritenuti più ad alto rischio, ovvero la capacità di valutare pienamente le «competenze riguardo al contenuto della certificazione», in particolar modo degli auditor e dei Lead auditor (art. 43.2 lett. a) in quei settori delicati quali, appunto, la genetica e la biometria.

Da ultimo, così come è formulato l’art. 2 septiesdecies d.lgs. 101/2018, permane l’ulteriore dubbio su chi possa e debba dichiarare il grave inadempimento dell’Ente Unico Nazionale di accreditamento, tale da generare l’intervento correttivo dell’Autorità Garante.

Il ruolo a cui l’Ente nazionale di accreditamento è chiamato a rispondere, è particolarmente delicato in quanto dovrà gestire coerentemente con il GDPR, tutte le fasi di accreditamento e di mantenimento dello stesso da parte dei CaBs, compresa la capacità di questi ultimi di gestire con competenza professionale la fase di certificazione.

L’accreditamento si riferisce quindi ad un’attestazione di terza parte (Accredia d.lgs. 101/2018) relativa ad un organismo di valutazione, che esprime una dimostrazione formale della sua competenza ad effettuare specifici compiti di valutazione di conformità (ISO 17011 – WP29 n.261).

L’accreditamento rappresenta pertanto il valore della credibilità sul mercato delle competenze di un CaB, richiesta dal GDPR.

Requisiti aggiuntivi (art. 43.3)

Riprendendo la definizione di cui al § 3.9 della EN-ISO/IEC 17065:2012 si può affermare che un sistema di certificazione è un sistema di valutazione della conformità e che pertanto, un sistema di certificazione per la protezione dei dati, è un sistema di certificazione che valuta la conformità al GDPR (standard di riferimento Art. 43 (1) WP29 linee guida n. 261).

Le considerazioni sulla norma di accreditamento da utilizzare, rappresentano un elemento dirimente, al fine di stabilire se e con quale standard di certificazione si possa valutare la conformità specifica e omnicomprensiva al GDPR e del perché siano eventualmente necessari requisiti aggiuntivi nella fase di accreditamento dei CaBs.

Va inoltre riportato quanto indicato dal WP29: «le linee guida non costituiscono un manuale di procedura per l’accreditamento di organismi di certificazione secondo quanto disposto dal GDPR, esse infatti, non definiscono un nuovo standard tecnico per l’accreditamento dei CaBs nell’ambito del GDPR» (WP29 n. 261),

Pertanto, ai sensi del d.lgs. 101/2018 Accredia, accrediterà i CaBs per le certificazioni volontarie dei sistemi di protezione dei dati personali secondo la ISO/IEC 17065:2012 e nel processo di accreditamento applicherà anche “i requisiti aggiuntivi” che verranno forniti dalle autorità di controllo competente ai sensi degli artt. 55 e 56 (art.43.1 lett. b) (WP29 n.261).

Un CaBs attualmente accreditato sulla base della ISO/IEC 17065:2012 per uno schema di certificazione non relativo al GDPR, che desideri estendere l’ambito del proprio accreditamento per compiere certificazioni rilasciate ai sensi del GDPR, dovrà rispondere ai requisiti aggiuntivi definiti dalla autorità di controllo se l’accreditamento è gestito dall’ente nazionale di accreditamento.

Se al contrario l’accreditamento in tali stati viene affidato alle autorità di controllo, un CaBs che si sottopone a un accreditamento dovrà rispondere ai requisiti della relativa autorità di controllo (WP29 n. 261 §4.3).

In Italia Accredia, sulla scia dell’opinion WP29 n.173, ha introdotto l’accreditamento dei CaBs, in “ambito volontario” per la certificazione dei processi, prodotti e servizi, “applicabile a tutte le tipologie di organizzazioni soggette alle norme vigenti in tema di tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati» (circolare Accredia rif. DC2017SSV369 del 14/12/2017).

Un CaBs che, allo stato attuale, risulti essere già accreditato da Accredia sulla base della norma ISO/IEC 17065:2012 per uno schema di certificazione in ambito volontario, per la valutazione della conformità al trattamento dei dati personali, ma non la «conformità al GDPR ai sensi degli artt. 42 e 43» e che desideri estendere l’ambito del proprio accreditamento per coprire le certificazioni rilasciate ai sensi del GDPR, dovrà integrare i “requisiti aggiuntivi” definiti dalle autorità di controllo (WP29 n. 261 §4.3) (cfr. comunicato Accredia Garante 18 luglio 2017).

Da quanto sin qui esposto, non risulta evidente e non viene chiarito neanche dalle linee guida, perché si renda necessario promuovere da parte delle singole autorità di controllo, ai sensi dell’art. 43.1 lett. b), ulteriori requisiti aggiuntivi (WP29 n.261).

Lo standard ISO/IEC 17065:2012

Il quesito trova una ipotesi di risposta nella struttura del richiamato standard di accreditamento, la ISO/IEC 17065:2012.

La ISO/IEC 17065:2012 per sua natura può prevedere l’accreditamento di CaBs che non operino nell’ambito della protezione dei dati personali ma semplicemente nel processo di certificazione di prodotti. In aggiunta, ai fini dell’accreditamento, non è possibile accreditare con la menzionata norma, senza uno schema di riferimento. A tal proposito il GDPR non fornisce alcuna indicazione circa uno schema di certificazione di riferimento anzi, nell’art. 42.1, viene suggerita la necessaria pluralità di meccanismi.

Pertanto, in questa specifica circostanza, il legislatore europeo ha dovuto prevedere ancor prima di “incoraggiare” eventuali schemi di riferimento, la necessaria condizione per l’accreditamento mediante la definizione di criteri autonomi da parte delle autorità.

Alla luce dell’esperienza fatta anche sulla base di quanto indicato dal gruppo WP29 nella opinion 3/2010 sul principio di responsabilizzazione (WP29 n.173 – 13 luglio 2010 paragrafo 69-71) circa l’importanza delle certificazioni e dei recenti risultati di ricerche internazionali (studio Università di Tilburg per conto della Commissione europea), nasce il dubbio sulla reale necessità di ulteriori requisiti aggiuntivi, oltre quelli già indicati nella ISO/IEC 17065:2012.

Il GDPR all’art. 43.2 lett. a-e) indica elementi importanti ma non esaustivi ai fini di valutare la competenza di un CaBs nell’ambito della protezione dei dati personali. A tal proposito lo stesso gruppo WP29 riporta come sia elevato il livello di attenzione nel garantire che gli organismi di certificazione abbiano un «livello appropriato di esperienza nella protezione dei dati personali», in conformità all’art. 43.1.

Il gruppo WP29, nota come sia necessaria una specifica esperienza nel settore della protezione dei dati personali, oltre ai requisiti ISO/IEC 17065:2012 indicati dal GDPR, ad esempio nel caso di altri organismi esterni, come “Laboratori” o anche “Auditor”, che vengano richiamati e/o impiegati nell’ambito di una certificazione.

Criteri di certificazione approvati (art. 42.5)

La formulazione dell’art. 42.5 del GDPR prevede la possibilità di rilasciare da parte di Organismi di certificazione, le certificazioni in base a «criteri approvati» da parte, sia della singola Autorità di controllo competente (art. 58.3), sia del comitato (art. 63).

Il richiamo dell’art. 42.5 circa i poteri dell’autorità di controllo competente (art. 58.3) o dal comitato (art. 63) di approvare i criteri di certificazione, porta a concludere che il GDPR assegna alle autorità di controllo, il compito esclusivo di autorizzare ma non di “sviluppare” i criteri (EDPB 1/2018 pag. 8). In aggiunta, «al fine di poter approvare i criteri ai sensi dell’art. 42.5 ogni autorità di controllo dovrebbe avere una chiara comprensione di cosa aspettarsi, particolarmente riguardo all’ambito e ai contenuti per dimostrare la conformità al GDPR e riguardo ai propri compiti di monitorare e di far valere l’applicazione del regolamento» (Linee guida 1/2018 EDPB).

Ne consegue che, secondo quanto chiarito dalle linee guida EDPB 1/2018 (pag. 5), «(…) i CaBs nella stesura e revisione dei criteri di certificazione, prima dell’invio per l’approvazione alla competente autorità di controllo ai sensi dell’art. 42.5, dovranno tenere in debito conto le indicazioni contenute nelle linee guida compresi gli annex previsti».

Inoltre, «l’approvazione si effettua sulla base del fatto che i criteri di certificazione riflettano pienamente il requisito del GDPR secondo il quale un meccanismo di certificazione permetta a titolari e responsabili di dimostrare la conformità al GDPR» (Linee guida 1/2018 EDPB pag. 10).

Lo sviluppo di criteri di certificazione non deve considerare soltanto quanto richiesto dal mercato ma, per ottenere un’approvazione, dovrebbe tenere in debito conto anche: “la verificabilità”, “la significatività” e la “capacità” dei criteri di certificazione di dimostrare la conformità al Regolamento.

I criteri devono essere formulati per essere chiari, comprensibili e da consentirne un’applicazione pratica.

Tutto ciò constatato e constatato che i criteri debbano solo essere approvati dalle autorità di controllo e che il CaB o lo Scheme Owner di una certificazione debbano definire gli stessi, quali caratteristiche dovrebbero avere questi criteri?

L’ipotesi basata su requisiti di indirizzo generale, potrebbe prevedere, ad esempio:

  • Competenza territoriale
  • Competenza generale o settoriale
  • Identificazione chiara delle norme di riferimento
  • Classificazione delle norme di riferimento
  • Approccio per processi
  • Accessibilità economica
  • Requisiti chiari, logici e facili da seguire anche per i consulenti che decidano di utilizzarlo come guida operativa
  • Modalità di annotazione dei requisiti
  • Accuratezza
  • Completezza dei controlli ma non complessità
  • Metrica di misurazione coerente applicabile in tutti i contesti
  • Comprensibilità e semplicità nell’uso

Inoltre, sulla base della necessaria capacità di dimostrare la conformità al Regolamento dovranno considerare:

  • Protezione dei diritti
  • Controllo delle discriminazioni
  • Protezione delle persone fisiche
  • Facilitare il controllo delle persone sui loro dati
  • Servire o altrimenti non compromettere la certezza del diritto
  • Prevedere limitazioni dei diritti in linea con le norme indicate
  • Approccio tecnologico neutrale e non invasivo
  • Rispetto dei principi di protezione dei dati
Quali certificazioni possibili

Va detto che il GDPR non dà una definizione di certificazione ai sensi della ISO /IEC 17065. Dobbiamo rifarci all’ISO (International Standards Organistion), la quale definisce la certificazione come, «la fornitura da parte di un ente indipendente di una assicurazione scritta che il prodotto, servizio o sistema in oggetto risponda a requisiti specifici». La certificazione quindi è nota come una valutazione di conformità di terza parte (EN-ISO/IEC 17000).

Al fine di migliorare la trasparenza e il rispetto del regolamento, dovrebbe essere incoraggiata l’istituzione di meccanismi di certificazione anche per consentire agli interessati di valutare rapidamente il livello di protezione dei relativi prodotti e servizi (considerando 100).

Gli Stati membri, le autorità di controllo, il comitato e la Commissione, avranno pertanto esclusivamente un ruolo di stimolo, incentivando l’istituzione di meccanismi di certificazione.

Va ricordato inoltre che, «la certificazione è volontaria e accessibile tramite una procedura trasparente» (art. 42.3) ma, «[…] non riduce la responsabilità del titolare del trattamento o del responsabile del trattamento riguardo alla conformità al presente regolamento e lascia impregiudicati i compiti e i poteri delle autorità di controllo competenti a norma degli artt. 55 o 56».

Spunto ulteriore di comprensione del processo di certificazione richiamato, lo fornisce l’art. 43.1 lett. b) in cui vengono chiaramente indicati gli standard richiesti per l’accreditamento dei CaBs, anche alla luce del d.lgs. 101/2018.

Tale lettura rende evidenti i vincoli entro cui è necessario sviluppare lo “schema di certificazione specifico”, al fine di dimostrare la compatibilità al GDPR.

All’interno del GDPR, vengono richiamati diversi standard internazionali di certificazione utili a valutare la conformità a singoli processi operativi.

Per tale ragione è necessario classificare i meccanismi di certificazione compatibili con il GDPR in due macro-categorie:

  • Schemi di certificazione aspecifici

sono schemi che, rifacendosi a standard internazionali ISO, sono ampiamente richiamati all’interno di singoli articoli del GDPR stesso. Coprono processi singoli di messa in sicurezza ai sensi del GDPR, ma esclusivamente in forma indiretta, come strumenti di «buona pratica operativa» . Possono essere schemi internazionali o nazionali ovvero linee guida emanate da Agenzie governative (ad es. AgID e altri). A titolo d’esempio all’art. 5.1) lett. d) per dimostrare l’esattezza e l’aggiornamento dei dati, è possibile utilizzare la norma ISO 28590:2017, la ISO 25024, SGCMF10002 ed altre ulteriori norme di settore specifiche; all’art. 5 (1) lett. f) sicuramente va ricordata la norma ISO 27001.

Valutando gli aspetti meramente relativi alla sicurezza del trattamento, richiamati nell’art. 32, abbiamo la possibilità di operare con un maggiore numero di norme tecniche. L’art. 32 rappresenta infatti, il baricentro della sicurezza tecnica e tecnologica, compresa la valutazione dei rischi ed è proprio qui che possiamo concentrare l’utilizzo (a seconda del trattamento che il Titolare o il Responsabile intendano effettuare) delle possibili prassi internazionali o standard ISO.

Ricordiamo a titolo d’esempio, all’art. 32 (1) lett. b) la ISO 27001, la ISO 27002, all’art. 32 (1) lett. c) la ISO 22301 e più in generale la ISO 27018, la ISO 31000, la ISO 29134.

  • Schemi di certificazione specifici

sono schemi di certificazione che sono determinati partendo dall’insieme delle disposizioni del GDPR e che seguono le obbligazioni previste dalla EN-ISO/IEC 17065:2012 relativamente alla certificazione dei prodotti, processi e servizi.

Questi schemi devono “trasdurre” (ndr. esattamente come avviene nei processi cellulari di creazione dei potenziali elettrici) le disposizioni legali previste dagli articoli e dai considerando del GDPR in criteri omogenei e omnicomprensivi di certificazione, comprendendo naturalmente anche gli aspetti legati alla riservatezza, integrità e disponibilità, oltre che della resilienza, dei trattamenti.

Possiamo dunque concludere che, mentre uno schema aspecifico certifica la conformità di un singolo processo dell’impianto privacy, lo schema specifico certifica la conformità dell’intero impianto privacy.

Appare infine evidente che, un impiego di standard internazionali cd. “aspecifici” per valutare la conformità al GDPR, non risulterebbe compatibile con la normativa di riferimento, in relazione alla norma indicata dall’art. 43.1 per l’accreditamento (ISO/IEC 17065:2012 Prodotto, processo e servizio e non ISO/IEC 17021:2012 Sistemi di gestione).

La certificazione ai sensi del GDPR può essere rilasciata solo a seguito di una valutazione indipendente di evidenza da un ente di certificazione accreditato (per l’Italia da Accredia), che dichiari che i criteri di certificazione sono stati soddisfatti (EDPB 1/2018).

Schemi accreditati

Nel 2010, esprimendosi sul principio di “responsabilizzazione”, il WP29 con l’opinion n. 173, sottolineò come un meccanismo di certificazione poteva senz’altro contribuire a provare che il titolare avesse ottemperato alle previsioni (DIR 95/46/CE) e quindi che avesse correttamente definito e implementato le misure appropriate.

Questa valutazione anticipa quanto poi introdotto con il GDPR.

Accredia ha accreditato uno schema di certificazione su base volontaria (art. 4.1 reg. UE 765/2008), ISDP©10003, per la certificazione delle organizzazioni soggette alle norme vigenti in tema di tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati. Lo schema di certificazione specifica ai “Titolari” e “Responsabili” del trattamento, soggetti ai vincoli normativi vigenti nel territorio dell’EU, i requisiti necessari per la corretta valutazione della conformità alle norme (Accredia circolare rif.DC2017SSV369 del 14/12/2017).

Come da precedente distinguo è uno schema specifico e globale, che sottopone l’intero impianto privacy aziendale a certificazione di conformità.

Può inoltre essere applicato ai Titolari o Responsabili di trattamenti di dati non soggetti ai vincoli

normativi dell’EU, che necessitano di dimostrare la previsione di garanzie adeguate circa la conformità alle norme sul trattamento dei dati personali.

Lo schema valuta l’assenza di inadeguatezze procedurali che possano creare diseguaglianze o

discriminazione negli individui oggetto del trattamento secondo i principi espressi dall’art. 8 paragrafo 1 della Carta dei diritti fondamentali dell’EU e l’art. 16 paragrafo 1 del Trattato di Lisbona.

Tale condizione deve passare attraverso il riordino dell’intero patrimonio informativo dell’organizzazione, supportato da una approfondita valutazione dei rischi e laddove necessario, conseguente valutazione d’impatto che il trattamento dei dati personali può comportare per i soggetti interessati.

Va precisato pertanto che l’Accreditamento rilasciato da Accredia è da intendersi volontario, e non regolamentato ai sensi degli artt. 42 e 43 dell’EU Reg. 679/2016.

In conclusione, in attesa dell’approvazione dei criteri e dei requisiti aggiuntivi per l’accreditamento, la certificazione accreditata può: « (…) costituire una garanzia e atto di diligenza verso le parti interessate dell’adozione volontaria di un sistema di analisi e controllo dei principi e delle norme di riferimento».

Fonte:

Gdpr, certificazione e accreditamento: che c’è da sapere