Premessa
Fra le novità previste dal GDPR per poter dimostrare la propria conformità alla normativa vi sono i codici di condotta e le certificazioni. Si tratta di meccanismi ai quale i Titolari e i responsabili possono aderire volontariamente.
Per quanto attiene le certificazioni Europrivacy ha cercato di mappare, con anche il contributo di Alessandro Vallega (che ha anche realizzato lo schema allegato) e Sergio Fumagalli, non senza difficoltà, quanto prevede il GDPR.
Ne esce un quadro complesso ed articolato, che lascia aperte diverse interpretazioni e più di un dubbio.
Ma andiamo con ordine.
Cosa è una certificazione
A livello normativo le certificazioni sono regolate dall’articolo 42, che recita al comma 1:
Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento. Sono tenute in considerazione le esigenze specifiche delle micro, piccole e medie imprese.
L’articolo 42 precisa tuttavia che:
La certificazione ai sensi del presente articolo non riduce la responsabilità del titolare del trattamento o del responsabile del trattamento riguardo alla conformità al presente regolamento e lascia impregiudicati i compiti e i poteri delle autorità di controllo competenti a norma degli articoli 55 o 56.
e che una certificazione non ha valore assoluto, ma ha una scadenza temporale (Articolo 42 comma 7) salvo revoca anticipata:
La certificazione è rilasciata al titolare del trattamento o responsabile del trattamento per un periodo massimo di tre anni e può essere rinnovata alle stesse condizioni purché continuino a essere soddisfatti i requisiti pertinenti. La certificazione è revocata, se del caso, dagli organismi di certificazione di cui all’articolo 43 o dall’autorità di controllo competente, a seconda dei casi, qualora non siano o non siano più soddisfatti i requisiti per la certificazione.
Quindi, in sintesi una certificazione:
- è volontaria
- aiuta a dimostrare la propria conformità al GDPR, ma non riduce la responsabilità di titolari e responsabili
- ha una durata massima di 3 anni, dopo di che deve essere rinnovata
- può essere revocata.
Chi può rilasciarla
Chiarito cosa siano le certificazioni, c’è da capire chi può rilasciarle.
Di questo si occupa in prima istanza il comma 5 dell’articolo 42:
La certificazione ai sensi del presente articolo è rilasciata dagli ORGANISMI DI CERTIFICAZIONE DI CUI ALL’ARTICOLO 43 o dall’AUTORITÀ DI CONTROLLO COMPETENTE in base ai criteri approvati da tale autorità di controllo competente ai sensi dell’articolo 58, paragrafo 3, o dal COMITATO, ai sensi dell’articolo 63. Ove i criteri siano approvati dal comitato, ciò può risultare in una certificazione comune, il sigillo europeo per la protezione dei dati.
La lettura dell’articolo non è univoca; non è chiaro se intenda attribuire la possibilità di rilasciare certificazioni anche da parte del Comitato o se a questo è attribuito il solo compito di approvare i criteri di certificazione.
Quindi le certificazioni possono essere rilasciate da diversi organismi:
- il Comitato (Comitato europeo per la protezione dei dati)[1]
- l’Autorità di Controllo Competente (Garante per la protezione dei dati personali)
- Gli Organismi di Certificazione
Per quanto riguarda le AUTORITÀ DI CONTROLLO l’articolo 58 al comma 3 recita:
Ogni autorità di controllo ha tutti i poteri autorizzativi e consultivi seguenti:
…
e) accreditare gli organismi di certificazione a norma dell’articolo 43;
f) rilasciare certificazioni e approvare i criteri di certificazione conformemente all’articolo 42, paragrafo 5;
…
Inoltre spetta all’Autorità di Controllo, come previsto dall’articolo 57 approvare i criteri di certificazione:
incoraggia l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati a norma dell’articolo 42, paragrafo 1, e approva i criteri di certificazione a norma dell’articolo 42, paragrafo 5;
Quindi l’AUTORITÀ DI CONTROLLO svolge contemporaneamente diversi ruoli fra i quali:
- approva i criteri di accreditamento
- accredita gli organismi di certificazione
- approva i criteri di certificazione
- rilascia certificazioni.
Per quanto attiene gli ORGANISMI DI CERTIFICAZIONE, la capacità di rilasciare certificazione è regolata dall’articolo 43, che prevede al comma 1:
…Gli Stati membri garantiscono che tali organismi di certificazione siano accreditati da uno o entrambi dei seguenti organismi:
a) dall’autorità di controllo competente ai sensi degli articoli 55 o 56;
b) dall’organismo nazionale di accreditamento designato in virtù del regolamento (CE) n. 765/2008 del Parlamento europeo e del Consiglio conformemente alla norma EN-ISO/IEC 17065/2012 e ai requisiti aggiuntivi stabiliti dall’autorità di controllo competente ai sensi degli articoli 55 o 56.
L’articolo non cita, fra i soggetti che possono accreditare gli ORGANISMI DI CERTIFICAZIONE, il COMITATO, come invece prevede l’articolo 70 comma 1 punto o):
o) effettua l’accreditamento di organismi di certificazione e il suo riesame periodico a norma dell’articolo 43 e tiene un registro pubblico di organismi accreditati a norma dell’articolo 43, paragrafo 6, e dei titolari o responsabili del trattamento accreditati, stabiliti in paesi terzi a norma dell’articolo 42, paragrafo 7;
I criteri con cui è possibile accreditare gli organismi di certificazione sono indicati al comma 2 sempre dell’articolo 43:
Gli organismi di certificazione di cui al paragrafo 1 sono accreditati in conformità di tale paragrafo solo se:
a) hanno dimostrato in modo convincente all’autorità di controllo competente di essere indipendenti e competenti riguardo al contenuto della certificazione;
b) si sono impegnati a rispettare i criteri di cui all’articolo 42, paragrafo 5, e approvati dall’autorità di controllo competente ai sensi degli articoli 55 o 56 o dal comitato, ai sensi dell’articolo 63;
c) hanno istituito procedure per il rilascio, il riesame periodico e il ritiro delle certificazioni, dei sigilli e dei marchi di protezione dei dati;
d) hanno istituito procedure e strutture atte a gestire i reclami relativi a violazioni della certificazione o il modo in cui la certificazione è stata o è attuata dal titolare del trattamento o dal responsabile del trattamento e a rendere dette procedure e strutture trasparenti per gli interessati e il pubblico; e
e) hanno dimostrato in modo convincente all’autorità di controllo competente che i compiti e le funzioni da loro svolti non danno adito a conflitto di interessi.
Inoltre tale accreditamento può avvenire solo dopo che l’Autorità di Controllo o il Comitato abbiano approvato specifici criteri di accreditamento, così come previsto dal comma 3 sempre dell’articolo 43.
L’accreditamento degli organi di certificazione di cui ai paragrafi 1 e 2 del presente articolo ha luogo in base ai criteri approvati DALL’AUTORITÀ DI CONTROLLO COMPETENTE ai sensi degli articoli 55 o 56 o dal COMITATO, ai sensi dell’articolo 63. In caso di accreditamento ai sensi del paragrafo 1, lettera b), del presente articolo, tali requisiti integrano quelli previsti dal regolamento (CE) n. 765/2008 nonché le norme tecniche che definiscono i metodi e le procedure degli organismi di certificazione.
Tali requisiti sono resi pubblici, così come previsto dal comma 6 dell’articolo 43:
I requisiti di cui al paragrafo 3 del presente articolo e i criteri di cui all’articolo 42, paragrafo 5, sono resi pubblici dall’AUTORITÀ DI CONTROLLO in forma facilmente accessibile. Le autorità di controllo provvedono a trasmetterli anche al comitato. Il COMITATO raccoglie in un registro tutti i meccanismi di certificazione e i sigilli di protezione dei dati e li rende pubblici con qualsiasi mezzo appropriato.
Per completare il quadro vanno inoltre ricordati ulteriori ruoli del Comitato.
Il comma 5 dell’articolo 42 già citato recita:
Ove i criteri siano approvati dal comitato, ciò può risultare in una certificazione comune, il sigillo europeo per la protezione dei dati.
Quindi in sintesi, un ORGANISMO DI CERTIFICAZIONE è accreditato a rilasciare certificazione da parte:
- dell’Autorità di controllo
- dell’Organismo nazionale di accreditamento
- del Comitato
dopo che:
- l’Autorità di controllo, o
- il Comitato
abbiano definito i criteri di accreditamento, che devono essere resi pubblici.
Al riguardo sembra quindi di interpretare che le certificazioni avranno una valenza diversa in funzione che i criteri di certificazione adottati siano quelli emessi da un’Autorità di Controllo o dal Comitato.
Le linee guida
Isabelle Falque Pierrotin, presidente del WP29, nel corso di un suo intervento del 16 Marzo2016 ha dichiarato che il WP29 emetterà una serie di linee guida fra le quali quelle relative alle certificazioni:
Last but not least, certification, because there is a high expectation on that from the data controllers. They want something to translate the regulation into a simple-to-use tool, simple towards the end-users also. There are already discussions on the certification schemes. So we want to position the roles of the DPAs on this issue.
Attualmente tali linee guida non sono disponibili.
Osservazioni
L’analisi della normative evidenzia alcuni aspetti particolari.
Il primo è la mancanza, in più di un caso, di coerenza interna nella norma, il che ne rende ancor più complessa la lettura:
- la capacità di accreditare gli ORGANISMI DI CERTIFICAZIONE da parte del COMITATO è citato solo nell’articolo 70 comma 1 punto o) e non anche nell’articolo 43 comma 1, come invece ci si aspetterebbe
- simmetricamente l’approvazione dei criteri di certificazione da parte del COMITATO è citato solo nell’articolo 42 comma 5, e non anche nell’articolo 64 Parere del comitato europeo per la protezione dei dati. Viceversa all’articolo 70 comma 1 punto q) fra i compiti del COMITATO c’è quello di fornire alla Commissione un parere in merito ai requisiti di certificazione di cui all’articolo 43, paragrafo 8.
Il secondo aspetto è che lo stesso adempimento è in carico a 2 o più entità diverse, come si può evincere dallo schema riassuntivo degli attori coinvolti. Al riguardo non appare sempre chiaro se il livello delle attività svolte dal Comitato o da un’Autorità di controllo sia il medesimo (come già accennato in precedenza).
Qui sotto una possibile ricostruzione dell’articolato intreccio di competenze:
il COMITATO EUROPEO che:
- approva i criteri di accreditamento (art. 43 3)
- definisce i criteri di certificazione (art. 42 5)
- rilascia certificazioni (art. 42 5)
- accredita gli Organismi di certificazione (art. 70 1 o)
l’ AUTORITÀ DI CONTROLLO competente che;
- approva i criteri di accreditamento (art. 43 3)
- definisce i criteri di certificazione (art. 58 3f)
- rilascia certificazioni (art. 42 5)
- accredita gli Organismi di certificazione (art. 43 1)
l’ORGANISMO NAZIONALE DI ACCREDITAMENTO che:
- accredita gli Organismi di certificazione, basandosi sui criteri di accreditamento (art. 43 1)
- l’ORGANISMO DI CERTIFICAZIONE accreditato dall’Autorità di controllo o dal Comitato o dall’Organismo nazionale di accreditamento che rilascia certificazioni (art. 42 5)
Conclusione
Dall’analisi effettuata sembra che il processo per arrivare ad una certificazione/schema di certificazione sia lungo e complesso e preveda fra i prerequisiti l’approvazione di criteri di certificazione e di criteri di accreditamento.
Non sono inoltre del tutto chiari i ruoli di alcuni organismi.
Si quindi pone il quesito di quali siano i reali requisiti affinché una certificazione/schema di certificazione sia effettivamente conforme al GDPR e chi possa rilasciarla. Al riguardo non siamo in grado di formulare una risposta e quindi riteniamo opportuno sottoporre un quesito in tal senso all’Autorità Garante.
[1] Possibilità non chiaramente definita.
Vedi anche: Le certificazioni professionali nel GDPR