Codici di Condotta e Certificazioni a norma GDPR sono tra le tematiche dietro le quali vi sono in gioco interessi economici e lobbying di enorme portata; ma sono anche tra le tematiche più incerte, controverse e sulle quali si è anche assistito alla proliferazione di convegni e corsi con contenuti a volte tra i più fuorvianti, ambigui e non sempre rappresentativi della realtà odierna sulla questione; fino ad arrivare a soggetti che più o meno ambiguamente dichiaravano di rilasciare certificazioni a norma GDPR, anche se dopo il comunicato della DPA del 19/07/2017, quasi tutti hanno gradualemnte rimodulato la comunicazione sul tema; ma a sostenere queste cose prima del 19/07 eravamo in pochi.
Quello che comunque andrebbe sempre chiarito in ogni contesto, per non alimentare false aspettative, e che si può affermare con certezza oggi sul tema Codici di Condotta e Certificazioni è che:
- La certificazione ai sensi del GDPR è per ora solo una previsione non ancora attuata.
- Chi propone di vendere e poter applicare oggi un codice di condotta ai sensi del GDPR non tiene in debita considerazione il contento della normativa e la posizione espressa dall’Autorità Garante
- Non esiste ancora nessuno strumento certificato e nessun certificatore accreditato ai sensi del GDPR.
Quanto tempo sarà necessario perché queste previsioni si realizzino nessuno lo può sapere e nessuno lo può dire con certezza; potrebbe anche essere che ci vorrà molto tempo.
Ma chiariamo e andiamo per ordine.
Certificazioni e codici di condotta: cosa sono e a cosa servono
Le certificazioni ai sensi art.42 UE 2016/679 sono uno strumento volontario, che si affiancano a tutti quelli obbligatori e a quelli consigliati indicati nel regolamento.
L’applicazione di un codice di condotta approvato o di un meccanismo di certificazione approvato può essere utilizzata come elemento (tra i tanti e non il solo) per dimostrare la conformità e il rispetto degli obblighi da parte del titolare del trattamento.
La certificazione ai sensi del GDPR non riduce la responsabilità del titolare del trattamento o del responsabile del trattamento riguardo alla conformità al regolamento e lascia impregiudicati i compiti e i poteri delle autorità di controllo competenti.
Sconto Sanzionatorio – Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e fissare l’ammontare della stessa affinché questa risulti, per ogni singolo caso, effettiva, proporzionata e dissuasiva, si potrà tenere in debito conto anche dell’adesione ai codici di condotta approvati ai sensi dell’articolo 40 o ai meccanismi di certificazione approvati ai sensi dell’articolo 42.
Cosa è possibile certificare
Sul tema esistono due teorie contrapposte, quella a visione restrittiva e quella di portata estensiva.
Visione restrittiva – La possibilità di certificazione è limitata ai soli trattamenti, come in effetti recita la norma; cioè è consentito certificare solo il modo di trattare i dati e non limitatamente al solo aspetto securitario.
Visione estensiva – Coloro che propendono per la visione estensiva delle norme sulla certificazione tendono a considerare certificabile tutto ciò che nel regolamento può essere ritenuto, utilizzando anche l’interpretazione del principio di accountability, strumento utile a poter dimostrare la conformità al regolamento. Quindi con questa interpretazione si potrebbe arrivare a certificare non solo i trattamenti, ma anche DPO, titolare, responsabile, DPIA, privacy by design, privacy by default, misure di sicurezza, codice di condotta e, per la gioia dei certificatori, chi più ne ha più ne metta.
Anche all’interno della DPA sarebbe in atto un dibattito sulle due visioni per definire cosa debba essere oggetto di certificazione e cosa no e ad oggi sembrerebbe non esistere ancora una linea definita a riguardo.
Proposte delle delegazioni
Nei tavoli di lavoro a Bruxelles tra le proposte delle delegazioni italiane vi sarebbe quella di imporre una sorta di obbligo di certificazione privacy per i public procurement; cioè si vorrebbe introdurre un obbligo a dotarsi di certificazione privacy ai sensi del GDPR per poter accedere alla partecipazione di specifici bandi di gara delle PA.
Tra le leve di convincimento utilizzate figura quella per cui si starebbe cercando di far passare questa proposta anche come strumento utile per incentivare l’adozione delle certificazioni. Strano modo, almeno a detta dello scrivente, quello di tentare di spacciare un aggiuntivo nuovo obbligo come un mezzo di incentivazione all’adozione di uno strumento volontario come le certificazioni GDPR.
Altre delegazioni si sono spinte anche oltre con proposte volte a voler introdurre certificazioni obbligatorie sui prodotti. Secondo queste proposte, prodotti privi di certificazione privacy non sarebbero immettibili sul mercato.
Previsioni di adozione
Ad oggi i criteri che valgono per gli enti di certificazione italiana non hanno alcuna specificità Privacy al senso del regolamento UE 2016/679 e sarà necessaria l’approvazione dei criteri per l’accreditamento degli organi di certificazione da parte dall’autorità di controllo competente o dal comitato (Art. 43 – Art 55. 56) ovvero la definizione e l’approvazione degli ulteriori requisiti che integrano quelli previsti dal regolamento (CE) n. 765/2008 per l’accreditamento attraverso l’organismo nazionale di accreditamento nonché delle norme tecniche che definiscono i metodi e le procedure degli organismi di certificazione.
Inoltre sembrerebbe sussistere la volontà di portare la gestione di queste materie a livello europeo.
Quanto tempo potrà essere necessario perché il gruppo dei garanti europei decida di attivare le certificazioni e i codici di condotta nessuno lo può sapere con certezza perché prima che possano essere emanate le linee guida dal comitato europeo dei garanti si rendono necessari alcuni passi propedeutici. Sarà necessaria la piena attuazione del regolamento con la costituzione e l’insediamento del gruppo dei garanti europei, le cui linee guida avranno portata normativa differente (le linee guida del comitato saranno vincolanti per le autorità degli Stati menbri) da quelle attualmente emanate dal wp29 (non sono vincolanti per le autorità degli Stati menbri); sarà necessario che il comitato stabilisca quali saranno i criteri di certificazione, stabilisca quali saranno i criteri relativi agli enti che potranno essere certificati. Risulta inoltre difficile poter fare una previsione a livello dei singoli Stati membri in quanto le certificazioni non saranno probabilmente lasciate in capo alle autorità nazionali.
Inoltre, qualora un progetto di codice di condotta si riferisca alle attività di trattamento in vari Stati membri (Art.40 p.7) l’autorità di controllo competente deve chiedere al comotitato dei garanti di formula un parere sulla conformità del progetto di codice di condotta al GDPR e qualora necessario anche sulla previsione di adeguate garanzie (adesione ai codici di condotta anche di titolari del trattamento o i responsabili del trattamento che non sono soggetti al presente regolamento – Art.40 p.3).
Problematiche da risolvere
Le problematiche appaiono diverse e di differente portata a seconda dei soggetti certificatori, siano essi organismi di certificazione accreditati, autorità di controllo, comitato dei garanti.
Il problema per le autorità risiede anche nel fatto che se queste consentissero a qualche soggetto di certificare, su quali basi e in quale modo potrebbero poi disconoscere il certificato?
I certificati risulteranno validi in quanto conformi e corrispondenti alle line guida delle autorità; saranno rilasciati da organismi riconosciuti dalle autorità che vigileranno sul certificato. Proprio per tutto questo il certificato potrebbe apparire come una sorta di anticipazione di giudizio. Una presunzione di anticipazione di giudizio che introdurrebbe quindi tutta una nuova serie di complicazioni a posteriori in caso di accertamento di violazioni.
L’interesse che da subito si è manifestato sui codici di condotta e le certificazioni previste nel GDPR è stato enorme e ha indotto certificatori e altri portatori di interessi economici a schierarsi in prima fila per cercare di conquistare un ‘posto al sole’.
Un fenomeno che, se non ben governato, rischierà di produrre non solo problemi di cooerenza fra gli Stati membri, ma anche effetti simili a quelli che si ebbero ai tempi dell’introduzione del DPS, che da strumento nella cui idea del legislatore doveva essere una specie di vademecum che aiutava l’azienda a fare un ceckup periodico, una sorta di ‘revisione annuale’ della ‘macchina azienda’, è stato percepito invece come un inutile adempimento burocratico che veniva proposto e venduto a prezzi esorbitanti anche a officine, salumieri e carrozzieri, approfittando della loro non conoscenza sulla materia e facendo leva sulle paure sanzionatorie. Questo contribuì a provocare un diffuso risentimento nel paese e anche per questo il DPS venne reso non più obbligatorio.
La sola cosa certa è che ad oggi non esiste ancora alcuna possibilità di certificare la conformità di uno specifico trattamento al GDPR; non esiste la possibilità di certificare il DPO (o altre figure) conformemente al regolamento e tanto meno esiste la possibilità di certificare una generalizzata conformità aziendale al GDPR. Per questo e per quelli che potranno essere gli orientamenti fututi sul tema, ritengo sia opportuno affrontare e sviluppoare le tematiche inerenti ai codici di condotta e alle certificazioni, ma questo andrebbe fatto anche con prospetive e visioni che vadano oltre alla sola dimensione nazinale del fenomeno.