{"id":2232,"date":"2017-01-19T09:29:25","date_gmt":"2017-01-19T08:29:25","guid":{"rendered":"https:\/\/blog.europrivacy.org\/?p=2232"},"modified":"2017-01-24T07:17:07","modified_gmt":"2017-01-24T06:17:07","slug":"certification-in-gdpr","status":"publish","type":"post","link":"https:\/\/blog.europrivacy.info\/it\/2017\/01\/19\/certification-in-gdpr\/","title":{"rendered":"LE CERTIFICAZIONI NEL GDPR"},"content":{"rendered":"<p><strong>Premessa<\/strong><\/p>\n<p>Fra le novit\u00e0 previste dal GDPR per poter dimostrare la propria conformit\u00e0 alla normativa vi sono i codici di condotta e le certificazioni. Si tratta di meccanismi ai quale i Titolari e i responsabili possono aderire volontariamente.<\/p>\n<p>Per quanto attiene le certificazioni Europrivacy ha cercato di mappare, con anche il contributo di Alessandro Vallega (che ha anche realizzato lo schema allegato) e Sergio Fumagalli,\u00a0non senza difficolt\u00e0, quanto prevede il GDPR.<\/p>\n<p><a href=\"https:\/\/blog.europrivacy.org\/wp-content\/uploads\/2017\/01\/Certificazioni.jpg\"><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-full wp-image-2233\" src=\"https:\/\/blog.europrivacy.org\/wp-content\/uploads\/2017\/01\/Certificazioni.jpg\" alt=\"\" width=\"960\" height=\"540\" srcset=\"https:\/\/blog.europrivacy.info\/wp-content\/uploads\/2017\/01\/Certificazioni.jpg 960w, https:\/\/blog.europrivacy.info\/wp-content\/uploads\/2017\/01\/Certificazioni-300x169.jpg 300w, https:\/\/blog.europrivacy.info\/wp-content\/uploads\/2017\/01\/Certificazioni-600x338.jpg 600w, https:\/\/blog.europrivacy.info\/wp-content\/uploads\/2017\/01\/Certificazioni-660x371.jpg 660w\" sizes=\"auto, (max-width: 960px) 100vw, 960px\" \/><\/a><\/p>\n<p>Ne esce un quadro complesso ed articolato, che lascia aperte diverse interpretazioni e pi\u00f9 di un dubbio.<\/p>\n<p>Ma andiamo con ordine.<\/p>\n<p><strong>Cosa \u00e8 una certificazione<\/strong><\/p>\n<p>A livello normativo le certificazioni sono regolate dall\u2019articolo 42, che recita al comma 1:<\/p>\n<p style=\"padding-left: 30px;\"><em>Gli Stati membri, le autorit\u00e0 di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l&#8217;istituzione di <strong>meccanismi di certificazione della protezione dei dati nonch\u00e9 di sigilli e marchi di protezione dei dati<\/strong> allo scopo di <strong>dimostrare la conformit\u00e0 al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento<\/strong>. Sono tenute in considerazione le esigenze specifiche delle micro, piccole e medie imprese. <\/em><\/p>\n<p>L\u2019articolo 42 precisa tuttavia che<em>:<\/em><\/p>\n<p style=\"padding-left: 30px;\"><strong><em>La certificazione ai sensi del presente articolo non riduce la responsabilit\u00e0 del titolare del trattamento o del responsabile del trattamento riguardo alla conformit\u00e0 al presente regolamento e lascia impregiudicati i compiti e i poteri delle autorit\u00e0 di controllo competenti a norma degli articoli 55 o 56. <\/em><\/strong><\/p>\n<p>e che una certificazione non ha valore assoluto, ma ha una scadenza temporale (Articolo 42 comma 7) salvo revoca anticipata:<\/p>\n<p style=\"padding-left: 30px;\"><em>La certificazione \u00e8 rilasciata al titolare del trattamento o responsabile del trattamento per un periodo massimo di <strong>tre anni<\/strong> e pu\u00f2 essere rinnovata alle stesse condizioni purch\u00e9 continuino a essere soddisfatti i requisiti pertinenti. La certificazione \u00e8 <strong>revocata<\/strong>, se del caso, dagli organismi di certificazione di cui all&#8217;articolo 43 o dall&#8217;autorit\u00e0 di controllo competente, a seconda dei casi, qualora non siano o non siano pi\u00f9 soddisfatti i requisiti per la certificazione.<\/em><\/p>\n<p>Quindi, in sintesi una certificazione:<\/p>\n<ul>\n<li>\u00e8 volontaria<\/li>\n<li>aiuta a dimostrare la propria conformit\u00e0 al GDPR, ma non riduce la responsabilit\u00e0 di titolari e responsabili<\/li>\n<li>ha una durata massima di 3 anni, dopo di che deve essere rinnovata<\/li>\n<li>pu\u00f2 essere revocata.<\/li>\n<\/ul>\n<p><strong>Chi pu\u00f2 rilasciarla<\/strong><\/p>\n<p>Chiarito cosa siano le certificazioni, c\u2019\u00e8 da capire chi pu\u00f2 rilasciarle.<\/p>\n<p>Di questo si occupa in prima istanza il comma 5 dell\u2019articolo 42:<\/p>\n<p style=\"padding-left: 30px;\"><em>La certificazione ai sensi del presente articolo \u00e8 rilasciata dagli <strong>ORGANISMI DI CERTIFICAZIONE DI CUI ALL&#8217;ARTICOLO 43<\/strong> o dall&#8217;<strong>AUTORIT\u00c0 DI CONTROLLO COMPETENTE in base ai criteri approvati da tale autorit\u00e0 di controllo competente ai sensi dell&#8217;articolo 58, paragrafo 3, o dal COMITATO, ai sensi dell&#8217;articolo 63.<\/strong> Ove i criteri siano approvati dal comitato, ci\u00f2 \u00a0\u00a0pu\u00f2 risultare in una certificazione comune, il sigillo europeo per la protezione dei dati. <\/em><\/p>\n<p>La lettura dell\u2019articolo non \u00e8 univoca; non \u00e8 chiaro se intenda attribuire la possibilit\u00e0 di rilasciare certificazioni anche da parte del Comitato o se a questo \u00e8 attribuito il solo compito di approvare i criteri di certificazione.<\/p>\n<p>Quindi le certificazioni possono essere rilasciate da diversi organismi:<\/p>\n<ul>\n<li><em>il Comitato (Comitato europeo per la protezione dei dati)<\/em><a href=\"#_ftn1\" name=\"_ftnref1\"><em><strong>[1]<\/strong><\/em><\/a><\/li>\n<li>l\u2019Autorit\u00e0 di Controllo Competente (Garante per la protezione dei dati personali)<\/li>\n<li>Gli Organismi di Certificazione<\/li>\n<\/ul>\n<p>Per quanto riguarda le <strong>AUTORIT\u00c0 DI CONTROLLO<\/strong> l\u2019articolo 58 al comma 3 recita:<\/p>\n<p style=\"padding-left: 30px;\"><em>Ogni autorit\u00e0 di controllo ha tutti i poteri autorizzativi e consultivi seguenti: <\/em><\/p>\n<p style=\"padding-left: 30px;\"><em>\u2026<\/em><\/p>\n<p style=\"padding-left: 30px;\"><em>e) <strong>accreditare gli organismi di certificazione <\/strong>a norma dell&#8217;articolo 43; <\/em><\/p>\n<p style=\"padding-left: 30px;\"><em>f) <strong>rilasciare certificazioni<\/strong> e <strong>approvare i criteri di certificazione<\/strong> conformemente all&#8217;articolo 42, paragrafo 5;<\/em><\/p>\n<p style=\"padding-left: 30px;\"><em>\u2026<\/em><\/p>\n<p>Inoltre spetta all\u2019Autorit\u00e0 di Controllo, come previsto dall\u2019articolo 57 approvare i criteri di certificazione:<\/p>\n<p style=\"padding-left: 30px;\"><em>incoraggia l&#8217;istituzione di meccanismi di certificazione della protezione dei dati nonch\u00e9 di sigilli e marchi di protezione dei dati a norma dell&#8217;articolo 42, paragrafo 1, e <strong>approva i criteri di certificazione<\/strong> a norma dell&#8217;articolo 42, paragrafo 5; <\/em><\/p>\n<p>Quindi l\u2019<strong>AUTORIT\u00c0 DI CONTROLLO <\/strong>svolge contemporaneamente diversi ruoli fra i quali:<\/p>\n<ul>\n<li>approva i criteri di accreditamento<\/li>\n<li>accredita gli organismi di certificazione<\/li>\n<li>approva i criteri di certificazione<\/li>\n<li>rilascia certificazioni.<\/li>\n<\/ul>\n<p>Per quanto attiene gli <strong>ORGANISMI DI CERTIFICAZIONE, <\/strong>la capacit\u00e0 di rilasciare certificazione \u00e8 regolata dall\u2019articolo 43, che prevede al comma 1:<\/p>\n<p style=\"padding-left: 30px;\"><em>\u2026Gli Stati membri garantiscono che tali <strong>organismi di certificazione<\/strong> siano accreditati da uno o entrambi dei seguenti organismi:<\/em><\/p>\n<p style=\"padding-left: 30px;\"><em>a) <strong>dall&#8217;autorit\u00e0 di controllo<\/strong> competente ai sensi degli articoli 55 o 56; <\/em><\/p>\n<p style=\"padding-left: 30px;\"><em>b) <strong>dall&#8217;organismo nazionale di accreditamento<\/strong> designato in virt\u00f9 del regolamento (CE) n. 765\/2008 del Parlamento europeo e del Consiglio conformemente alla norma EN-ISO\/IEC 17065\/2012 e ai requisiti aggiuntivi stabiliti dall&#8217;autorit\u00e0 di controllo competente ai sensi degli articoli 55 o 56. <\/em><\/p>\n<p>L\u2019articolo non cita, fra i soggetti che possono accreditare gli <strong>ORGANISMI DI CERTIFICAZIONE, <\/strong>il<strong> COMITATO, <\/strong>come invece prevede l\u2019articolo 70 comma 1 punto o):<\/p>\n<p style=\"padding-left: 30px;\"><em>o) effettua l&#8217;accreditamento di organismi di certificazione e il suo riesame periodico a norma dell&#8217;articolo 43 e tiene un registro pubblico di organismi accreditati a norma dell&#8217;articolo 43, paragrafo 6, e dei titolari o responsabili del trattamento accreditati, stabiliti in paesi terzi a norma dell&#8217;articolo 42, paragrafo 7;<\/em><\/p>\n<p>I criteri con cui \u00e8 possibile accreditare gli organismi di certificazione sono indicati al comma 2 sempre dell\u2019articolo 43:<\/p>\n<p><em>Gli organismi di certificazione di cui al paragrafo 1 sono accreditati in conformit\u00e0 di tale paragrafo solo se: <\/em><\/p>\n<p style=\"padding-left: 30px;\"><em>a) hanno dimostrato in modo convincente all&#8217;autorit\u00e0 di controllo competente di essere indipendenti e competenti riguardo al contenuto della certificazione; <\/em><\/p>\n<p style=\"padding-left: 30px;\"><em>b) si sono impegnati a rispettare i criteri di cui all&#8217;articolo 42, paragrafo 5, e approvati dall&#8217;autorit\u00e0 di controllo competente ai sensi degli articoli 55 o 56 o dal comitato, ai sensi dell&#8217;articolo 63; <\/em><\/p>\n<p style=\"padding-left: 30px;\"><em>c) hanno istituito procedure per il rilascio, il riesame periodico e il ritiro delle certificazioni, dei sigilli e dei marchi di protezione dei dati; <\/em><\/p>\n<p style=\"padding-left: 30px;\"><em>d) hanno istituito procedure e strutture atte a gestire i reclami relativi a violazioni della certificazione o il modo in cui la certificazione \u00e8 stata o \u00e8 attuata dal titolare del trattamento o dal responsabile del trattamento e a rendere dette procedure e strutture trasparenti per gli interessati e il pubblico; e <\/em><\/p>\n<p style=\"padding-left: 30px;\"><em>e) hanno dimostrato in modo convincente all&#8217;autorit\u00e0 di controllo competente che i compiti e le funzioni da loro svolti non danno adito a conflitto di interessi. <\/em><\/p>\n<p>Inoltre tale accreditamento pu\u00f2 avvenire solo dopo che l\u2019Autorit\u00e0 di Controllo o il Comitato abbiano approvato specifici criteri di accreditamento, cos\u00ec come previsto dal comma 3 sempre dell\u2019articolo 43.<\/p>\n<p style=\"padding-left: 30px;\"><strong><em>L&#8217;accreditamento degli organi di certificazione di cui ai paragrafi 1 e 2 del presente articolo ha luogo in base ai criteri approvati<\/em><\/strong><em> <strong>DALL&#8217;AUTORIT\u00c0 DI CONTROLLO COMPETENTE<\/strong> ai sensi degli articoli 55 o 56 o dal <strong>COMITATO<\/strong>, ai sensi dell&#8217;articolo 63. In caso di accreditamento ai sensi del paragrafo 1, lettera b), del presente articolo, tali requisiti integrano quelli previsti dal regolamento (CE) n. 765\/2008 nonch\u00e9 le norme tecniche che definiscono i metodi e le procedure degli organismi di certificazione. <\/em><\/p>\n<p>Tali requisiti sono resi pubblici, cos\u00ec come previsto dal comma 6 dell\u2019articolo 43:<\/p>\n<p style=\"padding-left: 30px;\"><em>I requisiti di cui al paragrafo 3 del presente articolo e i criteri di cui all&#8217;articolo 42, paragrafo 5, sono resi pubblici dall&#8217;<strong>AUTORIT\u00c0 DI CONTROLLO <\/strong>in forma facilmente accessibile. Le autorit\u00e0 di controllo provvedono a trasmetterli anche al comitato. Il <strong>COMITATO<\/strong> raccoglie in un registro tutti i meccanismi di certificazione e i sigilli di protezione dei dati e li rende pubblici con qualsiasi mezzo appropriato. <\/em><\/p>\n<p>Per completare il quadro vanno inoltre ricordati ulteriori ruoli del Comitato.<\/p>\n<p>Il comma 5 dell\u2019articolo 42 gi\u00e0 citato recita:<\/p>\n<p style=\"padding-left: 30px;\"><em>Ove i criteri siano approvati dal comitato, ci\u00f2 pu\u00f2 risultare in una certificazione comune, il sigillo europeo per la protezione dei dati.<\/em><\/p>\n<p>Quindi in sintesi, un <strong>ORGANISMO DI CERTIFICAZIONE <\/strong>\u00e8 accreditato a rilasciare certificazione da parte:<\/p>\n<ul>\n<li>dell\u2019<strong>Autorit\u00e0 di controllo<\/strong><\/li>\n<li>dell\u2019<strong>Organismo nazionale di accreditamento<\/strong><\/li>\n<\/ul>\n<ul>\n<li>del<strong> Comitato<\/strong><\/li>\n<\/ul>\n<p>dopo che:<\/p>\n<ul>\n<li>l\u2019<strong>Autorit\u00e0 di controllo<\/strong>, o<\/li>\n<li>il <strong>Comitato<\/strong><\/li>\n<\/ul>\n<p>abbiano definito i <strong>criteri di accreditamento<\/strong>, che devono essere resi pubblici.<\/p>\n<p>Al riguardo sembra quindi di interpretare che le certificazioni avranno una valenza diversa in funzione che i <strong>criteri di certificazione<\/strong> adottati siano quelli emessi da un\u2019Autorit\u00e0 di Controllo o dal Comitato.<\/p>\n<p><strong>Le linee guida<\/strong><\/p>\n<p>Isabelle Falque Pierrotin, presidente del WP29, nel corso di un suo intervento del 16 Marzo2016 ha dichiarato che il WP29 emetter\u00e0 una serie di linee guida fra le quali quelle relative alle certificazioni:<\/p>\n<p style=\"padding-left: 30px;\"><strong><em>Last<\/em><\/strong><em> but not least<strong>, certification<\/strong>, because there is a high expectation on that from the data controllers. They want something to translate the regulation into a simple-to-use tool, simple towards the end-users also. There are already discussions on the certification schemes. So we want to position the roles of the DPAs on this issue. <\/em><\/p>\n<p>Attualmente tali linee guida non sono disponibili.<\/p>\n<p><strong>Osservazioni<\/strong><\/p>\n<p>L\u2019analisi della normative evidenzia alcuni aspetti particolari.<\/p>\n<p>Il primo \u00e8 la mancanza, in pi\u00f9 di un caso, di coerenza interna nella norma, il che ne rende ancor pi\u00f9 complessa la lettura:<\/p>\n<ul>\n<li>la capacit\u00e0 di accreditare gli <strong>ORGANISMI DI CERTIFICAZIONE <\/strong>da parte del<strong> COMITATO <\/strong>\u00e8 citato solo nell\u2019articolo 70 comma 1 punto o) e non anche nell\u2019articolo 43 comma 1, come invece ci si aspetterebbe<\/li>\n<li>simmetricamente l\u2019approvazione dei criteri di certificazione da parte del <strong>COMITATO<\/strong> \u00e8 citato solo nell\u2019articolo 42 comma 5, e non anche nell\u2019articolo 64 <strong>Parere del comitato europeo per la protezione dei dati. <\/strong>Viceversa all\u2019articolo 70 comma\u00a01 punto q) fra i compiti del <strong>COMITATO<\/strong> c\u2019\u00e8 quello di fornire alla Commissione un parere in merito ai requisiti di certificazione di cui all&#8217;articolo 43, paragrafo 8.<\/li>\n<\/ul>\n<p>Il secondo aspetto \u00e8 che lo stesso adempimento \u00e8 in carico a 2 o pi\u00f9 entit\u00e0 diverse, come si pu\u00f2 evincere dallo schema riassuntivo degli attori coinvolti. Al riguardo non appare sempre chiaro se il livello delle attivit\u00e0 svolte dal Comitato o da un\u2019Autorit\u00e0 di controllo sia il medesimo (come gi\u00e0 accennato in precedenza).<\/p>\n<p>Qui sotto una possibile ricostruzione dell\u2019articolato intreccio di competenze:<\/p>\n<p>il COMITATO EUROPEO che:<\/p>\n<ul>\n<li>approva i criteri di accreditamento (art. 43 3)<\/li>\n<li>definisce i criteri di certificazione (art. 42 5)<\/li>\n<li><em>rilascia certificazioni (art. 42 5)<\/em><\/li>\n<li>accredita gli Organismi di certificazione (art. 70 1 o)<\/li>\n<\/ul>\n<p>l\u2019 AUTORIT\u00c0 DI CONTROLLO competente che;<\/p>\n<ul>\n<li>approva i criteri di accreditamento (art. 43 3)<\/li>\n<li>definisce i criteri di certificazione (art. 58 3f)<\/li>\n<li>rilascia certificazioni (art. 42 5)<\/li>\n<li>accredita gli Organismi di certificazione (art. 43 1)<\/li>\n<\/ul>\n<p>l\u2019ORGANISMO NAZIONALE DI ACCREDITAMENTO che:<\/p>\n<ul>\n<li>accredita gli Organismi di certificazione, basandosi sui criteri di accreditamento (art. 43 1)<\/li>\n<li>l\u2019ORGANISMO DI CERTIFICAZIONE accreditato dall\u2019Autorit\u00e0 di controllo o dal Comitato o dall\u2019Organismo nazionale di accreditamento che rilascia certificazioni (art. 42 5)<\/li>\n<\/ul>\n<p><strong>Conclusione<\/strong><\/p>\n<p>Dall\u2019analisi effettuata sembra che il processo per arrivare ad una certificazione\/schema di certificazione sia lungo e complesso e preveda fra i prerequisiti l\u2019approvazione di criteri di certificazione e di criteri di accreditamento.<\/p>\n<p>Non sono inoltre del tutto chiari i ruoli di alcuni organismi.<\/p>\n<p>Si quindi\u00a0pone il quesito di quali siano i reali requisiti affinch\u00e9 una certificazione\/schema di certificazione sia effettivamente conforme al GDPR e chi possa rilasciarla. Al riguardo non siamo in grado di formulare una risposta e quindi riteniamo opportuno sottoporre un quesito in tal senso all\u2019Autorit\u00e0 Garante.<\/p>\n<p><em><a href=\"#_ftnref1\" name=\"_ftn1\">[1]<\/a><\/em> Possibilit\u00e0 non chiaramente definita.<\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p>Vedi anche: <a href=\"https:\/\/blog.europrivacy.org\/it\/2017\/01\/22\/professional-certification-in-gdpr\/\">Le certificazioni professionali nel GDPR<\/a><\/p>","protected":false},"excerpt":{"rendered":"<p>Premessa Fra le novit\u00e0 previste dal GDPR per poter dimostrare la propria conformit\u00e0 alla normativa vi sono i codici di condotta e le certificazioni. Si tratta di meccanismi ai quale i Titolari e i responsabili possono aderire volontariamente. Per quanto attiene le certificazioni Europrivacy ha cercato di mappare, con anche il contributo di Alessandro Vallega\u2026 <span class=\"read-more\"><a href=\"https:\/\/blog.europrivacy.info\/it\/2017\/01\/19\/certification-in-gdpr\/\">Leggi tutto &raquo;<\/a><\/span><\/p>\n","protected":false},"author":42,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[233],"tags":[],"class_list":["post-2232","post","type-post","status-publish","format-standard","hentry","category-codes-of-conduct-and-certification"],"_links":{"self":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2232","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/users\/42"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/comments?post=2232"}],"version-history":[{"count":8,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2232\/revisions"}],"predecessor-version":[{"id":2327,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2232\/revisions\/2327"}],"wp:attachment":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/media?parent=2232"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/categories?post=2232"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/tags?post=2232"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}