![](\"http:\/\/tresoldi.net\/europrivacy\/blog_img\/CertificazioniGDPR_Chimera.png\")
<\/p>\n<\/p>\n
<\/p>\n
Codici di Condotta e Certificazioni a norma GDPR sono tra le tematiche dietro le quali vi sono in gioco interessi economici e lobbying di enorme portata; ma sono anche tra le tematiche pi\u00f9 incerte, controverse e sulle quali si \u00e8 anche assistito alla proliferazione di convegni e corsi con contenuti a volte tra i pi\u00f9 fuorvianti, ambigui e non sempre rappresentativi della realt\u00e0 odierna sulla questione; fino ad arrivare a soggetti che pi\u00f9 o meno ambiguamente dichiaravano di rilasciare certificazioni a norma GDPR, anche se dopo il comunicato della DPA del 19\/07\/2017<\/a>, quasi tutti hanno gradualemnte rimodulato la comunicazione sul tema; ma a sostenere queste cose prima del 19\/07 eravamo in pochi.<\/p>\n Quello che comunque andrebbe sempre chiarito in ogni contesto, per non alimentare false aspettative, e che si pu\u00f2 affermare con certezza oggi\u00a0sul tema Codici di Condotta e Certificazioni \u00e8 che:<\/p>\n Quanto tempo sar\u00e0 necessario perch\u00e9 queste previsioni si realizzino nessuno lo pu\u00f2 sapere e nessuno lo pu\u00f2 dire con certezza; potrebbe anche essere che ci vorr\u00e0 molto tempo.<\/p>\n Ma chiariamo e andiamo per ordine.<\/p>\n <\/p>\n Le certificazioni ai sensi art.42 UE 2016\/679 sono uno strumento volontario, che si affiancano a tutti quelli obbligatori e a quelli consigliati indicati nel regolamento.<\/p>\n L’applicazione di un codice di condotta approvato o di un meccanismo di certificazione approvato pu\u00f2 essere utilizzata come elemento (tra i tanti e non il solo) per dimostrare la conformit\u00e0 e il rispetto degli obblighi da parte del titolare del trattamento.<\/p>\n La certificazione ai sensi del GDPR non riduce la responsabilit\u00e0 del titolare del trattamento<\/strong> o del responsabile del trattamento riguardo alla conformit\u00e0 al regolamento e lascia impregiudicati i compiti e i poteri delle autorit\u00e0 di controllo competenti.<\/p>\n Sconto Sanzionatorio<\/strong> – Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e fissare l’ammontare della stessa affinch\u00e9 questa risulti, per ogni singolo caso, effettiva, proporzionata e dissuasiva, si potr\u00e0 tenere in debito conto anche dell’adesione ai codici di condotta approvati ai sensi dell’articolo 40 o ai meccanismi di certificazione approvati ai sensi dell’articolo 42.<\/p>\n <\/p>\n Sul tema esistono due teorie contrapposte, quella a visione restrittiva e quella di portata estensiva.<\/p>\n Visione restrittiva<\/strong> –\u00a0La possibilit\u00e0 di certificazione \u00e8 limitata ai soli trattamenti, come in effetti recita la norma; cio\u00e8 \u00e8 consentito certificare solo il modo di trattare i dati e non limitatamente al solo aspetto securitario.<\/p>\n Visione estensiva<\/strong> \u2013 Coloro che propendono per la visione estensiva delle norme sulla certificazione tendono a considerare certificabile tutto ci\u00f2 che nel regolamento pu\u00f2 essere ritenuto, utilizzando anche l\u2019interpretazione del principio di accountability, strumento utile a poter dimostrare la conformit\u00e0 al regolamento. Quindi con questa interpretazione si potrebbe arrivare a certificare non solo i trattamenti, ma anche DPO, titolare, responsabile, DPIA, privacy by design, privacy by default, misure di sicurezza, codice di condotta e, per la gioia dei certificatori, chi pi\u00f9 ne ha pi\u00f9 ne metta.<\/p>\n Anche all\u2019interno della DPA sarebbe in atto un dibattito sulle due visioni per definire cosa debba essere oggetto di certificazione e cosa no e ad oggi sembrerebbe non esistere ancora una linea definita a riguardo.<\/p>\n <\/p>\n Nei tavoli di lavoro a Bruxelles tra le proposte delle delegazioni italiane vi sarebbe quella di imporre una sorta di obbligo di certificazione privacy per i public procurement; cio\u00e8 si vorrebbe introdurre un obbligo a dotarsi di certificazione privacy ai sensi del GDPR per poter accedere alla partecipazione di specifici bandi di gara delle PA. <\/p>\n Ad oggi i criteri che valgono per gli enti di certificazione italiana non hanno alcuna specificit\u00e0 Privacy al senso del regolamento UE 2016\/679 e sar\u00e0 necessaria l\u2019approvazione dei criteri per l\u2019accreditamento degli organi di certificazione da parte dall’autorit\u00e0 di controllo competente o dal comitato (Art. 43 – Art 55. 56) \u00a0\u00a0ovvero la definizione e l\u2019approvazione degli ulteriori requisiti che integrano quelli previsti dal regolamento (CE) n. 765\/2008 per l\u2019accreditamento attraverso l’organismo nazionale di accreditamento nonch\u00e9 delle norme tecniche che definiscono i metodi e le procedure degli organismi di certificazione. <\/p>\n Quanto tempo potr\u00e0 essere necessario perch\u00e9\u00a0il gruppo dei garanti europei decida di attivare le certificazioni e i codici di condotta nessuno lo pu\u00f2 sapere con certezza perch\u00e9 prima che possano essere emanate le\u00a0linee guida dal comitato europeo dei garanti si rendono necessari alcuni passi propedeutici. Sar\u00e0 necessaria la piena attuazione del regolamento con la costituzione e l\u2019insediamento del gruppo dei garanti europei, le cui linee guida avranno portata normativa differente (le linee guida del comitato saranno vincolanti per le autorit\u00e0 degli Stati menbri) da quelle attualmente emanate dal wp29 (non sono vincolanti per le autorit\u00e0 degli Stati menbri); sar\u00e0 necessario che il comitato stabilisca quali saranno i criteri di certificazione,\u00a0stabilisca quali saranno i criteri relativi agli enti che potranno essere certificati. Risulta inoltre difficile poter fare una previsione a livello dei singoli Stati membri in quanto le certificazioni non saranno probabilmente lasciate in capo alle autorit\u00e0 nazionali. <\/p>\n Le problematiche appaiono diverse e di differente portata a seconda dei soggetti certificatori, siano essi organismi di certificazione accreditati, autorit\u00e0 di controllo, comitato dei garanti.<\/p>\n Il problema per le autorit\u00e0 risiede anche nel fatto che se queste consentissero a qualche soggetto di certificare, su quali basi e in quale modo potrebbero poi disconoscere il certificato? L\u2019interesse che da subito si \u00e8 manifestato sui codici di condotta e le certificazioni previste nel GDPR \u00e8 stato enorme e ha indotto certificatori e altri portatori di interessi economici a schierarsi in prima fila per cercare di conquistare un \u2018posto al sole\u2019.<\/p>\n Un fenomeno che, se non ben governato, rischier\u00e0 di produrre non solo problemi di cooerenza fra gli Stati membri, ma anche effetti simili a quelli che si ebbero ai tempi dell\u2019introduzione del DPS, che da strumento nella cui idea del legislatore doveva essere una specie di vademecum che aiutava l\u2019azienda a fare un ceckup periodico, una sorta di \u2018revisione annuale\u2019 della \u2018macchina azienda\u2019, \u00e8 stato percepito invece come un inutile adempimento burocratico che veniva proposto e venduto a prezzi esorbitanti anche a officine, salumieri e carrozzieri, approfittando della loro non conoscenza sulla materia e facendo leva sulle paure sanzionatorie. Questo contribu\u00ec a provocare un diffuso risentimento nel paese e anche per questo il DPS venne reso non pi\u00f9 obbligatorio.<\/p>\n <\/p>\n La sola cosa certa \u00e8 che ad oggi non esiste ancora alcuna possibilit\u00e0 di certificare la conformit\u00e0 di uno specifico trattamento al GDPR; non esiste la possibilit\u00e0 di certificare il DPO (o altre figure) conformemente al regolamento e tanto meno esiste la possibilit\u00e0 di certificare una generalizzata conformit\u00e0 aziendale al GDPR. Per questo e per quelli che potranno essere gli orientamenti fututi sul tema, ritengo sia opportuno affrontare e sviluppoare le tematiche inerenti ai codici di condotta e alle certificazioni, ma questo andrebbe fatto anche con prospetive e visioni che vadano oltre alla sola dimensione nazinale del fenomeno.<\/p>\n <\/p>","protected":false},"excerpt":{"rendered":" Codici di Condotta e Certificazioni a norma GDPR sono tra le tematiche dietro le quali vi sono in gioco interessi economici e lobbying di enorme portata; ma sono anche tra le tematiche pi\u00f9 incerte, controverse e sulle quali si \u00e8 anche assistito alla proliferazione di convegni e corsi con contenuti a volte tra i pi\u00f9\u2026 Leggi tutto »<\/a><\/span><\/p>\n","protected":false},"author":250,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[233,8],"tags":[388,382],"class_list":["post-3121","post","type-post","status-publish","format-standard","hentry","category-codes-of-conduct-and-certification","category-sanctions","tag-certificazioni","tag-codici-di-condotta"],"_links":{"self":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/3121","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/users\/250"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/comments?post=3121"}],"version-history":[{"count":18,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/3121\/revisions"}],"predecessor-version":[{"id":3226,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/3121\/revisions\/3226"}],"wp:attachment":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/media?parent=3121"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/categories?post=3121"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/tags?post=3121"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}\n
Certificazioni e codici di condotta: cosa sono e a cosa servono<\/span><\/h2>\n
Cosa \u00e8 possibile certificare<\/span><\/h2>\n
Proposte delle delegazioni<\/span><\/h2>\n
\nTra le leve di convincimento utilizzate figura quella per cui si starebbe cercando di far passare questa proposta anche come strumento utile per incentivare l\u2019adozione delle certificazioni. Strano modo, almeno a detta dello scrivente, quello di tentare di spacciare un aggiuntivo nuovo obbligo come un mezzo di incentivazione all\u2019adozione di uno strumento volontario come le certificazioni GDPR.
\nAltre delegazioni si sono spinte anche oltre con proposte volte a voler introdurre certificazioni obbligatorie sui prodotti. Secondo\u00a0 queste proposte, prodotti privi di certificazione privacy non sarebbero immettibili sul mercato.<\/p>\nPrevisioni di adozione<\/span><\/h2>\n
\nInoltre sembrerebbe sussistere la volont\u00e0 di portare la gestione di queste materie a livello europeo.<\/p>\n
\nInoltre, qualora un progetto di codice di condotta si riferisca alle attivit\u00e0 di trattamento in vari Stati membri (Art.40 p.7) l’autorit\u00e0 di controllo competente deve chiedere al comotitato dei garanti di formula un parere sulla conformit\u00e0 del progetto di codice di condotta al GDPR e qualora necessario anche sulla previsione di adeguate garanzie (adesione ai codici di condotta anche di titolari del trattamento o i responsabili del trattamento che non sono soggetti al presente regolamento – Art.40 p.3).<\/p>\nProblematiche da risolvere<\/span><\/h2>\n
\nI certificati risulteranno validi in quanto conformi e corrispondenti alle line guida delle autorit\u00e0; saranno rilasciati da organismi riconosciuti dalle autorit\u00e0 che vigileranno sul certificato. Proprio per tutto questo il certificato potrebbe apparire come una sorta di anticipazione di giudizio. Una presunzione di anticipazione di giudizio che introdurrebbe quindi tutta una nuova serie di complicazioni a posteriori in caso di accertamento di violazioni.<\/p>\n<\/p>\n