Le certificazioni che la norma NON chiede

Diritto

Le certificazioni che la norma NON chiede

Sfatiamo un mito e diciamolo subito:

NON ESISTE ALCUNA NORMA DEL GDPR CHE IMPONGA DI CERTIFICARSI O DI ADERIRE AD UN CODICE DI CONDOTTA ANCHE PERCHE’ NON ESISTE AD OGGI ALCUN ORGANISMO AUTORIZZATO DAGLI ORGANI COMPETENTI A RILASCIARE CERTIFICAZIONI RELATIVAMENTE ALLA CONFORMITA’ AL GDPR.

Il DPO, secondo il Regolamento deve CONOSCERE EFFETTIVAMENTE la normativa privacy, ma NON deve possedere alcuna certificazione obbligatoria secondo la legge, come anche ribadito nelle linee guida sui DPO emanate dal WP29 e ribadito nelle faq del nostro Garante dedicate a tale figura.

Facciamo allora un po’ di chiarezza sulle disposizioni del Regolamento che parlano di codici di condotta e certificazioni in materia di trattamento dati personali.

E’ bene ribadirlo: il Regolamento n. 679/2016 o GDPR non impone alcun obbligo di certificazione né tanto meno alcuna aderenza doverosa a codici di condotta, anche perché attualmente non esiste ancora alcun organismo autorizzato dalla Commissione Europea, dallo Stato italiano, dal Garante della Privacy a rilasciare certificazioni, bollini, marchi, codici di condotta o altro in riferimento al trattamento dei dati personali secondo le regole del GDPR, né esistono ancora codici di condotta o certificazioni approvate, né tanto meno sono stati stabiliti i criteri per l’accreditamento degli organismi che dovrebbero rilasciare le certificazioni. Chi rilascia al momento certificazioni in materia di privacy per la conformità al GDPR non è abilitato né accreditato davanti alle autorità competenti semplicemente perché non può esserlo, non essendo disponibili ancora i criteri per ottenere l’accreditamento né la procedura da svolgere nel concreto.

Cosa dice il GDPR in relazione a Codici di condotta e Certificazioni?

Il legislatore europeo con il Regolamento n. 679, sicuramente incoraggia l’istituzione di meccanismi di certificazione, sigilli e marchi di protezione dei dati che consentano agli interessati di valutare rapidamente il livello di protezione dei dati dei relativi prodotti e servizi (cons. 100 GDPR) e lo fa demandando alla Commissione Europea il compito di adottare, conformemente all’articolo 290 TFUE, atti delegati riguardanti i criteri e i requisiti dei meccanismi di certificazione, le informazioni da presentare sotto forma di icone standardizzate e le procedure per fornire tali icone (cons. n. 166).

La Commissione, prima di predisporre tali meccanismi dovrà svolgere adeguate consultazioni, ascoltando vari esperti e comunicando gli atti preparatori al Parlamento Europeo e al Consiglio (usiamo il futuro perché si tratta di procedure che non sono nemmeno state rese note ancora!).

Il Regolamento, oltre ai suggerimenti di cui ai considerando innanzi precisati, dedica a codici di condotta e certificazioni gli articoli 40, 41, 42, 43; analizziamoli sinteticamente per comprendere meglio la questione.

Codici di condotta nel GDPR

Con l’art. 40 del GDPR dedicato ai Codici di condotta, il legislatore europeo incoraggia gli Stati, la Commissione, il Garante nazionale, il Comitato europeo per la protezione dei dati personali (che ancora non è stato ufficialmente nominato, ma sostituirà i lavori del Gruppo art. 29 con decorrenza dal 25 maggio 2018, attualmente è in atto il passaggio di consegne tra il Gruppo Art. 29 e il Comitato) ad elaborare codici di condotta specifici, al fine di contribuire alla corretta applicazione del regolamento, in relazione ai vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese.

Continua l’articolo al successivo punto 2: “Le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o responsabili del trattamento POSSONO elaborare i codici di condotta, modificarli o prorogarli, al fine di precisare la corretta applicazione del Regolamento”.

Non si tratta dunque di un obbligo imposto dalla legge, bensì di un incoraggiamento e l’eventuale adozione del codice di condotta assumerà le vesti di un’intesa tra l’associazione di categoria/organismo che prepara il codice e l’associato /aderente che si impegna e lo condivide. Ma prima di giungere a questa fase, le associazioni e gli altri organismi che intendono elaborare un codice di condotta o modificare o prorogare un codice esistente dovranno sottoporre il progetto di codice, la modifica o la proroga all'autorità di controllo competente – al Garante nazionale - che esprimerà un parere sulla conformità del progetto di codice elaborato o da modificare o prorogare al regolamento e che dovrà approvare tale progetto, modifica o proroga, se ritiene che offra in misura sufficiente garanzie adeguate.

Lo si sottolinea per chiarezza: il nostro Garante al momento NON ha ancora approvato alcun codice di condotta, anche perché ogni codice approvato dovrà essere pubblicato e reso noto dalla stessa autorità.

Peraltro, se il Codice di condotta si riferisce a trattamenti di dati che hanno luogo in diversi Stati membri, il Garante nazionale dovrà sottoporre il progetto anche ad una valutazione del Comitato europeo che dovrà esprimere un parere di conformità e qualora ritenga che il codice sia conforme alle garanzie richieste dal Regolamento lo comunica alla Commissione. La Commissione può poi decidere, mediante atti di esecuzione, che il codice di condotta, la modifica o la proroga approvati, che sono stati sottoposti alla sua attenzione dal Comitato, abbiano validità generale nell’Unione e sarà sempre la Commissione a rendere noti i codici approvati ai quali sia stata data validità generale, mediante pubblicazione. Tutti i codici approvati, modificati o prorogati saranno poi gestiti in un registro dal Comitato che li renderà pubblici mediante mezzi appropriati.

Ai sensi dell’art. 41 del GDPR, l’autorità di controllo (l’autorità Garante nazionale) e un organismo accreditatosi presso la stessa, vigileranno sulla corretta applicazione del codice approvato. Quindi, è prevista la nascita di organismi che vigileranno sulla corretta applicazione del codice, ma prima di operare dovranno ACCREDITARSI presso l’autorità di controllo competente (il Garante). Il comma 2 spiega come avverrà l’iter di accreditamento e cosa dovrà dimostrare l’organismo interessato all’accreditamento. L’autorità nazionale presenterà poi il programma di accreditamento al Comitato e si occuperà anche di revocare l’accreditamento concesso, qualora non siano più rispettate le condizioni in base alle quali esso è stato concesso.

Certificazioni per il trattamento dei dati personali

Veniamo adesso a chiarire cosa stabilisce il GDPR in materia di Certificazioni privacy.

Il Regolamento ne parla all’art. 42 e anche per le certificazioni il legislatore europeo NON prevede un obbligo di certificazione a carico di imprese o enti che siano chiamati a rispettare il GDPR, ma ancora una volta incoraggia Stati membri, Commissione, Comitato e Autorità Garanti (o autorità di controllo come riqualificate dal GDPR stesso) ad istituire meccanismi di certificazione della protezione dei dati nonché sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento, tenendo in considerazione le esigenze specifiche delle micro, piccole e medie imprese. Al comma 3 del regolamento lo si chiarisce espressamente:

“La certificazione è volontaria e accessibile tramite una procedura trasparente”

E’ bene inoltre chiarire un altro punto: certificarsi NON SIGNIFICA RIDUZIONE DELLA RESPONSABILITÀ del titolare del trattamento o del responsabile del trattamento riguardo alla conformità al regolamento, l’autorità di controllo infatti continuerà ad effettuare le proprie ispezioni e le proprie verifiche in materia di privacy nei confronti di tutti i soggetti giuridici interessati alla compliance, indipendentemente dal fatto che abbiano scelto di certificarsi o meno! Tra l’altro, anche il Garante potrà rilasciare direttamente le certificazioni (art. 42).

In ogni caso, al momento, NON esiste alcun ente per il rilascio di certificazioni in materia di privacy che si sia accreditato. L’iter per accreditarsi e diventare organismo di certificazione è molto lungo ed è disciplinato chiaramente dall’art. 43 del GDPR. Per accreditarsi come organismo di certificazione è, infatti, necessaria una disposizione interna del nostro ordinamento: il GDPR, all’art. 43 punto 1 prevede che siano gli Stati membri a garantire che gli organismi di certificazione siano accreditati da uno o entrambi dei seguenti organismi:

dall’autorità di controllo competente (Garante privacy);
dall’organismo nazionale di accreditamento designato in virtù del regolamento (CE) n. 765/2008 del Parlamento europeo e del Consiglio conformemente alla norma EN-ISO/IEC 17065/2012 e ai requisiti aggiuntivi stabiliti dall’autorità di controllo competente che per l’ordinamento italiano dovrebbe essere ACCREDIA, stando anche a quanto disposto dallo schema di decreto che abroga il Codice Privacy.

Ai fini dell’accreditamento, gli organismi che chiedono di accreditarsi dovranno dimostrare all’autorità di controllo competente di essere indipendenti e competenti riguardo al contenuto della certificazione, di rispettare i criteri approvati dalla stessa autorità (che ancora non sono stati resi noti) e di disporre di una serie di procedure previste dalla stessa disposizione nello specifico al punto 2 dell’art. 43.

Il regolamento demanda alla Commissione il potere di adottare atti delegati per precisare i requisiti di cui tenere conto per i meccanismi di certificazione della protezione dei dati e può adottare atti di esecuzione per stabilire norme tecniche riguardanti i meccanismi di certificazione e i sigilli e marchi di protezione dei dati e le modalità per promuovere e riconoscere tali meccanismi di certificazione, i sigilli e marchi di protezione dei dati.

La certificazione potrà essere rilasciata in base a specifici criteri che dovranno essere approvati dall’Autorità di controllo competente (Garante privacy) o anche dal comitato europeo per la protezione dei dati personali che potrà quindi prevedere criteri per elaborare una certificazione comune: il sigillo europeo per la protezione dei dati. Il comitato dovrà raccogliere in un registro tutti i meccanismi di certificazione e i sigilli e i marchi di protezione dei dati e renderli pubblici con qualsiasi mezzo appropriato (art. 42 punto 8).

Tirando le fila del discorso in relazione alla situazione attuale di codici di condotta e certificazioni in materia di privacy:

il Garante - ma a livello dell’Unione nemmeno la Commissione o il Comitato europeo che ancora non è operativo – non ha ancora approvato codici di condotta a norma dell’art. 40 punto 5, in quanto:

non sono stati ancora definiti e pubblicati i criteri per l’accreditamento di un organismo per il controllo dei codici di condotta e di conseguenza
non è stato ancora accreditato alcun organismo che vigili su codici di condotta approvati ai sensi dell’articolo 41;

il Garante non ha ancora accreditato alcun organismo per il rilascio delle certificazioni ai sensi dell’art. 43 del GDPR in quanto:

non sono state ancora approvate le regole per la certificazione a norma dell’art. 42 punto 5 del GDPR;
non sono stati ancora definiti e pubblicati i criteri per l’accreditamento di un organismo di certificazione ai sensi dell’articolo 43.

Conclusioni

In definitiva, è vero che all’art. 24 del GDPR si stabilisce che aderire ai codici di condotta o a un meccanismo di certificazione può permettere di dimostrare il rispetto degli obblighi del titolare/responsabile del trattamento perché il meccanismo di certificazione o il codice di condotta sono verificati e approvati a monte dagli organi competenti, tuttavia lo ribadiamo: aderirvi non è obbligatorio e in ogni caso non significa minore responsabilità in merito al tema privacy.

Ad ogni modo, la strada per la creazione dei meccanismi di certificazione sembra ancora lunga. Al momento è conveniente preoccuparsi di rendere le organizzazioni conformi al GDPR; per bollini, marchi, sigilli e l’aderenza a codici o certificazioni, qualora lo si ritenesse opportuno, si può attendere e, comunque, il lavoro di adeguamento, se svolto bene oggi può permettere anche di bypassare future certificazioni che al momento sono solo una chimera, senza contare il fatto che chi diffonde la falsa notizia che le certificazioni siano obbligatorie ai fini dell’adeguamento del GDPR o ancora peggio si spaccia per ente che rilascia già certificazioni (senza essere passato per l’iter di accreditamento davanti agli organi competenti) al solo fine di accaparrarsi clienti, viola la correttezza professionale e potrebbe infrangere il divieto delle pratiche commerciali scorrette e ingannevoli, essendo una condotta commerciale che incide sul comportamento del destinatario, inducendolo a prendere una decisione che altrimenti non avrebbe preso.