E’ stato licenziato mercoledì 20 giugno, con parere positivo, l’atto n. 22 riguardante lo Schema di decreto legislativo recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento Ue 2016/679.
Nonostante i diversi profili di criticità rilevati e discussi, si è ritenuto opportuno formulare un parere positivo, corredato di condizioni e osservazioni, in ragione della necessità di adottare al più presto un testo che faccia chiarezza sui rapporti tra Regolamento europeo e Codice privacy (le cui disposizioni devono essere abrogate nella misura in cui risultino con il primo incompatibili).
Una delle principali priorità risulta appunto quella di creare un quadro normativo chiaro e di agevole interpretazione, nonostante le difficoltà derivanti dall’esistenza di tre testi normativi diversi (il Regolamento, il Codice ed il decreto di recepimento), aventi ad oggetto la stessa materia, evitando, al contempo, di incorrere in un eccesso di delega, con la diretta abrogazione o sostituzione del Codice Privacy.
I rilievi critici sono stati trasfusi in diciotto condizioni e quindici osservazioni.
Tra le osservazioni sono state inserite questioni di assoluto rilievo, dibattute sia a livello tecnico-giuridico sia di merito. Tra queste merita un’attenta analisi quella concernente l’Organismo Nazionale di Accreditamento.
L’Accreditamento e le Osservazioni dell’Osservatorio 679 in audizione al Senato
L’accreditamento degli Organismi di certificazione, come indicato dall’EU Reg. 679/2016, identifica in un ente indipendente che ne attesti competenza ed indipendenza di giudizio, la possibilità di essere accreditati.
Per quanto attiene il processo di accreditamento dell’organismo di certificazione, il GDPR rimette allo Stato membro l’opzione di scelta dell’ente a ciò preposto, tra l’Organismo nazionale di accreditamento (per l’Italia, Accredia) e l’Autorità di controllo competente (per l’Italia, il Garante) (art. 43.1, lett. a) e b)).
Più precisamente, il GDPR permette allo Stato membro di opzionare tra una competenza alternativa (cioè, o uno o l’altro ente) e concorrente (cioè, da parte di entrambi gli enti).
Proprio questo aspetto, di estrema rilevanza, è stato sollevato dall’ Osservatorio 679, nel corso dell’audizione che si è svolta giovedì 7 giugno davanti alla Commissione bicamerale speciale sugli atti di Governo.
L’Osservatorio 679, in quella sede, ha infatti sottoposto all’attenzione della Commissione l’ambiguità di un articolo molto piccolo (l’articolo 2-quinquiesdecies) all’interno del decreto di adeguamento della normativa nazionale al Gdpr, che individua appunto l’Organismo di accreditamento nazionale.
“Questo aspetto per l’Italia è fondamentale, perché questo articolo non chiarisce ancora una volta l’ambiguità di Chi fa che cosa” così ha precisato il Presidente dell’Osservatorio 679, Riccardo Giannetti, nel corso dell’audizione.
La posizione dell’Italia e le linee guida WP29 n.261
L’Italia, fugando qualunque dubbio residuo, ha «garantito che tali organismi di certificazione siano accreditati da uno o entrambi dei seguenti organismi (…)» (Art. 43.1) identificando l’organismo nazionale di accreditamento (Accredia) designato in virtù del regolamento (CE) 765/2008 quale soggetto che effettuerà l’accreditamento. L’accreditamento avverrà quindi conformemente alla norma EN-ISO/IEC 17065:2012 e ai requisiti aggiuntivi stabiliti dall’autorità di controllo competente.
Le linee guida WP29 n. 261, inoltre chiariscono, quale norma e le ragioni per cui la scelta primaria debba ricadere sugli Organismi di Accreditamento, salvo condizioni particolari per cui è necessario l’intervento delle Autorità Garanti a supporto dell’accreditamento dei CABs.
E’ lecito pertanto domandarsi quali requisiti aggiuntivi potrebbero essere individuati oltre a quelli internazionalmente previsti dalla EN-ISO/IEC 17065:2012
Il GDPR all’art. 43.2 lett. a-e ne indica alcuni, ma gli stessi probabilmente non sono esaustivi al fine di valutare la competenza di un organismo nell’ambito della protezione dei dati personali. Considerata quindi l’evidente, oggettiva difficoltà a stabilire criteri ulteriori e diversi da quelli già indicati con rigore dalla EN-ISO/IEC 17065:2012 potrebbe valere la pena decidere di adottare interamente quanto previsto dalla citata norma internazionale.
Tale suggerimento, formulato dall’Osservatorio679, sia al gruppo WP29 nella consultazione pubblica, sia durante convegno tenutosi il 9 maggio 2018 al Senato della Repubblica, è stato l’oggetto della proposta di revisione all’art. 2-quinquiesdecies. Se da un lato infatti si fa chiarezza su chi debba accreditare (Accredia), dall’altro non vengono eliminati alcuni dubbi sul come e in relazione a quale contesto e natura di trattamenti.
Esistono infatti dei trattamenti “critici” quali dati genetici, biometrici e di salute, che richiedono un richiamo particolare al controllo diretto dell’autorità Garante, sia in merito alle competenze richiamate dall’art. 43 (2) lett. a ed e) che all’esperienza e competenza degli auditor chiamati a verificare queste certificazioni. Il dubbio è proprio sull’esperienza e sulla preparazione di queste figure professionali, considerato che in questo ambito l’esperienza è pari a zero.
Quali competenze devono dimostrare gli Auditor per poter eseguire verifiche in quell’ambito? E’ sufficiente una norma molto generica quale la UNI 11697 per determinare la qualità dei verificatori in settori così delicati?
Questi sono stati i dubbi condivisi con la Commissione congiunta di Camera e Senato, in seguito oggetto di accoglimento.
Infatti dal parere approvato dalla Commissione sull’atto del Governo n. 22 si evince che: “all’articolo 2-quinquiesdecies del decreto legislativo 30 giugno 2003, n. 196, in materia di organismo nazionale di accreditamento, inserito dall’articolo 2, comma 1, lettera e), del presente schema di decreto, si valuti l’opportunità di definire puntualmente la distinzione tra i ruoli svolti dall’ente nazionale di accreditamento (Accredia) e l’autorità di supervisione (Garante), anche al fine di evitare sovrapposizioni, contenziosi e conflitti di interesse, precisando i criteri sulla base dei quali sono individuate dal Garante le categorie di trattamento in relazione alle quali il Garante stesso riserva a sé le funzioni di accreditamento, riservando a quest’ultimo le funzioni di accreditamento relative ai dati genetici, biometrici e relativi alla salute”.
Per rivedere il video integrale dell’intervento del Board dell’Osservatorio679, composto dal presidente Riccardo Giannetti e dai Vicepresidenti Rosario Imperiali e Gianluca Di Ascenzo clicca qui.