Il 14 luglio 2021 il Garante per la Protezione dei Dati Personali (GPDP) e l’Ente Italiano di Accreditamento (Accredia) hanno pubblicato le Frequently Asked Questions (FAQ) in materia di “Accreditamento e Certificazione ai sensi del GDPR”, elaborate nell’ambito di una convenzione finalizzata allo scambio di informazioni riguardanti le attività di certificazione e accreditamento previste dal Regolamento UE 679/2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
Prima di entrare nel merito dei principali chiarimenti forniti dai due enti è necessario differenziare i concetti di accreditamento e certificazione, spesso ritenuti interscambiabili, ma sostanzialmente differenti in termini di risultati e credibilità dei soggetti che li ottengono.
Certificazione e accreditamento nell’ottica del GDPR: cosa significa
La certificazione è una attestazione rilasciata da una parte terza, l’organismo di certificazione (OdC), relativa a un oggetto (prodotto, processo, servizio, persona o sistema) sottoposto a valutazione della conformità rispetto a requisiti contenuti in una norma tecnica (standard). Con essa una terza parte indipendente attesta “per iscritto” che un prodotto, una procedura o un servizio soddisfa i requisiti prescritti.
Ad esempio, la certificazione ISO 9001 di un’azienda esprime la conformità ai requisiti della norma internazionale riguardante la gestione generale, i processi ed il trattamento dei dati.
L’accreditamento, diversamente, consiste nel riconoscimento formale, da parte di un organismo autorevole, che un’organizzazione o un singolo individuo sono competenti nell’eseguire uno specifico servizio come descritto nello scopo dell’accreditamento.
Ad esempio, l’accreditamento ISO/IEC 17065 stabilisce i requisiti che un organismo di certificazione deve soddisfare per dimostrare di operare in modo competente, coerente e imparziale. Un documento normativo fondamentale, quindi, per chi opera nel settore perché rappresenta un efficace strumento per il riconoscimento degli organismi e per l’accettazione dei prodotti, processi e servizi.
La certificazione è “accreditata”, infine, quando, attraverso un’attività di ispezione e verifica, viene data dimostrazione dell’imparzialità, completezza ed adeguatezza dell’organismo di certificazione (OdC) da parte dell’ente unico nazionale di accreditamento a ciò deputato (in Italia, Accredia, istituito ai sensi del Regolamento CE n. 765/2008).
Lo scopo dell’accreditamento consiste nel fornire una dichiarazione autorevole in ordine alla competenza ed efficienza di un determinato organismo a svolgere un’attività di certificazione.
Ottenere la certificazione da parte di un organismo accreditato da Accredia permette alle persone fisiche e alle aziende di acquisire una serie di benefici, che così possono essere sintetizzati:
- godere di una competenza attestata in modo oggettivo da un organismo indipendente e imparziale;
- vedersi riconosciuta l’affidabilità della prestazione;
- ottenere un notevole accrescimento della reputazione agli occhi dei propri clienti.
Ciò premesso, con riferimento alla certificazione nell’ambito del GDPR e, quindi, nell’ambito del trattamento dei dati personali, l’art. 42 del Regolamento Europeo (ed altre norme collegate) stabilisce che: “Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano … l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento …” specificando al paragrafo 5 che “la certificazione ai sensi del presente articolo è rilasciata dagli organismi di certificazione … o dall’autorità di controllo competente …”.
Il Regolamento, quindi, prevede e incoraggia l’istituzione di meccanismi di certificazione della protezione dei dati personali allo scopo di dimostrare la conformità al GDPR dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento; la certificazione, quindi, viene intesa come uno strumento utile per il titolare e i responsabili del trattamento a dimostrare il rispetto degli obblighi, le garanzie sufficienti e la conformità ai requisiti di protezione dei dati.
L’adesione a un meccanismo di certificazione rilasciato a norma dell’art. 42 del Regolamento può costituire, infatti, un elemento di responsabilizzazione (c.d. accountability), in quanto consente ai titolari e/o responsabili del trattamento che vi aderiscono di dimostrare la conformità dei medesimi trattamenti ad alcune disposizioni o principi del Regolamento o al Regolamento nel suo insieme.
Inoltre, il paragrafo 5 del richiamato art. 42 stabilisce che, nell’ambito dell’istituzione di meccanismi di certificazione, è previsto che gli organismi di certificazione debbano essere accreditati dall’autorità di controllo competente o dall’organismo nazionale di accreditamento o da entrambi.
Sul punto, le FAQ pubblicate dall’Autorità Garante per la Protezione dei Dati Personali chiariscono che quest’ultima non rilascia certificazioni. I soggetti deputati a rilasciare le certificazioni della protezione dei dati ad aziende, enti ed altri soggetti che ne facciano richiesta in qualità di titolari o responsabili del trattamento saranno gli organismi di certificazione, una volta riconosciuti da Accredia. L’art. 2-septiesdecies del d.lgs. 30 giugno 2003, n. 196 (Codice Privacy), infatti, attribuisce proprio ad Accredia le funzioni di accreditamento degli organismi di certificazione, ovvero il potere di attestare che un determinato Organismo di Certificazione sia qualificato a rilasciare le certificazioni ai sensi dell’art. 42, par. 5 del GDPR in conformità a quanto previsto dall’art. 43, par. 1, lett. b) dello stesso, fatto salvo il potere dell’Autorità di controllo di assumere direttamente l’esercizio di tali funzioni con riferimento a una o più categorie di trattamenti.
Ma quali sono i requisiti di accreditamento fissati dal Garante per la Protezione dei Dati Personali?
Il Garante per la Protezione dei Dati Personali, con proprio provvedimento ha approvato i “requisiti di accreditamento aggiuntivi” con riguardo alla norma EN-ISO/IEC di riferimento e in conformità all’articolo 43, paragrafi 1, lettera b) e all’art. 3 del GDPR, corredati da alcune note esplicative volte a fornire indicazioni pratiche ed esempi che possono agevolare l’applicazione dei medesimi requisiti sia per la predisposizione della richiesta di accreditamento sia per il mantenimento dell’accreditamento stesso.
I requisiti aggiuntivi riguardano:
- requisiti generali in materia di accreditamento;
- requisiti per le risorse umane;
- requisiti di processo;
- requisiti del sistema di gestione.
L’Organismo di Certificazione accreditato cosa può certificare in ambito protezione dati dei dati personali?
L’art. 4 del Regolamento Europeo definisce il trattamento come “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali”.
Ed è proprio il trattamento di dati personali, così come definito dalla norma, a costituire l’oggetto della certificazione, potendo quest’ultimo variare in maniera più o meno considerevole a seconda che si tratti di più o meno operazioni di trattamento.
Ciò è quanto si ricava altresì alla luce dei provvedimenti assunti dall’EDPB (European Data Protection Board), che chiariscono i limiti connessi ad una valutazione affidabile e significativa della conformità: “devono essere descritti chiaramente i trattamenti inclusi nell’oggetto della certificazione e quindi gli elementi chiave, ossia quali dati, processi e infrastrutture tecniche saranno sottoposti alla valutazione e quali no”.
Conclusivamente, nel sistema delineato dal legislatore europeo, così come integrato dall’Autorità di controllo nazionale, emerga chiaramente l’importanza della certificazione e gli indiscutibili vantaggi che dalla stessa derivano in termini di reputation e affidabilità aziendale; basti pensare che lo stesso art. 83 GDPR prevede, nel caso di irrogazione di sanzioni amministrative, che le stesse siano mitigate nel caso di adesione, da parte del titolare del trattamento, ai meccanismi di certificazione adottati ai sensi dell’art. 42.