Un interessante articolo di Paolo Ricchiuto mette in chiaro il nebuloso aspetto delle certificazioni privacy, divenute così importanti con il nuovo regolamento UE privacy 2016/679.
Mentre gli operatori vedono incombere l’onda del “regolamento privacy”, acquista sempre più importanza la scialuppa di salvataggio della certificazione. Ma esiste già, oggi, una certificazione utilizzabile? Se sì, chi può rilasciarla?
Per rispondere, e dare un’occhiata consapevole al mercato, bisogna entrare nel meccanismo delineato dal regolamento, enucleando i seguenti principi di base, che vanno utilizzati come criteri guida fissati dal legislatore europeo:
1. La certificazione, da un lato, non è obbligatoria (art. 42 comma 3); dall’altro, non è completamente risolutiva, in quanto lascia impregiudicata la possibilità per il Garante di contestare eventuali non conformità al regolamento delle misure adottate dal titolare del trattamento (art. 42 comma 4). Vanno, allora, lette con equilibrio alcune disposizioni del regolamento (quali ad esempio l’art. 32 comma 3 in materia di misure di sicurezza) che sì, valorizzano la certificazione, ma nello stesso tempo ne sanciscono la non esaustività.
2. La certificazione può essere rilasciata direttamente dal Garante (art. 42 comma 5) Qui va puntata l’attenzione su una via che potrebbe (finalmente, a modesto avviso di chi scrive) superare quella relazione potenzialmente distorta che lega il controllato/pagante al controllore/pagato: il presidio di istituzionale e sempre certa terzietà che il Garante può assicurare in qualità di certificatore è una chance imperdibile, rispetto alla quale, ad oggi, non sembra però esservi un grande interesse da parte dell’Autorità (fino al 24 maggio 2018 il tempo c’è, chissà che qualcosa non si muova).
3. In alternativa, la certificazione può essere rilasciata dagli organismi che si siano preventivamente accreditati presso il Garante, o presso il certificatore dei certificatori, rappresentato nel nostro paese da Accredia (ente unico nazionale designato dal governo in base al regolamento EU n 765/08).
4. Attenzione, però: perché Accredia (o il Garante) possano accreditare gli organismi di certificazione, deve verificarsi quella che secondo il chiarissimo dettato dell’art. 43 comma 3 è una vera e propria condizione, e cioè che siano stati adottati dal Garante stesso (o in sede europea, dal Comitato) degli specifici criteri, che devono andare ad affiancare quelli normalmente in uso. E non solo: per completare il quadro, il successivo comma 8 rimette alla Commissione europea l’emanazione di atti delegati al fine di precisare i requisiti di cui tener conto per i meccanismi di certificazione.
Sulla base di tutto ciò, considerato che il Garante e/o il Comitato non hanno ancora adottato alcun criterio (e valutata anche, ove ritenuta anch’essa condizionante, la assenza di atti delegati da parte della Commissione), si dovrebbe concludere che ad oggi non esiste alcuna possibilità di certificare la conformità al regolamento, né che Accredia possa definire i requisiti per accreditare gli organismi di certificazione a tale fine.
E invece…
Invece si legge sul sito di Accredia che:
a) L’ente ha fatto proprio uno schema proprietario adottato da un organismo di certificazione, PharmaSoftFea, e lo ha fatto diventare lo standard di riferimento ai fini dell’accreditamento di altri organismi (niente di illegittimo, per carità. Un po’ buffo, però, pensare che l’accreditatore accredita sulla base dei criteri di uno degli accreditandi. O no?)
Ma, ciò che è più importante:
b) Accredia già oggi consente agli organismi di certificazione di accreditarsi sulla base di tale schema.
c) PharmaSoft Fea (lo sviluppatore dello schema proprietario) già oggi rilascia certificazioni che vengono qualificate così: “Attualmente PsFeA è l’unico Organismo di certificazione in Europa ad esser stata accreditata per uno schema di certificazione data protection globale, applicabile a tutte le tipologie di organizzazioni, che risponda pienamente all’esigenze del Nuovo Regolamento EU-GDPR 2016/679.
E’ certamente un limite di chi scrive, ma….non manca qualcosa ?
Ognuno, Garante compreso, potrà dare la sua risposta. La mia è che lo scenario appena descritto non è coerente con quanto previsto nel Regolamento. E se questa posizione risultasse fondata, il rilascio di una certificazione che non può certificare (così come l’accreditamento di certificatori che non possono essere accreditati) sarebbe proprio un pessimo esordio per il Regolamento.
Fonte:
http://www.interlex.it/privacyesicurezza/ricchiuto39.html