Gli schemi di certificazione GDPR non sono ancora stati riconosciuti, tuttavia per le imprese adottare un sistema di gestione della data protection rappresenta una grande opportunità per la valutazione dei rischi, il controllo dell’efficacia delle proprie attività e la pianificazione delle misure.
Il GDPR non obbliga le organizzazioni, nel loro ruolo di titolari o responsabili del trattamento, ad adottare un sistema di gestione, né tantomeno a certificarlo, ma questa rappresenta una grande opportunità. Quella della certificazione, infatti, è una possibilità comunque prevista dal regolamento europeo che, in più articoli, fornisce precise indicazioni sulla necessità di dimostrare le azioni effettuate, e suggerisce proprio i meccanismi di certificazione come supporto alla propria accountability.
A titolo esemplificativo l’articolo 25, che disciplina la “protezione dei dati fin dalla progettazione e per impostazione predefinita” (privacy by design e by default) e l’articolo 32, dedicato alla sicurezza del trattamento suggeriscono che “un meccanismo di certificazione (approvato ai sensi dell’articolo 42) può essere utilizzato come elemento per dimostrare la conformità ai requisiti”. Queste (ma non solo queste) sono indicazioni che suggeriscono l’adozione di un sistema di gestione.
Perché un sistema di gestione permette di valutare i rischi, pianificare le misure gestionali, tracciare le azioni, renderle disponibili, e controllare l’efficacia del nostro operato
La normativa di riferimento delle certificazioni GDPR:
La base per la certificazione degli standard di data protection risiede in due specifici articoli del GDPR, l’art 42 (“Certificazione”) e l’art. 43 (“Organismi di certificazione”) che definiscono proprio le modalità di certificazione.
In estrema sintesi la certificazione deve essere:
• volontaria e accessibile, tramite una procedura trasparente;
• rilasciata da organismi di certificazione o dall’autorità di controllo competente in base ai criteri approvati da medesima;
• rilasciata al titolare del trattamento o responsabile del trattamento per un periodo massimo di tre anni.
L’adozione e certificazione di un sistema di gestione della data protection porta diversi vantaggi:
• riduce l’impatto sanzionatorio in caso di violazioni
• permette il miglioramento delle Relazioni con i soggetti interessati (trasparenza)
• regola e ottimizza le Relazioni business to business (controller vs processor)
• abilita il controllo, in ambito privacy, nei rapporti infragruppo
• contribuisce al contenimento di eventuali sanzioni pecuniarie
I meccanismi approvati possono essere utilizzati per dimostrare il rispetto degli obblighi dei titolari e dei responsabili del trattamento rispetto all’implementazione di adeguate misure tecniche e organizzative in materia di protezione dei dati personali.
Che cos’è una certificazione
È un’attestazione rilasciata da un ente di certificazione, a seguito di un’attività di verifica, che attesta il soddisfacimento da parte dell’organizzazione dei requisiti definiti da uno schema (o standard) in materia di protezione dei dati personali.
È bene ricordare che l’adozione di tale certificazione non è uno strumento idoneo a garantire il rispetto da parte del titolare o del responsabile degli obblighi normativi; i meccanismi di certificazione, che si basano su verifiche campionarie, sono sicuramente un valido strumento per verificare costantemente la propria conformità, ma non una garanzia della medesima.
Fonte: https://www.agendadigitale.eu/