Art. 42: Certificazione

Il G.D.P.R prevede e promuove l’istituzione di meccanismi volontari volti a certificare la protezione dei dati personali. L’Art. 42 dello stesso, infatti, riporta: “Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l’istituzione di meccanismi di certificazione della protezione dei dati   nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la  conformità al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento”. Questa, tuttavia, è rimasta solo una semplice indicazione, almeno fino a qualche mese fa.

La Convenzione tra Garante Privacy e Accredia

In data 20 marzo 2019, infatti, è stata sottoscritta dall’Autorità Garante e da Accredia (l’Ente unico nazionale di accreditamento) una convenzione volta a fornire una risposta nazionale ai suggerimenti contenuti nell’Art. 42. Nello specifico, ad Accredia è stato affidato il compito di attestare la competenza degli organismi di certificazione, sulla base di Linee guida comuni elaborate dal Garante italiano in collaborazione col Comitato europeo per la protezione dei dati.

UNI/PDR 43:2018 e ISO/IEC 27701:2019

Dalla predetta collaborazione è nata una certificazione, che vede protagonista la UNI/PDR 43:2018:“Linee guida per la gestione dei dati personali in ambito ICT secondo il Regolamento UE 679/2016 (G.D.P.R)” . Questa prassi di riferimento fa capo esclusivamente ai processi di gestione Privacy in ambito digitale (ICT), e si rivolge a qualunque organizzazione tratti dati personali tramite l’ausilio di strumenti elettronici.

Una soluzione alternativa, indirizzata alle realtà più strutturate, è la ISO/IEC 27701:2019. Questa estensione della ISO/IEC 27001 specifica i requisiti per stabilire, implementare, mantenere e migliorare continuamente un sistema di gestione delle informazioni sulla Privacy (PIMS). La norma è certificabile e aperta a tutte le aziende che abbiano già adottato la ISO/IEC 27001.

Le differenze tra i due standard

La prima differenza tra i due standard fa riferimento al loro diverso livello di inquadramento. La ISO 27701 è una norma dalla valenza internazionale che può essere certificata dall’ISO in qualsiasi Stato membro (con o senza il G.D.P.R). La UNI/PDR 43, differentemente, è una prassi di riferimento limitata all’ambito nazionale. In questo caso, essendo una linea guida, quella che viene eventualmente rilasciata all’azienda è un’attestazione di validità. La seconda differenza riguarda il diverso approccio alla realtà aziendale. La ISO 27701 è uno schema di sistema; si riferisce, cioè, alla gestione dei dati in generale (non solo quelli digitali), all’interno del sistema aziendale. La UNI/PDR 43 consiste, invece, in uno  schema di processo (rivolto al trattamento dei dati digitali) sia pure creato con l’impostazione HLS (“High Level Structure”), che permette, quindi, di essere facilmente integrato con gli altri sistemi esistenti.

I vantaggi della certificazione

L’adozione volontaria di uno dei meccanismi precedentemente descritti costituisce una precisa forma di garanzia per tutte le parti interessate con cui la realtà aziendale si interfaccia. In caso di visita ispettiva da parte delle Autorità preposte, inoltre, il Titolare del trattamento si trova in possesso di un valido elemento di giudizio, col quale comprovare l’osservanza di un principio cardine del G.D.P.R: l’accountability.