Privacy, cybersecurity, eIDAS e GDPR. Fino a qualche tempo fa questi termini erano probabilmente familiari solo agli addetti ai lavori. Ma con l’era del digitale e l’utilizzo sempre più massiccio di Internet, difendersi dai crimini informatici non è più solo un affare di sicurezza nazionale. Chiunque di noi, infatti, collegandosi a un sito web o a un social network diffonde e rende in vari modi visibili le proprie informazioni personali. E’ così anche per le aziende con i loro brevetti e know how. Basti pensare che nel mondo, solo nel 2017, si sono registrate oltre mille violazioni, che hanno messo a rischio le informazioni personali registrate sulla rete.
L’Unione europea è corsa ai ripari. Sia con il GDPR (General Data Protection Regulation) – Regolamento UE 679/2016 sia con il Network and Information Security (Nis) sulla sicurezza delle reti e dei sistemi informativi nell’Unione e il Regolamento eIDAS (electronic IDentification Authentication and Signature) – Regolamento UE 910/2014 sull’identità digitale che ha l’obiettivo di fornire una base normativa a livello europeo per i servizi fiduciari e i mezzi di identificazione elettronica degli Stati membri.
Le regole introdotte dal Regolamento sono più chiare in materia di informativa e consenso, introducendo un concetto chiave per l’imparzialità e l’oggettività: la certificazione accreditata della protezione dei dati personali, di sigilli e marchi, con l’obiettivo di attestare la conformità dei trattamenti effettuati dai titolari e dai responsabili del trattamento. E’ al comma 5 dell’art. 42 infatti, che vengono indicati gli organismi di certificazione accreditati dall’Autorità di controllo competente o da un Ente nazionale di accreditamento (Accredia in Italia).
I “criteri” di certificazione, genericamente richiamati dal GDPR, vengono approvati dall’Autorità di controllo oppure dal Comitato europeo per la protezione dei dati istituito dal Regolamento stesso. Sono gli Stati membri a garantire che l’accreditamento degli organismi di certificazione sia affidato a uno solo o a entrambi i soggetti indicati nel Regolamento. L’Autorità di controllo avrebbe invece la funzione esclusiva di accreditare, in base alla valutazione di requisiti specificati nel Regolamento, i soggetti che verificano la conformità dei titolari o dei responsabili del trattamento che aderiscono a codici di condotta proposti da associazioni o altri organismi delle proprie categorie.
La Commissione speciale per l’esame di atti del Governo della Camera e la Commissione speciale su atti urgenti del Governo del Senato hanno concluso il 20 giugno scorso, in sede consultiva, l’esame dello Schema di Decreto legislativo recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679. Nello specifico la Commissione ha approvato l’opportunità di definire chiaramente la distinzione tra i ruoli svolti da Accredia e dall’Autorità di supervisione (Garante), anche per evitare sovrapposizioni, contenziosi e conflitti di interesse. Dovrà inoltre essere valutato se precisare meglio i criteri utilizzati dal Garante per individuare le categorie di trattamento in relazione alle quali potrebbe riservare a sé le funzioni di accreditamento.
Entrato in vigore il 25 maggio scorso, il General Data Protection Regulation, meglio noto con l’acronimo inglese GDPR, sostituirà la normativa applicata nei diversi Stati europei e la unificherà nei 27 membri dell’Unione. Ma cosa cambia con la sua entrata in vigore? La riforma voluta dalla UE impone maggiore effettività e concretezza della tutela della privacy, con una strategia di gestione organizzata che mira a una visione proattiva e non difensiva.
Accredia, già da diversi mesi, ha avviato le attività di accreditamento in ambito privacy, su base volontaria, qualificando due schemi di certificazione proprietari (ISDP10003 e SGCMF10002 di cui l’organismo di certificazione INVEO è lo scheme owner). Gli schemi sono pubblici e disponibili a tutti gli organismi che ne facciano richiesta, e sono stati oggetto di analisi e studi da parte della Commissione europea e di Università italiane e straniere. Una certificazione già attiva in materia di protezione dei dati personali è anche quella conforme alla norma ISO/IEC 27001, che riguarda i sistemi di gestione per la sicurezza delle informazioni, integrata con le linee guida ISO/IEC 27018 per la gestione del cloud.
Una novità importante del nuovo Regolamento UE 679/2016 riguarda l’introduzione del Data Protection Officer (DPO), il responsabile della protezione dati. Dovrà essere presente in tutte le aziende pubbliche e la sua competenza potrà essere certificata sotto accreditamento, su base volontaria.