Facciamo il punto sul Regolamento UE 679/2016 sulla protezione dei dati, e in particolare sui meccanismi di certificazione ai sensi degli articoli 42 e 43, con l’avvocato Rosario Imperiali d’Afflitto. Per l’accreditamento, l’Italia ha scelto la strada della competenza di Accredia, salvo l’intervento del Garante in ipotesi eccezionali e residuali.
Il GDPR ha previsto l’esistenza di un meccanismo di certificazione. Cos’è questo meccanismo e che vantaggi ha un’azienda che decidesse di certificarsi?
Il GDPR non definisce il “meccanismo di certificazione” usando il termine secondo l’accezione d’uso comune, intendendo per certificazione una dichiarazione di conformità. Quindi, la conformità al GDPR è una novità per le ordinarie certificazioni che, invece, si riferiscono a normazioni o specifiche tecniche. La conformità GDPR non è necessariamente complessiva, ma anche per specifici processi o profili del Regolamento. I vantaggi dell’acquisizione di tale certificazione sono il contributo alla dimostrazione di essere conformi (la cosiddetta accountability), la presa in considerazione in caso di irrogazione di sanzioni e la possibilità di trasferire dati personali a soggetti certificati extra UE.
Ai fini del GDPR, sono validi tutti i meccanismi di certificazione o solo alcuni? Quali? Chi li verifica?
Più che riferirsi alla validità di tali meccanismi ai sensi del GDPR, si dovrebbe forse fare riferimento agli effetti giuridici che il GDPR fa discendere dai meccanismi in esso regolati. E’ sempre bene ricordare che si tratta di misure volontarie: per ottenere quegli effetti, occorre rispettare condizioni e requisiti specificamente riportati nel Regolamento agli articoli 42 e 43. La verifica dei meccanismi di certificazione avviene, in parte, dall’Autorità di supervisione nazionale, in Italia dal Garante, che approva i criteri contenuti nello schema di certificazione, e in parte dall’Ente nazionale di accreditamento, da noi Accredia, che accredita schema e organismo di certificazione rispettando i requisiti approvati da Garante o Comitato europeo.
Che ruolo hanno l’Ente di accreditamento e il Garante per la protezione dei dati personali, rispetto a questi meccanismi di certificazione?
Il GDPR consente una competenza congiunta o alternativa di entrambi per l’attività di accreditamento, lasciando agli Stati membri di scegliere la soluzione più idonea al contesto locale: l’Italia ha scelto la strada della competenza di Accredia, salvo l’intervento del Garante in ipotesi eccezionali e residuali. Anche per la certificazione il GDPR prevede una competenza alternativa dell’Autorità di supervisione o degli Enti di certificazione, ma in Italia saranno questi ultimi a rilasciare le certificazioni ai sensi del GDPR.
Cosa cambia con il GDPR e quale contesto si disegna a livello europeo?
Se è certamente vero che qualsiasi meccanismo di certificazione, compreso quello “GDPR like”, è una misura volontaria e non imposta normativamente, è altrettanto vero che la certificazione che produce gli effetti previsti nel Regolamento “deve” essere conforme ai criteri e ai requisiti previsti dal Regolamento. In aggiunta, lo stesso GDPR prevede certificazioni con efficacia solo nazionale e certificazioni di valenza unionale, il cosiddetto “sigillo europeo” i cui criteri sono approvati dal Comitato europeo su proposta dell’Autorità di supervisione competente. Gli effetti di questo intreccio si ripercuotono in ambito economico e competitivo: chi prima arriva avrà a disposizione pascoli ancora vergini.
Che ruolo riveste l’accreditamento?
Lo stesso ruolo che esso riveste per tutti i meccanismi di certificazione, cioè – come dice il termine – “dare credibilità” alla certificazione rilasciata sulla base di un determinato schema, seguendo un processo di verifica fondato su terzietà, imparzialità e indipendenza di giudizio.
Quali sono i benefici dell’accreditamento in questo settore?
L’ente di certificazione che si accredita rispettando i requisiti approvati dall’Autorità di supervisione o dal Comitato europeo si qualifica come ente abilitato a rilasciare “meccanismi di certificazione per la protezione dei dati personali”, cioè le certificazioni previste ai sensi degli articoli 42 e 43 del GDPR, suscettibili di produrre gli effetti previsti dal Regolamento.
Quali schemi di certificazione sono già attivi in questo ambito?
Siamo ancora in un periodo di transizione in quanto criteri e requisiti non risultano ancora approvati ma già si nota un certo fermento a livello europeo, non sempre tuttavia foriero di chiarezza e trasparenza.
Come/in cosa si differenziano tra loro?
La differenza sostanziale è relativa alla conformità degli schemi alla normazione tecnica di riferimento: pochi sono quelli che risultano conformi alla UNI EN ISO/IEC 17065/2012, richiesta dal GDPR.
Rispetto agli art. 42 e 43, come procedono i lavori di discussione e che tempi si prevedono per la definizione delle procedure a livello europeo e per l’attuazione del Regolamento privacy?
Dopo l’uscita delle Linee guida del Comitato europeo su certificazione e accreditamento, ora la palla è nelle mani delle singole Autorità di supervisione nazionali che devono approvare i criteri contenuti negli schemi di certificazione che vengono sottoposti al loro vaglio. Una volta ottenuta questa approvazione, che deve tener conto delle indicazioni fornite nelle citate Linee guida, il testimone passa all’Ente nazionale di accreditamento, per l’omonima fase. Si ha notizia di schemi presentati a diverse Autorità di supervisione ma, a mia conoscenza, nessuno ancora ha ottenuto un’approvazione formale. Non credo che la prima approvazione si farà attendere molto, una volta avuta la prima, le altre prevedibilmente seguiranno a ruota.