In ambito privacy vengono rilasciate diverse tipologie di certificazione, sviluppate dal mercato per rispondere alle esigenze di organizzazioni pubbliche e private e professionisti di allinearsi, in modo volontario, alle prescrizioni del Regolamento UE 679/2016 in materia di protezione dei dati personali (GDPR – General Data Protection Regulation).
Gli schemi attivi, ovvero i requisiti per la certificazione, sono definiti dagli Enti di normazione (UNI e CEI in Italia, EN, ISO e IEC a livello europeo e internazionale) attraverso le norme tecniche o Prassi di Riferimento (PdR) o dagli scheme owners appartenenti a categorie private.
Le certificazioni rilasciate dagli organismi accreditati non sono ancora riconosciute dal Garante per la Protezione dei Dati Personali (GPDP) ai sensi del GDPR, ma sono riconosciute dal mercato come una garanzia e un atto di diligenza dell’adozione volontaria di un sistema di analisi e controllo dei principi e delle norme del Regolamento. Non esiste pertanto alcuna “esimenza” giuridica rispetto alle possibili sanzioni e imputazioni di colpevolezza che possono derivare da illeciti come, per esempio, un Data Breach o la mancata liceità di un trattamento.
Tipologie di certificazione rilasciate da organismi accreditati secondo la norma ISO/IEC 17065.
La certificazione accreditata viene rilasciata in base allo schema privato ISDP©10003 “Criteri e regole di controllo per la certificazione dei processi per la tutela delle persone fisiche con riguardo al trattamento dei dati personali – Reg. UE 679/2016”.
Lo schema specifica i requisiti per la gestione in correttezza, sicurezza e conformità dei dati personali delle persone fisiche, con particolare riguardo ai dati personali, e fornisce i principi e gli elementi di controllo per una completa valutazione della conformità dei processi interni in merito alla protezione dei dati personali, con specifico riferimento alla corretta gestione dei rischi.
La certificazione riguarda tutte le tipologie di organizzazioni che vogliano dimostrare la propria accountability attraverso l’adozione volontaria di un sistema di analisi e controllo dei principi e delle norme di riferimento in tema di data protection.
La certificazione accreditata viene rilasciata in base allo schema privato SGCMF©10002 che riguarda i processi di trattamento dei dati personali degli operatori sanitari delle aziende farmaceutiche, ai sensi del combinato disposto delle norme vigenti in merito di protezione dei dati personali e delle norme che regolano la pubblicità di medicinali.
Attraverso lo strumento della certificazione, l’azienda farmaceutica può tenere sotto controllo le variabili strategiche interne, razionalizzare i processi e operare secondo le norme di legge.
La certificazione accreditata è rilasciata in conformità alla Prassi di Riferimento UNI 43:2018 “Linee guida per la gestione dei dati personali in ambito ICT secondo il Regolamento UE 679/2016 (GDPR)”, studiata per tutte le organizzazioni che trattano dati con strumenti elettronici, in particolare alle piccole e medie imprese.
La PdR compone di due sezioni: la prima (UNI/Pdr 43.1) fornisce le linee guida per la definizione e attuazione dei processi afferenti al trattamento dei dati personali, mediante strumenti elettronici (ICT); la seconda (UNI/Pdr 43.2) fornisce un insieme di requisiti che permette alle organizzazioni, in particolare alle PMI, di essere conformi a quanto previsto dal quadro normativo europeo e nazionale in modo efficace, e può essere usata per l’attività di certificazione.
Attraverso la certificazione, l’organizzazione ha l’obiettivo di dimostrare una gestione dei dati personali in ambito ICT in linea con le prescrizioni del GDPR, in termini di sicurezza e correttezza della gestione del processo di trattamento dei dati personali da parte dei titolari e dei responsabili.
Tipologie di certificazione rilasciate da organismi accreditati secondo la norma ISO/IEC 17021-1.
La certificazione accreditata è rilasciata secondo le linee guida internazionali ISO/IEC 27018 “Information technology – Security techniques – Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors” integrate con la norma ISO/IEC 27017 “Information technology – Security techniques – Code of practice for information security controls based on ISO/IEC 27002 for cloud services”.
L’obiettivo della certificazione è attestare la capacità dei fornitori di servizi cloud di garantire la sicurezza e la protezione dei dati, inclusi quelli personali soggetti alle normative privacy.
E’ uno strumento utile per le organizzazioni che agiscono come controllori delle informazioni di identificazione personale, poiché garantisce la qualità e l’efficacia degli obiettivi di controllo, dei controlli stessi comunemente accettati per l’implementazione di misure volte a proteggere le informazioni personali identificabili.
La certificazione accreditata è rilasciata secondo la norma ISO 27701 “Security techniques – Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management – Requirements and guidelines” che fornisce i requisiti per integrare la norma ISO/IEC 27001 estendendone lo scopo di applicazione al perimetro della gestione della privacy.
L’applicazione della ISO/IEC 27701 deve appoggiarsi all’applicazione delle norme citate, essendo una estensione della ISO/IEC 27001.
La certificazione è uno strumento utile per l’organizzazione, con l’obiettivo di:
Tipologie di certificazione rilasciate da organismi accreditati secondo la norma ISO/IEC 17024.
La certificazione accreditata è rilasciata ai sensi della norma UNI 11697 “Attività professionali non regolamentate – Profili professionali relativi al trattamento e alla protezione dei dati personali – Requisiti di conoscenza, abilità e competenza” al professionista Data Protection Officer (DPO), la figura responsabile della protezione dati introdotta dal GDPR.
La norma definisce i profili professionali relativi al trattamento e alla protezione dei dati personali coerentemente con le definizioni fornite dall’EQF (European Qualifications Framework) e prevede una serie di figure specializzate per la gestione aziendale di tutti gli aspetti relativi alla privacy.