INVEO srl, quale scheme owner, comunica che è stata rilasciata la nuova versione dello schema di certificazione ISDP©10003:2020, schema internazionale per la valutazione della conformità al Regolamento Europeo 2016/679 (GDPR), già accreditato da Accredia in forma volontaria, secondo la norma ISO/IEC 17065. Lo schema è liberamente scaricabile online.

Lo schema.
Lo schema definisce i requisiti generali e i controlli per dimostrare la conformità ai sensi del regolamento EU 2016/679 dei trattamenti di dati personali che il titolare e il responsabile effettuano nell’ambito dei prodotti, processi e servizi, realizzati o comunque erogati. Particolare attenzione viene posta nella nuova versione 2020 a natura, contesto e rischio delle operazioni di trattamento effettuati, in Europa ed anche fuori dall’Unione Europea. Lo stesso infatti è stato elaborato nell’ambito di un più ampio quadro di conformità previsto dal nuovo regolamento europeo sul trattamento dei dati personali, basato sul principio di responsabilizzazione e tutela dei diritti fondamentali.

L’oggetto della certificazione inoltre richiama l’analisi di dettaglio dei trattamenti quali elementi chiave, dei dati, dei processi e delle infrastrutture tecniche che vengono sottoposte a verifica.

Le novità introdotte dalla versione 2020.
Fra le novità introdotte dalla nuova versione dello schema è da evidenziare una maggior definizione dell’ambito di applicazione, in particolar modo dei due ambiti di applicazione così come definiti dal GDPR e ben chiariti nelle linee guida EDPB 1/2018:

un ambito di applicazione generale in relazione alla conformità dei titolari e responsabili del trattamento ai sensi dell’art. 42 (1) del regolamento EU 2016/679 come indicato nella nota 1 del §1.2 Ambito di applicazione.
un ambito di applicazione specifico, in relazione alla conformità di prodotti, processi o servizi dei titolari e responsabili come indicato nella nota 2,3,4 del §1.2 Ambito di applicazione 

• Introduzione di 24 nuovi controlli determinati dalla revisione e/o approvazione di nuove linee guida determinanti per la valutazione della conformità, in particolare con riferimento ai principi di trasparenza e correttezza, della gestione del rischio e dell’esercizio dei diritti dell’interessato.
• Definizione del principio di interoperabilità di cui al §70 delle linee guida EDPB 1/2018
• Tabella di interrelazione fra il §49 linee guida EDPB 1/2018 e Macroprocessi dello schema
• Una importante definizione di come svolgere gli audit e definizione dei rilievi («deve», «dovrebbe», «può» secondo ISO/IEC 17065:2012).
• Miglior inquadramento e definizione della gestione del rischio in particolare di Ra o rischio accettabile e dell’Ri o rischio inerente
• Inserimento dell’Allegato B o tabella di correlazione fra requisiti e controlli dello schema e articoli e considerando del GDPR.

Lo schema può essere applicato ai responsabili del trattamento per la dimostrazione delle  garanzie sufficienti (ex art. 28) che i responsabili devono presentare ai titolari del trattamento.

«Come italiani c’è di che essere orgogliosi» afferma Riccardo Giannetti, scheme owner e training manager di Inveo «Un primo aspetto da ricordare, che non rappresenta una novità, è che lo schema ISDP©10003:2020  è uno schema libero, gratuito e disponibile a chiunque ne voglia fare uso. L’Italia con le competenze e le esperienze fin qui espresse, in particolare nel mondo della protezione dei dati e della certificazione, vuole e deve essere da esempio per il resto d’Europa, nel campo dell’applicazione dei principi espressi dal GDPR e dalla certificazione volontaria»

«Un secondo aspetto da richiamare all’attenzione» continua Giannetti  «è quanto già emerso nello studio della Commissione Europea del 2018 (c.d. studio Tilburg) sulle certificazioni ai sensi degli artt. 42 e 43.
Nello studio la Commissione identifica nel totale  dei 117 schemi analizzati, due schemi già in scopo art. 42 e 43 e fra questi troviamo già lo schema italiano. Per una differenza temporale di rilascio, nello studio non compare lo standard ISO 27701:2019 che tanto sta facendo discutere; questo standard che nasce come candidato ipotetico a soddisfare le necessità di certificazione richiamate dal GDPR, nasce già come un’arma spuntata. Va ricordato infatti che lo standard ha preso una diversa via rispetto a quella richiesta dal GDPR, lo stesso è stato progettato inserendolo nella famiglia dei “sistemi di gestione accreditabili ai sensi della ISO/IEC 17021-1” e pertanto incompatibili con l’art. 43 (1)(b) ISDP©10003:2020, incompatibilità richiamata proprio da ACCREDIA nella sua circolare tecnica inviata gli Organismi di certificazione (https://ec.europa.eu/info/sites/info/files/data_protection_certification_mechanisms_study_final.pdf). 
Ad oggi pertanto gli unici schemi di certificazione che abbiamo a disposizione sono quelli indicati dal rapporto finale della Commissione Europea nello studio Tilburg».

«Lo schema è accreditato in forma volontaria ai sensi della ISO/IEC 17065:2012 da ACCREDIA e abbiamo avviato l'iter di valutazione dello schema, affinchè sia approvato ai sensi dell'art- 42(5). Con la nuova versione dello schema ISDP©10003 e con l'introduzione delle numerose novità» conclude Riccardo Giannetti «è stato fatto un grande sforzo di miglioramento che sicuramente incontrerà il favore di tanti professionisti.» 

SCARICA LO SCHEMA