Ogni persona ha diritto alla protezione dei dati personali che la riguardano e compito del Regolamento (UE) 2016/679 è la protezione delle persone fisiche.

La certificazione rappresenta un efficace istituto che permette agli interessati di valutare rapidamente il livello di protezione dei dati relativi a prodotti e servizi. La certificazione ai sensi del GDPR ha regole precise e non coincidenti con gli standard ISMS.

di Riccardo Giannetti (scheme manager Inveo – presidente Osservatorio679)

ABSTRACT
Il GDPR istituisce un quadro di conformità aggiornato per la protezione dei dati in Europa, basato sul principio di responsabilizzazione e sulla tutela dei diritti fondamentali. Questo nuovo quadro è incentrato su una serie di misure utili ad agevolare la conformità alle disposizioni del regolamento generale sulla protezione dei dati, tra cui le prescrizioni obbligatorie in circostanze specifiche (nomina DPO, Valutazione d’Impatto, ecc) e misure volontarie come i codici di condotta e i meccanismi di certificazione[1].

Ancora prima dell’attuazione del GDPR, il WP29 aveva rilevato come la certificazione potesse ricoprire un ruolo importante nel quadro di responsabilizzazione del titolare[2].

Affinché la certificazione possa fornire prove affidabili della conformità, in termini di protezione dei dati, è opportuno considerare le chiare norme che introducano prescrizioni sulle tipologie e sulle modalità di attuazione delle certificazioni coperte dal Regolamento (UE) 2016/679 e fugare ogni pericolosa confusione su vie di certificazione alternative.

L’articolo 42 del GDPR fornisce la base giuridica per lo sviluppo di tali norme.

I meccanismi di certificazione, per loro stessa natura, possono incrementare la trasparenza non solo per gli interessati ma anche nel quadro delle relazioni tra imprese, ad esempio tra titolare e responsabile. L'istituzione di meccanismi di certificazione, così come indicata dal Regolamento (UE) 2016/679 (“GDPR”), può migliorare la trasparenza e il rispetto del regolamento e consentire agli interessati di valutare il livello di protezione dei dati relativi a prodotti e Servizi[3]

La certificazione pertanto, quale atto volontario, ha il fine ultimo complessivo di infondere fiducia, a tutte le parti interessate, che un prodotto soddisfi i requisiti specificati. Il valore della certificazione quindi è il grado di fiducia e di credito stabilito da un imparziale e competente dimostrazione del soddisfacimento di requisiti specificati, effettuata da una terza parte.

Per tali ragioni la certificazione sotto GDPR dovrà essere una certificazione che nasce in ambiente specifico, con regole specifiche.

[1] EDPB Linee guida 1/2018
[2] WP29 – 173 Opinion 3/2010
[3] Considerando 100 (UE) 2016/679

SCARICA L'ARTICOLO IN PDF