Paolo Ricchiuto - Certificazioni privacy e regolamento UE: che succede?

Cookie free: nessun "biscotto" per spiare i lettori

Home Informazioni Contatti

Cerca in InterLex con Google

Gratis, per essere sempre aggiornato

sulle novità di InterLex

Privacy e sicurezza

Identità digitale

Le regole dell'internet

Diritto d'autore

Informazione e comunicazione

Amministrazione digitale

Reti e telecomunicazioni

Varie ed eventuali

Fonti normative e documenti

Numeri precedenti

Sezioni non più attive

Indice storico-sistematico 1995-2011

Certificazioni privacy e regolamento UE: che succede?

Privacy e sicurezza - Paolo Ricchiuto* - 1. marzo 2017

Mentre gli operatori vedono incombere l'onda del "regolamento privacy", acquista sempre più importanza la scialuppa di salvataggio della certificazione. Ma esiste già, oggi, una certificazione utilizzabile? Se sì, chi può rilasciarla?

Per rispondere, e dare un'occhiata consapevole al mercato, bisogna entrare nel meccanismo delineato dal regolamento, enucleando i seguenti principi di base, che vanno utilizzati come criteri guida fissati dal legislatore europeo:

1. La certificazione, da un lato, non è obbligatoria (art. 42 comma 3); dall'altro, non è completamente risolutiva, in quanto lascia impregiudicata la possibilità per il Garante di contestare eventuali non conformità al regolamento delle misure adottate dal titolare del trattamento (art. 42 comma 4). Vanno, allora, lette con equilibrio alcune disposizioni del regolamento (quali ad esempio l'art. 32 comma 3 in materia di misure di sicurezza) che sì, valorizzano la certificazione, ma nello stesso tempo ne sanciscono la non esaustività.

2. La certificazione può essere rilasciata direttamente dal Garante (art. 42 comma 5) Qui va puntata l'attenzione su una via che potrebbe (finalmente, a modesto avviso di chi scrive) superare quella relazione potenzialmente distorta che lega il controllato/pagante al controllore/pagato: il presidio di istituzionale e sempre certa terzietà che il Garante può assicurare in qualità di certificatore è una chance imperdibile, rispetto alla quale, ad oggi, non sembra però esservi un grande interesse da parte dell'Autorità (fino al 24 maggio 2018 il tempo c'è, chissà che qualcosa non si muova).

3. In alternativa, la certificazione può essere rilasciata dagli organismi che si siano preventivamente accreditati presso il Garante, o presso il certificatore dei certificatori, rappresentato nel nostro paese da Accredia (ente unico nazionale designato dal governo in base al regolamento EU n 765/08).

4. Attenzione, però: perché Accredia (o il Garante) possano accreditare gli organismi di certificazione, deve verificarsi quella che secondo il chiarissimo dettato dell'art. 43 comma 3 è una vera e propria condizione, e cioè che siano stati adottati dal Garante stesso (o in sede europea, dal Comitato) degli specifici criteri, che devono andare ad affiancare quelli normalmente in uso. E non solo: per completare il quadro, il successivo comma 8 rimette alla Commissione europea l'emanazione di atti delegati al fine di precisare i requisiti di cui tener conto per i meccanismi di certificazione.

Sulla base di tutto ciò, considerato che il Garante e/o il Comitato non hanno ancora adottato alcun criterio (e valutata anche, ove ritenuta anch'essa condizionante, la assenza di atti delegati da parte della Commissione), si dovrebbe concludere che ad oggi non esiste alcuna possibilità di certificare la conformità al regolamento, né che Accredia possa definire i requisiti per accreditare gli organismi di certificazione a tale fine.

E invece...

Invece si legge sul sito di Accredia che:
a) L'ente ha fatto proprio uno schema proprietario adottato da un organismo di certificazione, PharmaSoftFea, e lo ha fatto diventare lo standard di riferimento ai fini dell'accreditamento di altri organismi (niente di illegittimo, per carità. Un po' buffo, però, pensare che l'accreditatore accredita sulla base dei criteri di uno degli accreditandi. O no?)
Ma, ciò che è più importante:

b) Accredia già oggi consente agli organismi di certificazione di accreditarsi sulla base di tale schema.

c) P harmaSoft Fea (lo sviluppatore dello schema proprietario) già oggi rilascia certificazioni che vengono qualificate così: "Attualmente PsFeA è l'unico Organismo di certificazione in Europa ad esser stata accreditata per uno schema di certificazione data protection globale, applicabile a tutte le tipologie di organizzazioni, che risponda pienamente all'esigenze del Nuovo Regolamento EU-GDPR 2016/679.

E' certamente un limite di chi scrive, ma….non manca qualcosa ?
Ognuno, Garante compreso, potrà dare la sua risposta. La mia è che lo scenario appena descritto non è coerente con quanto previsto nel Regolamento. E se questa posizione risultasse fondata, il rilascio di una certificazione che non può certificare (così come l'accreditamento di certificatori che non possono essere accreditati) sarebbe proprio un pessimo esordio per il Regolamento.

* Avvocato in Roma

Per intervenire su questo argomento clicca qui

Inizio pagina

Indice di questa sezione

Home

Arma di sorveglianza di massa che limita la nostra libertà. Possiamo difenderci?

Un piccolo libro per capire come le tecnologie "smart" invadono la nostra vita privata e influenzano le nostre scelte.

Per saperne di più

Leggi le prime pagine

Le recensioni

Stampato o ebook

Acquistalo su Amazon

Storie italiane di spionaggio

Il colonnello Rey su Facebook

Pubblicazione iscritta nel registro della stampa del Tribunale di Roma con il n. 585/97 - Direttore responsabile Manlio Cammarata - P. IVA 13001341000