Paolo Ricchiuto - Certificazioni: se la toppa non rattoppa, il buco resta

Cookie free: nessun "biscotto" per spiare i lettori

Home Informazioni Contatti

Cerca in InterLex con Google

Gratis, per essere sempre aggiornato

sulle novità di InterLex

Privacy e sicurezza

Identità digitale

Le regole dell'internet

Diritto d'autore

Informazione e comunicazione

Amministrazione digitale

Reti e telecomunicazioni

Varie ed eventuali

Fonti normative e documenti

Numeri precedenti

Sezioni non più attive

Indice storico-sistematico 1995-2011

Certificazioni: se la toppa non rattoppa, il buco resta

Privacy e sicurezza - Paolo Ricchiuto* - 19 aprile 2017

Si leggono in giro interessanti commenti sul tema dell'usabilità delle certificazioni, che si assumono già oggi rilasciabili da organismi di certificazione autorizzati. Ma nessuna risposta al quesito che avevamo posto su queste pagine.

Il problema era, ed è, semplicissimo: esiste una norma del Regolamento 679 (art. 43 comma 3) che espressamente subordina l'accreditamento degli organismi di certificazione (presso il Garante o presso Accredia ) all'approvazione da parte del Garante medesimo di specifici criteri sulla scorta dei quali procedere all'accreditamento, ma il Garante non ha ancora adottato quei criteri (vedi Certificazioni privacy e regolamento UE: che succede?).

Allora come è mai possibile che, da un lato, un organismo di certificazione venda una certificazione che si qualifica come "conforme al Regolamento", e soprattutto, dall'altro, Accredia abbia da tempo aperto alla possibilità di accreditamento per altri organismi ai fini del successivo collocamento sul mercato di un prodotto anch'esso "conforme al regolamento"?

La risposta, a oggi, non l'ha data nessuno. La situazione di mercato, a mano a mano che i mesi passano, e le aziende si pongono il problema di volersi certificare in vista della piena entrata a regime del Regolamento (24 maggio 2018), appare alterata da un sistema impegnato in un gigantesco autogol, che rivisto alla moviola fa quasi sorridere: come potrebbe mai il Garante non ritenere inservibile un accreditamento rilasciato da Accredia o una certificazione rilasciata da un organismo di certificazione in un contesto normativo come quello appena ricostruito?

Eppure le soluzioni, se si volesse affrontare il problema invece che fingere che non esista, potrebbero essere diverse:

- il Garante potrebbe dedicarsi al tema, e dettare i criteri: la toppa sarebbe certo tardiva, non in sé salvifica per eventuali certificazioni già rilasciate, ma avrebbe il taglio giusto per tappare il buco;
- oppure il Garante potrebbe dichiarare espressamente e formalmente che non ha nessun criterio da adottare, e che quindi ritiene sufficienti "i requisiti già previsti dal Regolamento EU 765/08" (quello sulla base del quale opera Accredia) e "le norme tecniche che definiscono modi e procedure degli organismi di certificazione".
Anche in questo caso la toppa avrebbe un aspetto non proprio splendido dal punto di vista estetico/istituzionale, ma almeno permetterebbe di ritenere soddisfatto il pre-requisito fissato dall'art. 43 comma 3 del Regolamento.

Fino a quando, però, il Garante continuerà a non prendere una posizione, ogni altro tentativo di tappare il buco non potrà che fallire, rendendo la situazione nella quale siamo immersi ancora più grottesca.

E allora sarà pure interessante confrontare le diverse opinioni sulla portata delle novità introdotte dal Regolamento in materia di certificazioni, e ritenere, ad esempio, che lo stesso "incentivi la certificazione autonoma", come autorevolmente sostenuto ultimamente, tanto da dover indurre il legislatore ad orientarsi verso una previsione che, nell'esercizio della facoltà prevista dall'art. 43 comma 1, inibisca proprio al Garante lo svolgimento dell'attività di accreditamento, rimettendola in via esclusiva ad Accredia (vedi Il Sole 24 Ore del 05.04.17, pag. 33).

Personalmente non sono d'accordo con una parola una di questa ricostruzione, e da un lato non vedo altro che una norma che incentiva la certificazione (art. 42), sì, ma senza nessuna preferenza per quella rilasciata dal Garante o da Accredia; dall'altro, ritengo che concentrare solo su Accredia la possibilità di accreditamento equivarrebbe a mortificare, senza alcuna ragione, una delle più importanti novità contenute nel Regolamento.

Ecco, qui siamo nella fisiologia del confronto esegetico, che appassiona e divide, come è giusto che sia.
Ma il tema centrale, tanto oggettivo a mio avviso da restare non opinabile, era e resta quello della impossibilità, ad oggi, per Accredia, di accreditare e per qualsiasi organismo di certificazione, di certificare, in assenza dei criteri dettati dal Garante.

E fino a quando, su questo dirimente profilo, non arriverà una motivata smentita da parte degli organi competenti, o una toppa della misura giusta, il buco resterà un buco.

* Avvocato in Roma

Per intervenire su questo argomento clicca qui

Inizio pagina

Indice di questa sezione

Home

Arma di sorveglianza di massa che limita la nostra libertà. Possiamo difenderci?

Un piccolo libro per capire come le tecnologie "smart" invadono la nostra vita privata e influenzano le nostre scelte.

Per saperne di più

Leggi le prime pagine

Le recensioni

Stampato o ebook

Acquistalo su Amazon

Storie italiane di spionaggio

Il colonnello Rey su Facebook

Pubblicazione iscritta nel registro della stampa del Tribunale di Roma con il n. 585/97 - Direttore responsabile Manlio Cammarata - P. IVA 13001341000