Privacy e GDPR

Il General Data Protection Regulation (GDPR) è il Regolamento Europeo relativo alla privacy e alla tutela dei dati, operativo dal 25 maggio 2018. Il Regolamento introduce e istituisce alcune novità come il diritto all’oblio, la portabilità dei dati e l’obbligo di notizia in caso di data breach (violazione di dati personali). I destinatari del regolamento sono i Rtitolari del trattamento dei dati, ossia chi gestisce le informazioni.

L’articolo 24 del GDPR richiede a tutti i titolari di mettere in atto adeguate misure organizzative, essere in grado di dimostrarlo e mantenerle aggiornate. L’articolo 28 del GDPR stabilisce che nel caso in cui le attività di trattamento siano affidate a terzi, questi debbano presentare garanzie sufficienti a mettere in atto misure tecniche ed organizzative adeguate per assicurare il rispetto del Regolamento e dei diritti degli interessati.

Il titolare deve dunque dimostrare la correttezza delle proprie scelte, incorrendo in sanzioni amministrative se in difetto e rispondendo per i danni verso gli interessati. Queste scelte devono essere dimostrabili, condivisibili ed obiettive in modo tanto più rigoroso quanto più sono maggiori i rischi per i diritti e le libertà delle persone fisiche interessate dai trattamenti. La medesima responsabilità “in eligendo” è peraltro prevista in generale dall’art. 2049 CC., ma anche (per gli enti pubblici ed i soggetti privati equiparati) dalla Legge 190/2012 e s.m.i. - Prevenzione della corruzione e dell’illegalità nella pubblica amministrazione, e infine dalle corrette prassi gestionali richiamate dal D. Lgs. 231/2001 - Responsabilità amministrativa da reato per gli enti privati.

I destinatari sono imprese soggette al GDPR e personale dipendente o liberi professionisti che operano nell’ambito Privacy e sicurezza delle informazioni.

CERTIFICARE LE IMPRESE

Sotto il profilo della adeguata organizzazione delle attività di trattamento, l’art. 42 del GDPR prevede espressamente “l’istituzione di meccanismi di certificazione della protezione dei dati, nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al Regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento”. Il regolamento fa espressamente riferimento ad una certificazione di servizio accreditata ISO 17065 per quanto, al momento, non siano ancora state definite dal Legislatore nazionale le relative modalità, non siano stati definiti i “requisiti aggiuntivi” per l’accreditamento degli organismi di certificazione (cfr. art. 43, paragrafo 1, lettera b) e i criteri della certificazione stessa (cfr. art. 42 paragrafo 5).

In attesa del compimento di questo passaggio normativo, il titolare e/o il responsabile del trattamento, possono attribuire evidenza, condivisibilità e obiettività alle scelte adottate fondandole su standard e/o prassi di riferimento. La scelta dello standard o della prassi di riferimento deve essere basata sull'affidabilità, la notorietà, la competenza di chi ha approvato lo standard o la prassi. In Italia gli standard e le prassi di riferimento approvate da UNI (Ente Nazionale di Unificazione) offrono di per sé un alto livello di qualità a sostegno della diligenza dei titolari o responsabili che ne adottano gli standard o le prassi di riferimento. La norma ISO/IEC 27001 è sicuramente uno strumento molto interessate ma, di per sé, non è una norma di certificazione di servizio, bensì di sistema. Può, sicuramente, essere di supporto ma non risponde pienamente ai requisiti del GDPR che richiede espressamente una certificazione di servizio.

Intertek Italia ha definito un proprio schema di certificazione PDR PRIVACY che segue le regole della ISO 17065 per potere rilasciare la certificazione del servizio di gestione della sicurezza dei dati e della privacy.

ASSESSMENT E GAP ANALYSIS

Assessment e/o Gap Analysis sono attività non previste dal GDPR ma, per tutte le organizzazioni, possono essere utili e propedeutiche a capire quanto siano distanti o allineate ad un modello di certificazione di servizio correlato al GDPR. Tali attività vengono condotte in ottemperanza ai principi della norma ISO 17020 che stabilisce i requisiti per il funzionamento di organismi che effettuano attività di ispezione e assessment. La finalità di tali attività non è il rilascio di un certificato ma di un rapporto di assessment/gap analysis volto a evidenziare l’eventuale distanza dalla conformità secondo il modello PDR PRIVACY.

FORMAZIONE SPECIFICA

Intertek offre servizi di formazione specifica finalizzata alla certificazione delle persone o alla formazione specifica o allargata a tutto il personale coinvolto nei processi aziendali che hanno influenza sulla sicurezza dei dati e della privacy. Intertek Italia ha progettato un corso di 80 ore che, oltre a soddisfare il requisito obbligatorio di accesso agli esami definito dalla norma UNI 11697, permette l’accesso anche ad altri 5 possibili certificazioni legate alla sicurezza delle informazioni.

Il corso tratta le seguenti tematiche:

• quadro legislativo di riferimento correlato al GDPR;
• ISO/IEC 27000 ovvero la linea guida di interpretazione e applicazione della famiglia delle norme ISO/IEC 27000;
• ISO/IEC 27001 ovvero la norma di certificazione per i sistemi di gestione della sicurezza delle informazioni;
• ISO/IEC 27021 ovvero la norma di certificazione internazionale per il professionista dei sistemi di gestione della sicurezza delle informazioni.
• ISO 19011 ovvero la norma che definisce i criteri di conduzione di audit;
• norma UNI 11506 ovvero la norma di certificazione del ICT Security manager, ICT Security Specialist e WEB security expert;
• UNI 11697 che è al norma per la certificazione per il Data Protection Officer e per il valutatore privacy.

Intertek Italia è inoltre accreditato per la Certificazione della Professione relativa al Responsabile Protezione Dati secondo il GDPR. Attraverso un unico ente interlocutore le aziende potranno così ottenere le certificazioni sia per la propria professione sia per l'attività d'impresa.