In vigore il Regolamento europeo in materia di protezione dei dati personali

E’ in vigore dal 24 maggio scorso il Regolamento europeo n. 679 del 27 aprile 2016 in materia di protezione dei dati personali, pubblicato sulla Gazzetta Ufficiale dell’Unione Europea del 4 maggio 2016 (L 119) insieme alla Direttiva che regola i trattamenti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini, cd “pacchetto protezione dati”.

Il Regolamento, che dovrà essere applicato in tutti i Paesi UE dal 25 maggio 2018, prevede il coinvolgimento di Organismi di certificazione accreditati per valutare la conformità dei sistemi di protezione dei dati attivati dai titolari o dai responsabili del trattamento soggetti al Regolamento (Articoli 42 e 43). La norma indicata come riferimento per l’accreditamento degli Organismi è la EN ISO/IEC 17065:2012 che disciplina il rilascio della certificazione di prodotto, di cui il titolare o il responsabile del trattamento dei dati potranno dimostrare il possesso con “sigilli o marchi”.

L’adesione al sistema dei controlli di conformità è volontaria e la certificazione, che è valida per un massimo di tre anni – rinnovabile alle stesse condizioni – non sottrae il titolare o il responsabile del trattamento dei dati dalle responsabilità che sono loro attribuite dalla legge.

Il Regolamento, all’art. 43 in particolare, prevede che l’accreditamento possa essere rilasciato agli Organismi di certificazione dall’Ente unico nazionale di accreditamento, in Italia ACCREDIA, o dall’Autorità competente, per l’Italia l’Autorità Garante per la protezione dei dati personali. Sono gli Stati europei a garantire che l’accreditamento sia affidato a uno solo o a entrambi i soggetti indicati nel provvedimento.

Dalla lettura dell’art. 58 si desume inoltre che la certificazione potrà essere rilasciata sia dagli Organismi di certificazione sia dall’Autorità competente, e dovrà rispondere a criteri approvati dall’Autorità di controllo oppure dal Comitato europeo per la protezione dei dati istituito dal Regolamento stesso.

Il Regolamento fissa alcuni requisiti a cui l’Organismo di certificazione dovrà dimostrare all’Autorità di controllo la propria conformità, quali l’indipendenza e la competenza, e il rispetto dei criteri di accreditamento imposti dall’Autorità stessa, che ha il potere di verificare il rispetto delle regole nell’emissione dei certificati.

L’Autorità di controllo ha inoltre la funzione esclusiva di accreditare, in base alla valutazione di requisiti specificati nel Regolamento, i soggetti che verificano la conformità dei titolari o dei responsabili del trattamento che aderiscono a codici di condotta proposti da associazioni o altri organismi delle proprie categorie. L’adesione a tali codici di condotta o la certificazione può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare o del responsabile del trattamento.

Il Regolamento, infine, prevede cha la Commissione europea potrà adottare atti di esecuzione per stabilire norme tecniche riguardanti i meccanismi di certificazione e i sigilli e marchi di protezione dei dati, nonché le modalità per promuoverli e riconoscerli (Art. 43, comma 9).

Il Regolamento presenta indubbiamente alcuni aspetti che dovranno essere oggetto di chiarimento:

• Le funzioni che può assumere l’Autorità di controllo: normazione, accreditamento, certificazione e vigilanza sull’applicazione dei meccanismi di controllo. Se assunte contemporaneamente, configurano infatti delle incompatibilità che dovranno essere attentamente valutate.
• Anche nel caso in cui lo Stato membro scelga l’accreditamento dell’Ente unico nazionale, sembra che l’autorizzazione allo svolgimento dell’attività di certificazione debba essere sottoposta a una ulteriore valutazione fatta dall’Autorità di controllo. Viene replicato, per certi aspetti, il meccanismo degli Organismi di certificazione accreditati dall’Ente di accreditamento e poi notificati dall’Autorità competente alla Commissione europea.
• Il Regolamento accoglie gli indirizzi della UE sul dovere di attenzione speciale alle micro, piccole e medie imprese, ma non stabilisce quali criteri adottare (prezzo, semplificazione, diversificazione degli schemi di certificazione). Pertanto, per assicurare l’uniformità di trattamento dei soggetti richiedenti la certificazione, dovranno essere formulati indirizzi univoci.
• Gli schemi di accreditamento elaborati sulla base dei criteri approvati dal Comitato europeo diventano schemi di valenza europea. Dal momento che l’infrastruttura europea di accreditamento EA (European co-operation for accreditation) non valuta gli schemi regolamentati, spetta alla Commissione il ruolo di armonizzare gli schemi a livello UE. Potrebbe essere utile la nascita di uno schema unico, o di una norma CEN, per evitare confusione sul mercato sui vari schemi di certificazione.
• Occorre valutare come si potrà conciliare l’attività degli Enti di normazione, sugli stessi temi, con quella della Commissione e la diversa possibile valenza degli schemi basati su disciplinari proprietari, norme tecniche o documenti emessi dalla Commissione europea.
• Dovrebbe essere chiarita la valenza attribuita all’adesione ai codici di condotta, in relazione all’ottenimento di una certificazione, e alla loro spendibilità esimente ai fini della responsabilità d’impresa.
• Ci si attende infine che i criteri di merito che dovranno essere formulati dall’Autorità garante per la privacy chiariscano come valutare le certificazioni già ottenute sotto accreditamento in Italia da organizzazioni e aziende – con riferimento a schemi proprietari già accreditati (Organismo Pharmasoft) o alla norma ISO 27001 – o dai professionsti in materia di sicurezza delle informazioni, come quelli certificati sulla base di schemi proprietari in conformità alla Legge n. 4 del 2013 sulle professioni non regolamentate.