Industria 4.0 e l’esplosione dei big data testimoniano come nella “società dei sensori” i dati personali si siano trasformati in tracce pervasive, suscettibili di identificare i singoli. Un volume impressionante di informazioni che solleva il problema di come assicurare trasparenza e controllo sul loro utilizzo.

Gli strumenti di regolamentazione volontaria previsti dal Gdpr (General data protection regulator, il regolamento europeo 2016/679), come marchi e sigilli oppure codici deontologici e certificazione privacy, sono la segnaletica di affidabilità generale per la corretta gestione del traffico delle tracce individuali. La certificazione, a cui possono ricorrere sia i soggetti privati sia quelli pubblici, rende manifesta la conformità al regolamento nei riguardi di partner commerciali, Autorità di controllo, clienti e consumatori.

Diventa quindi comprensibile l’attesa per l’approvazione delle relative linee guida ad opera del Gruppo di lavoro dell’articolo 29, l’organo consultivo della Commissione Ue sulla privacy. Il tema è stato inserito nell’agenda del 6 e 7 febbraio, penultima riunione prima dello scioglimento del Gruppo, sostituito dal Comitato dell’articolo 68.

Il sistema della certificazione è un processo che culmina in un attestato (il “certificato”) rilasciato da un ente indipendente e accreditato (“ente di certificazione”), secondo il quale l’azienda assegnataria risulta soddisfare determinati requisiti indicati in un apposito schema di verifica (“schema di certificazione”), approvato in precedenza da un ente autonomo di supervisione (“Organismo di accreditamento”), secondo metodi e procedure indicati in norme tecniche, di contenuto generale e valide per chiunque.

Il Gdpr recepisce questo meccanismo, impostandolo su uno schema di certificazione approvato dall’Autorità di controllo competente oppure dall’Organismo nazionale di accreditamento (per l’Italia, Accredia). Dall’altro lato, il Gdpr prevede alcune disposizioni integrative, specifiche per la “certificazione privacy”.

In sintesi, si stabilisce che i soggetti con potere di accreditamento possono essere l’organismo nazionale di accreditamento o l’Autorità di controllo (da noi è il Garante privacy) oppure entrambi. Il riconoscimento di una competenza alternativa tra organismo di accreditamento e autorità di controllo può giustificarsi con la constatazione che l’attuale situazione degli organismi di accreditamento presso gli Stati membri appare troppo variegata per poter consentire una soluzione uniforme. Di contro, la terza opzione della competenza congiunta non sembra trovare un ragionevole fondamento. Spetterà agli Stati membri, in base al Gdpr, scegliere l’opzione ritenuta ottimale per il contesto nazionale.

I criteri di accreditamento sono quelli previsti dallo standard En-Iso/Iec 17065/2012, integrati con quelli che il Garante stabilirà: una scelta di campo rispetto agli schemi sui sistemi di gestione delle informazioni, della famiglia Iso 27000. Gli enti di certificazione, pertanto, dovranno dimostrare competenza sia in tema di standard Iso 17065 sia riguardo alla disciplina della privacy. Per questo, se un ente di certificazione si fosse già accreditato in base alla norma En-Iso/Iec 17065/2012 per aspetti estranei al Gdpr e successivamente intendesse estendere l’ambito del proprio accreditamento anche alla privacy, dovrebbe dimostrare di soddisfare gli ulteriori requisiti previsti dal Garante.

Il futuro “certificato Gdpr” (articolo 43 del regolamento) non è garanzia assoluta di rispetto della norma, ma rappresenta comunque un’attestazione la cui attendibilità è supportata da verifiche periodiche di compliance, sanzioni per il caso di trasgressioni, possibilità per terzi di effettuare reclami e di riceverne adeguato riscontro.

AdA

fonte Sole24Ore 28/18 RI e RI