LO PRECISA IL GARANTE CHE HA DIFFUSO IERI LE RISPOSTE ALLE DOMANDE PIÙ FREQUENTI IN MATERIA
di Antonio Ciccia Messina
La certificazione di conformità privacy non riguarda né prodotti né consulenti. Si certificano, infatti, i trattamenti dei dati. Lo precisa il Garante della privacy che ha diffuso ieri le risposte alle Faq (domande più frequenti). Dunque, non si certifica un software in quanto tale, ma si certifica il trattamento effettuato da una certa impresa, che fa uso di quell’applicazione. Stiamo parlando delle certificazioni previste dagli articoli 42 e 43 del Regolamento Ue sulla protezione dei dati n. 2016/679 (Gdpr). In un quadro di norme, quelle del Gdpr, molto spesso vaghe e generiche, che lasciano alle imprese il peso di documentare di essere in regola, la certificazione, in effetti, può essere uno strumento utile, anche se non risolutivo, per ridurre il rischio di sanzioni o di responsabilità. Per capire, poi, i costi (di acquisizione e mantenimento) delle certificazioni è però troppo presto: bisognerà vedere come si muove il mercato. Nel frattempo, vediamo le più significative risposte del Garante.
Chi è coinvolto. Da un lato ci sono le società, che vendono servizi di certificazione, e dall’altro lato imprese, enti, studi professionali e pubbliche amministrazioni, che intendono acquisire la certificazione, che è comunque volontaria. Si tratta di un mercato molto ampio, considerato che, pur con tutti suoi limiti, la certificazione per lo meno fa presumere una certa diligenza. Per completezza si aggiunge che il Garante della privacy non rilascia certificazioni.
A cosa serve. La certificazione aiuta a dimostrare di essere in regola con le leggi sulla privacy. Questo può portare effetti positivi per la reputazione commerciale, per avere più punti in una gara di appalto e così via.
Se ne può tenere conto per consentire trasferimenti di dati all’estero e nell’applicazione delle sanzioni (eventuale effetto riduttivo delle somme da pagare).
A cosa non serve. Ma attenzione a non confondersi. La certificazione non è una garanzia e non dimostra in assoluto che si è a posto. Il Garante o il giudice possono sempre contestare violazioni e applicare sanzioni. L’articolo 42 Gdpr lo dice chiaramente: la certificazione in sé non riduce la responsabilità del titolare/responsabile del trattamento. Chi tratta i dati è sempre responsabile e la certificazione non è un automatico lasciapassare.
Che cosa si può certificare. Si può certificare una sola operazione di trattamento (ad esempio la conservazione di dati) oppure più operazioni di trattamento (ad esempio raccolta, conservazione, messa a disposizione).
Se più trattamenti configurano un servizio o un prodotto, la certificazione può avere come oggetto tale servizio o prodotto (come il servizio di gestione del personale di un’azienda). Il Garante precisa che non si può certificare un prodotto slegato dall’uso che se ne fa. Ad esempio non si può certificare, in quanto tale, un software per la gestione dei dati dei dipendenti. Si può certificare, invece, il trattamento dei dati dei dipendenti svolto dal datore di lavoro con quel dato software.
Certificazione delle persone. La certificazione delle persone, ad esempio, del consulente o del responsabile della protezioine dei dati (Dpo) non rientrano tra quelle disciplinate dal Gdpr. Sul mercato ci sono, è vero, certificazioni delle competenze rilasciate ai sensi di schemi elaborati da singoli enti oppure ai sensi di una norma tecnica adottata dall’Uni: tutte sono sullo stesso piano e tutte utili a far valutare le competenze individuali, ma nessuna di esse può definirsi una certificazione prevista dal Gdpr.
Fonte: