Tra le maggiori novità introdotte dal cd. “Regolamento Privacy”, merita di essere segnalata, sicuramente, quella delle certificazioni: è ora previsto il coinvolgimento di Organismi di certificazione accreditati per valutare la conformità dei sistemi di protezione dei dati attivati dai titolari o dai responsabili del trattamento soggetti al Regolamento.
L’introduzione delle certificazioni – le prime, per quanto è dato sapere, a livello legislativo in materia di protezione dei dati personali – si segnala per una molteplicità di ragioni.
Innanzitutto, perché si ha l’impressione che, nella difficoltà di dettare regole giuridiche comuni, proprie dello strumento normativo adoperato, si è fatto ricorso a forme di unificazione da un punto di vista tecnologico: in altri termini, le certificazioni non incontrano i limiti delle regole giuridiche, dal momento che non risentono delle singole tradizioni nazionali e sono identiche per tutti gli Stati membri.
Infine, l’adozione delle certificazioni serve ai titolari del trattamento per offrire – nella prospettiva risk based che permea l’intero Regolamento – uno strumento per dimostrare (o, quanto meno, per determinare una presunzione) di aver adottato delle misure di sicurezza efficaci, nonché per limitare l’importo della sanzione, in caso di eventuale contestazione da parte dell’Autorità competente.
Dunque, mentre gli operatori vedono incombere l’onda del cd. “Regolamento Privacy”, acquista sempre più importanza la scialuppa di salvataggio della certificazione.
La domanda è: esiste già, oggi, una certificazione utilizzabile? Se sì, chi può rilasciarla?
Partendo dal dato normativo, il Legislatore Comunitario menziona tali certificazioni in numerose norme, tra cui gli artt. 42 “Certificazione” e 43 “Organismi di Certificazione”, che individuano il meccanismo di base individuato dal legislatore europeo.
In particolare:
• Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, soprattutto a livello di Unione, l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al Regolamento dei trattamenti effettuati dai titolari e dai responsabili del trattamento. Sono tenute in considerazione le esigenze specifiche delle micro, piccole e medie imprese (art. 42 comma 1).
• La certificazione, da un lato, non è obbligatoria (art. 42 comma 3); dall’altro, non è completamente risolutiva, in quanto lascia impregiudicata la possibilità per il Garante di contestare eventuali non conformità al Regolamento delle misure adottate dal titolare del trattamento (art. 42 comma 4). A tal proposito, vanno allora lette con equilibrio alcune disposizioni del Regolamento (quali ad esempio l’art. 32 comma 3 in materia di misure di sicurezza) che sì, valorizzano la certificazione, ma nello stesso tempo ne sanciscono la non esaustività.
• La certificazione può essere rilasciata direttamente dal Garante (art. 42 comma 5) ovvero, in alternativa, dagli Organismi di certificazione che si siano preventivamente accreditati presso il Garante o presso il “certificatore dei certificatori”, rappresentato nel nostro Paese da Accredia (Ente unico nazionale designato dal governo in base al regolamento EU n 765/08, conformemente alla norma EN- ISO/IEC 17065/2012).
Saranno gli Stati europei a garantire che l’accreditamento sia affidato a uno solo o a entrambi i soggetti indicati nel provvedimento.
• A tal proposito, ai fini dell’accreditamento di tali Organismi da parte del Garante ovvero di Accredia, sarà necessario che gli Organismi richiedenti dimostrino di avere determinati requisiti: di essere soggetti indipendenti; non in conflitto di interessi; competenti in materia di protezione dati; che abbiano formalizzato apposite procedure (per il rilascio, il riesame periodico, il ritiro delle certificazioni e per la gestione dei reclami). Inoltre, devono dimostrare di soddisfare i criteri (di cui all’articolo 42 paragrafo 5) approvati dall’Autorità di controllo (artt. 55 e 56) o dal Comitato (art. 63), unitamente ai requisiti previsti dal Regolamento CE 765/2008 e da altre norme tecniche in materia.
Con riferimento a quanto appena esposto, si precisa che ad oggi il Garante e/o il Comitato non hanno ancora adottato alcun criterio.
L’accreditamento è rilasciato per un periodo di 5 anni ed è rinnovabile, ovvero revocabile, dal Garante o da Accredia.
• È previsto che gli Organismi di certificazione, cosí accreditati, trasmettano all’Autorità di controllo i motivi a sostegno della rilasciata o negata certificazione e che, successivamente, le Autorità di controllo provvedano a trasmetterli al Comitato. Il Comitato deve raccogliere in un Registro tutti i meccanismi di certificazione e i sigilli di protezione dei dati e li deve rendere pubblici con qualsiasi mezzo appropriato.
Gli Organismi di certificazione accreditati sono pertanto ritenuti responsabili della valutazione che comporta il rilascio (ovvero la revoca) della certificazione richiesta, fatta salva la specifica responsabilità del titolare.
• In linea generale, ai fini della certificazione, il titolare del trattamento (o il responsabile del trattamento che sottopone il trattamento effettuato al meccanismo di certificazione) fornisce all’Organismo di certificazione di cui all’articolo 43 ovvero all’Autorità di controllo competente tutte le informazioni e l’accesso alle attività di trattamento necessarie ad espletare la procedura di certificazione.
La certificazione è rilasciata al titolare del trattamento o responsabile del trattamento per un periodo massimo di tre anni. Essa può essere rinnovata alle stesse condizioni purché continuino a essere soddisfatti i requisiti pertinenti, ovvero può essere revocata qualora tali requisiti non siano più soddisfatti.
• La certificazione, rilasciata come sopra esposto, deve rispondere ai criteri approvati dall’Autorità di controllo (art. 58) oppure dal Comitato europeo per la protezione dei dati, istituito dal Regolamento stesso (art. 63).
• Il Regolamento, infine, prevede cha la Commissione europea possa adottare atti di esecuzione per stabilire norme tecniche riguardanti i meccanismi di certificazione e i sigilli e marchi di protezione dei dati, nonché le modalità per promuoverli e riconoscerli (art. 43, comma 9).
In poche parole, il sistema di valutazione delle conformità previsto dal Regolamento si fonda su una struttura gerarchico-piramidale composta da entità diverse, tra loro autonome e indipendenti:
l’ente accreditatore;
l’organismo di valutazione;
il soggetto da certificare.
L’indipendenza e la terzietà di ciascuna di tali parti costituiscono requisiti essenziali per la corretta affidabilità dell’intero sistema.
Il delicato rapporto tra Ente Accreditatore, Organismo di Valutazione e Soggetto da certificare.
A tal proposito, da più parti sono stati sottolineati i possibili rischi derivanti da una alterazione dell’innanzi descritto delicato equilibrio impostato dal Regolamento, soprattuto con riferimento a due profili:
1. Si è detto che la formulazione degli artt. 42 comma 5 e 43 prevede che il potere di rilasciare la certificazione sia riconosciuto alternativamente all’Autorità di controllo competente (per l’Italia, il Garante) ovvero agli Organismi di certificazione accreditabili presso il Garante, presso l’Organismo nazionale di accreditamento (per l’Italia, Accredia), ovvero entrambi.
Tale formulazione, nulla innova nella parte in cui prevede una competenza potenziale per l’accreditamento in capo all’Organismo nazionale di accreditamento e per la certificazione in capo all’ente di certificazione accreditato. Costituisce, invece, sicuramente una novità giuridica la previsione di tali competenze per la prima volta in capo all’Autorità di controllo.
Un primo quesito riguarderebbe la natura discrezionale o meno di tale scelta: vale a dire se lo Stato sia libero di decidere secondo una discrezionale valutazione se optare per l’alternatività o la cumulabilità degli Enti preposti all’accreditamento “privacy” (Garante / Accredia per l’Italia), oppure se tale decisione debba tener conto di talune considerazioni di principio. Una prima osservazione, fra tutte, sarebbe che l’ente accreditatore dovrebbe essere indipendente e terzo (cioè diverso) dall’organismo di valutazione e che quest’ultimo dovrebbe essere, a sua volta, indipendente e terzo rispetto al soggetto da certificare.
In considerazione di ciò, si potrebbe concludere che la scelta dello Stato membro in merito alle competenze per l’accreditamento e per il rilascio delle certificazioni GDPR andrebbe orientata sulla necessità di non scadere nel paradosso di un sistema in cui accreditatore, organismo di certificazione, fonte dei criteri integrativi e verificatore della sussistenza dei requisiti di accreditamento, si concentrino nell’unica entità dell’Autorità di controllo nazionale.
2. Un secondo quesito trae origine dalla formulazione dell’art. 43 comma 3: affinché Accredia (o il Garante) possano accreditare gli Organismi di certificazione, deve verificarsi la condizione che siano stati adottati dal Garante stesso (o in sede Europea, dal Comitato) degli specifici criteri, che affianchino quelli normalmente in uso ai sensi della norma UNI CEI EN ISO/IEC 17065:2012. Il successivo comma 8 dello stesso articolo, inoltre, rimette alla Commissione Europea l’emanazione di atti delegati al fine di precisare i requisiti di cui tener conto per i meccanismi di certificazione.
Ad oggi, però, né il Garante e il Comitato hanno ancora adottato alcun criterio, né la Commissione ha emanato gli atti delegati. Si dovrebbe concludere che, allo stato, non esisterebbe alcuna possibilità di certificare la conformità al Regolamento Privacy, né che Accredia possa definire i requisiti per accreditare gli organismi di certificazione a tale fine.
Sul sito di Accredia, invece, si legge che l’Ente ha fatto proprio lo schema proprietario ISDP©10003:2015 adottato da un Organismo di certificazione, PharmaSoftFea, facendolo diventare standard di riferimento e consentendo ad altri Organismi di certificazione di accreditarsi sulla base di tale schema.
PharmaSoft Fea, sviluppatore dello schema proprietario, pertanto, già oggi rilascia certificazioni che vengono qualificate così: “Attualmente PsFeA è l’unico Organismo di certificazione in Europa ad esser stata accreditata per uno schema di certificazione data protection globale, applicabile a tutte le tipologie di organizzazioni, che risponda pienamente all’esigenze del Nuovo Regolamento EU-GDPR 2016/679”.
L’Art. 29 Working Party.
Come noto, il 28 aprile 2017 il Garante italiano per la protezione dei dati personali ha pubblicato una prima “Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali” finalizzata ad individuare cosa cambia e cosa resta invariato rispetto all’architettura privacy articolata dal decreto legislativo n. 196 del 2003 (il cd. “Codice della privacy”). Per quanto riguarda nello specifico gli schemi di certificazione, il Garante nella Guida precisa che si attende il legislatore nazionale affinché stabilisca le modalità di accreditamento dei soggetti certificatori. La Guida inoltre anticipa che anche l’Art. 29 Working Party (un gruppo di lavoro consultivo ed indipendente istituito dall’art. 29 della direttiva 95/46, composto da un rappresentante delle autorità di protezione dei dati personali designate da ciascuno Stato membro, dal Garante europeo della protezione dei dati, nonché da un rappresentante della Commissione Euroea) sta lavorando su questi temi.
In attesa della Opinion del Working Group Article 29, possono tuttavia farsi alcune riflessioni preliminari.
In primis, la scelta del legislatore comunitario di non specificare nel Regolamento quali siano dette certificazioni, demandando la selezione, sul punto, alle Autorità nazionali e al Working Group appare una scelta corretta, dal momento che il processo di obsolescenza tecnologica di tali certificazioni è rapido e, quindi, non sarebbe stato prudente cristallizzarle in uno strumento poco flessibile come un Regolamento.
Inoltre, è possibile ragionare sulle Certificazioni che, al momento, potrebbero essere già utilizzate.
Quali certificazioni? Il Regolamento Privacy e il certificato ISO 27001.
Il legislatore comunitario, dunque, incoraggia meccanismi di certificazione della protezione dei dati che abbiano la potenzialità di dimostrare la conformità alla legge e costituiscano un fattore attenuante in caso di sanzioni. Questa indicazione ha spinto la Iso ad avviare lo sviluppo della «Iso/Iec 27552 – Enhancement to Iso/Iec 27001 for privacy management»: l’organizzazione punta ad evolvere lo Standard in materia di gestione della sicurezza delle informazioni nello strumento principe per garantire la conformità al Regolamento.
Nel recente passato, alcuni Garanti nazionali hanno ammesso che un certificato ISO 27001 (Standard internazionale che definisce i requisiti per impostare e gestire un sistema di gestione della sicurezza delle informazioni) possa rappresentare un esempio di best practice: appare verosimile, quindi, che tale tipologia di certificazione sia confermata e inclusa tra quelle “benedette” dalle autorità di vigilanza.
È vero che la norma ISO 27001 non copre direttamente alcuni requisiti previsti dal Regolamento Privacy (come: il diritto ad essere informati; il diritto di far eliminare i propri dati; la portabilità dei dati), ma allo stesso tempo identifica i dati personali come asset di sicurezza informativa e fornisce i mezzi per garantire questa protezione.
I punti più rilevanti su cui lo Standard ISO 27001 può aiutare le Aziende a conformarsi a questo Regolamento sono:
• Risk Assessment – A causa delle gravi sanzioni definite nel Regolamento UE e del forte impatto finanziario che queste potrebbero avere sulle Organizzazioni, è evidente che la valutazione dei rischi per la loro privacy sia un punto troppo importante per non essere adeguatamente attenzionato.
La norma ISO 27001 richiede una valutazione di questo tipo.
In particolare, attuando la ISO 27001, i dati personali devono essere valutati e classificati: il controllo A.8.2.1 (Classificazione delle informazioni) dispone che: “Le informazioni devono essere classificate in relazione al loro valore, ai requisiti cogenti e alla criticità in caso di divulgazione o modifica non autorizzate.”
• Compliance – Applicando la norma ISO 27001, il controllo A.18.1.4 (Privacy e protezione delle informazioni personali di identificazione) richiede che ” Si devono assicurare la privacy e la protezione dei dati personali, come richiesto dalla legislazione e dai regolamenti pertinenti, per quanto applicabile.”.
A tali fini, diventa imperativo avere un “elenco” dei riferimenti legislativi, normativi, e contrattuali di riferimento: se l’Organizzazione è soggetta al Regolamento Privacy, esso farà parte di questa lista e l’Organizzazione dovrà agire in conformità alle sue disposizioni.
• Notifica delle violazioni – Il Regolamento prevede che le Aziende dovranno notificare all’Autorità competente (ed in alcuni casi all’interessato) la scoperta di un “data breach”, entro le 72 ore successive. L’implementazione del controllo ISO 27001 A.16.1 (Gestione degli incidenti relativi alla sicurezza delle informazioni e dei miglioramenti) dovrebbe assicurare “un approccio coerente ed efficace alla gestione degli incidenti in materia di sicurezza informatica, compresa la comunicazione sugli eventi di sicurezza”. La norma impone infatti – nel disporre che debbano essere stabilite le responsabilità e le procedure di gestione per assicurare una risposta rapida ed efficace agli incidenti relativi alla sicurezza delle informazioni – specifica che “Gli eventi relativi alla sicurezza delle informazioni devono essere segnalati il più velocemente possibile attraverso appropriati canali gestionali”.
• Gestione degli Asset – Il controllo ISO 27001 A.8 (Gestione patrimoniale) impone di identificare gli asset dell’Organizzazione e definire adeguate responsabilità per la loro protezione; di classificare le informazioni affinchè ricevano un adeguato livello di protezione in linea con la loro importanza per l’Organizzazione; di prevenire la divulgazione non autorizzata, la modifica, la rimozione o la distruzione delle informazioni archiviate sui supporti. Tutti esigenze previste anche dal Regolamento Privacy.
• Privacy by Design – La Privacy by Design, un altro requisito previsto dal Regolamento UE, diventa obbligatoria nello sviluppo di prodotti e sistemi informativi. Il controllo ISO 27001 A.14 (Acquisizione, sviluppo e manutenzione del sistema) è finalizzato a garantire che “la sicurezza delle informazioni sia parte integrante di tutto il ciclo di vita dei sistemi informativi”.
• Relazioni con i fornitori – Il controllo ISO 27001 A.15.1 (Sicurezza delle informazioni nelle relazioni con i fornitori) ha come obiettivo “la protezione degli asset dell’organizzazione accessibili da parte dei fornitori “. Anche il GDPR prevede requisiti di sicurezza delle informazioni per mitigare i rischi associati all’accesso agli asset dell’organizzazione da parte dei fornitori, prevedendo che essi debbano essere concordati con i fornitori stessi mediante accordi formali e documentati.
Al di là dei controlli tecnici adottati, della documentazione strutturata, del monitoraggio e del miglioramento continuo, l’attuazione della norma ISO 27001 promuove la cultura e la consapevolezza dell’importanza della sicurezza dei dati. Questo è fondamentale in quanto la protezione dei dati personali non riguarda solo la tecnologia ed i processi, ma anche le persone: i dipendenti in tal modo diventano più consapevoli della normativa ed acquisiscono la capacità di rilevare e segnalare i “data breach”.
In conclusione, pare che lo standard ISO 27001 sia un interessante punto di partenza per assicurare la conformità con il Regolamento Privacy: se l’Organizzazione ha già implementato lo Standard, certamente è almeno a metà strada nel percorso per garantire la protezione dei dati personali e ridurre al minimo il rischio di una sanzione, il cui impatto a livello finanziario e di visibilità potrebbero essere catastrofici per l’Organizzazione.
In estrema sintesi, poiché quasi tutte le Società che operano a livello comunitario dovranno rispettare il Regolamento Privacy e poiché lo Standard ISO 27001 è una norma internazionalmente riconosciuta, potrebbe rivelarsi essere l’opzione migliore per facilitare l’immediata conformità con il GDPR.