Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono

Trattamento Dati

Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono

Il Regolamento generale sulla protezione dei dati incoraggia l’adesione a meccanismi di certificazione volti a dimostrare la conformità al GDPR dei trattamenti effettuati dalle organizzazioni. Ma quali sono, in concreto, i benefici per chi sceglie di certificarsi?

04 Feb 2021

Andrea Reghelin

Partner P4I - Partners4Innovation

Elisa Costantino

Legal Consultant – Partners4Innovation

Certificazioni GDPR: facoltative ma strategiche per aziende che vogliono differenziarsi nel campo della tutela della privacy e dei dati personali. Tra i meccanismi più trasversali previsti dalla General Data Protection Regulation per supportare l’organizzazione nella dimostrazione della propria conformità un posto importante spetta infatti all’adesione a processi di certificazione che rispondano ai requisiti delineati agli artt. 42 e 43 del Regolamento. Previa effettuazione di verifiche imparziali e indipendenti da parte di organismi di certificazione terzi o dello stesso Garante, che attestino la soddisfazione di determinati schemi approvati dall’Autorità italiana o dall’EDPB, qualsiasi organizzazione può ottenere le certificazioni.

Il GDPR prevede specifici adempimenti mandatori in capo a titolari o responsabili del trattamento, volti ad assicurare un maggior livello di tutela dei dati personali – è il caso, ad esempio, dell’obbligo di nomina del DPO (Data Protection Officer) a fronte di determinate caratteristiche dell’organizzazione. Ciò non avviene nel caso delle certificazioni. Si tratta di una misura volontaria, che può riguardare una o più operazioni di trattamento a scelta del soggetto certificando.

La natura facoltativa di questo istituto fa sì che la sua attivazione costituisca un elemento rilevante in termini di responsabilizzazione, dimostrando l’impegno dell’organizzazione nell’adeguamento al GDPR e alle altre normative in materia di protezione dei dati personali. Inoltre, le certificazioni GDPR assicurano una maggiore trasparenza nei confronti di possibili partner commerciali, di dipendenti, clienti o altri interessati. Questi possono valutare rapidamente il livello di tutela dei loro dati garantito dal soggetto certificato, elemento che certamente potrà influire sull’immagine aziendale ed in determinati casi incidere nella scelta tra più competitor.

Certificazioni GDPR, meccanismo adatto anche alle PMI

Il concetto di accountability è una delle principali innovazioni introdotte dal GDPR. Dall’adeguamento a misure minime obbligatorie previste dalla legge – che caratterizzavano la previgente disciplina in materia di protezione dei dati – si è arrivati con il nuovo Regolamento alla responsabilizzazione del titolare. Quest’ultimo non solo ha il dovere adottare le misure che ritiene più opportune per assicurare la propria compliance al GDPR, ma deve essere in grado di dimostrare che le scelte attuate siano idonee  a garantire il rispetto dei principi del trattamento, nel continuo processo di progettazione, aggiornamento e monitoraggio delle proprie attività.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy

L’esigenza per l’organizzazione di documentare la compliance ai principi sanciti dalla normativa rende le certificazioni GDPR uno strumento importante per titolari e responsabili del trattamento, anche in ragione dell’adattabilità di questo meccanismo. Può servire le esigenze sia di micro-imprese e di realtà di piccola e media dimensione sia quelle delle multinazionali.

Certificare l’accountability

Il GDPR prevede che la certificazione possa essere utilizzata come elemento a supporto della dimostrazione dell’accountability (art. 24 GDPR) e del rispetto dei principi di data protection by design e by default (art. 25 GDPR) da parte del titolare, potendo attestare l’attuazione di misure tecniche ed organizzative adeguate in linea con le caratteristiche del trattamento (quali la natura, l’ambito, il contesto, le finalità, nonché i rischi per i diritti e le libertà delle persone fisiche). Le medesime considerazioni sono effettuate dal legislatore europeo in riferimento all’implementazione delle misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio (art. 32 GDPR): anche in questo caso, le certificazioni possono aiutare a dimostrare la conformità di titolari e responsabili.

Tuttavia, l’adesione a meccanismi di certificazione costituisce uno strumento prezioso per le organizzazioni anche in altre situazioni.

Il caso dell’esternalizzazione dei processi

Basti pensare, ad esempio, al caso dell’esternalizzazione di un processo che comporti trattamento di dati personali: il titolare ha il dovere di verificare, preliminarmente all’inizio delle operazioni di trattamento, che il soggetto al quale intende affidare le attività presenti garanzie sufficienti – sia in termini di conoscenza specialistica, affidabilità e risorse, sia di misure tecniche ed organizzative – ad assicurare la conformità al Regolamento. Ciò impone al titolare di effettuare una serie di controlli finalizzati a valutare la rispondenza del fornitore individuato ai requisiti necessari, sia in via preliminare sia in corso di contratto. Qualora infatti si palesasse, una volta esternalizzata l’attività, una carenza del responsabile del trattamento che il titolare avrebbe dovuto individuare, potrebbero verificarsi per quest’ultimo conseguenze anche gravi, sia sotto il profilo strettamente economico, sia reputazionale.

L’adesione del responsabile del trattamento ad un meccanismo di certificazione approvato consente, per espressa previsione del Regolamento, di alleggerire l’onere di verifica del titolare, in quanto costituisce un elemento per dimostrare la sussistenza delle garanzie sufficienti ai sensi dell’art. 28 GDPR.

Inoltre, il possesso di una certificazione può dimostrarsi un vantaggio anche per il fornitore prospect, che può aumentare le sue chances di essere scelto per effettuare il trattamento proprio per la  più rapida valutazione del livello di protezione dei dati che può garantire al titolare. È tuttavia essenziale sottolineare come la sola presenza della certificazione in capo ad un fornitore non esima del tutto il titolare dall’effettuare le opportune verifiche del caso.

Maggiore tutela sulle sanzioni

Le certificazioni GDPR assumono particolare valore anche in un altro ambito, quello del trasferimento dei dati in assenza di una decisione di adeguatezza (art. 46.2, lett. f GDPR). Tra i criteri individuati dal GDPR (che assicurano la sussistenza di garanzie adeguate al trasferimento) si trova infatti l’adesione ad un meccanismo di certificazione approvato, cui dovrà accompagnarsi l’impegno ad applicare le garanzie adeguate anche in relazione ai diritti degli interessati. Ciò significa che, qualora un soggetto intenda trasferire dati in un Paese terzo nei confronti del quale non è stata pronunciata una decisione di adeguatezza, il trasferimento potrà avvenire in presenza di questo criterio alternativo.

Infine, anche nel delineare le condizioni generali per infliggere sanzioni amministrative pecuniarie, il legislatore ha tenuto conto dell’adesione ad un meccanismo di certificazione (art. 83.2, lett. j GDPR), quale elemento positivo che documenta un interesse del titolare alla conformità normativa. Tale elemento è quindi configurato come attenuante e potrà contribuire alla riduzione dell’importo della sanzione all’interno dell’ampia cornice stabilita dal Regolamento.

Certificazioni GDPR: tutti i vantaggi

Seppur, come già richiamato, la sola adesione ad un meccanismo di certificazione non esoneri il soggetto certificato dal rispetto dei principi delineati dal GDPR, né riduca la sua responsabilità in termini di conformità al Regolamento o condizioni l’esercizio dei poteri di controllo del Garante, sono evidenti i vantaggi che le certificazioni GDPR attribuiscono a titolari e responsabili.

A partire dalla maggior trasparenza negli scambi B2B e B2C, passando per il supporto nella dimostrazione della propria conformità su più fronti (accountability e privacy by design, valutazione e nomina dei responsabili del trattamento, trasferimento dei dati, etc.) fino ai vantaggi nell’eventualità di subire una sanzione, appare chiaro che si tratta di strumenti che giocheranno un ruolo fondamentale nel panorama italiano ed europeonon appena il Garante e l’EDPB approveranno gli schemi di certificazione loro sottoposti.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4