Home Articoli GDPR: certificazione dei trattamenti di dati personali e stato dell’arte sulla conformità.

GDPR: certificazione dei trattamenti di dati personali e stato dell’arte sulla conformità.

194

GDPR: certificazione dei trattamenti di dati personali e stato dell’arte sulla conformità.

Di Alberto Buzzoli

 

La corretta applicazione del GDPR, da più di un anno a questa parte (termine ultimo di adeguamento e successiva modificazione del Codice Privacy italiano), ha generato non pochi grattacapi per le aziende, che hanno intravisto nella certificazione della gestione dei trattamenti di dati personali realizzati una possibile ancora di salvezza.

Sarebbe bello poter pensare tutto è bene quel che finisce bene. Ma in realtà la fotografia attuale in ambito normativo dimostra il contrario. Proviamo quindi a fare un po’ di chiarezza.

Il GDPR agli artt. 42 e 43 incoraggia “l’istituzione di meccanismi di certificazione della protezione dei dati” specificando però che gli organismi di certificazione devono essere accreditati dagli organismi nazionali di accreditamento – in Italia ACCREDIA – in conformità alla norma EN-ISO/IEC 17065, che riguarda le certificazioni di prodotti (e/o servizi).

Contrariamente, sul mercato si è diffusa la tendenza ad adottare meccanismi propri dei sistemi di gestione (con un approccio per processi) al fine di governare efficacemente la gestione del dato personale, forse nella speranza di poterli certificare. Tante aziende sono corse (e tutt’ora corrono) all’applicazione dei requisiti della ISO/IEC 27001, standard rivolto alla sicurezza delle informazioni in genere (ed effettivamente ben integrabile con un sistema di gestione per la privacy). Anche AgID ha implicitamente incoraggiato quest’approccio, definendo quale requisito obbligatorio per i Cloud Services Provider, fornitori di servizi alla PA, anche l’acquisizione della certificazione ISO/IEC 27001 integrata secondo le linee guida ed i controlli ISO/IEC 27018, relativa al trattamento dei dati personali per CSP che operano in qualità di responsabili del trattamento. Peccato che il meccanismo di accreditamento degli enti di certificazione per i sistemi di gestione faccia riferimento alla ISO/IEC 17021 e non alla ISO/IEC 17065. Come se non bastasse, l’introduzione della ISO/IEC 27018 nel panorama delle norme internazionali rilevanti in ambito nazionale, ha trascinato con sé la necessità di studiare altre norme ISO/IEC da essa richiamate (di seguito ne citiamo solamente alcune): 27002 – best practices dei controlli previsti dalla 27001, 29100 – framework privacy, 29151 – linee guida per la sicurezza nel trattamento dei dati personali, ISO 17788, che contiene le definizioni relative al Cloud Computing. In aggiunta è stata di recente pubblicata la ISO/IEC 27701, inizialmente nata come ISO/IEC 27552, quale estensione della 27001 e 27002 per la gestione delle informazioni in ambito privacy, la quale fornisce anche interessanti cross reference tra standard e linee guida sopra citati con il GDPR.

In ambito nazionale, invece, UNI e UNINFO hanno proposto le Prassi di Riferimento 43.2:2018 – Requisiti per la protezione e valutazione di conformità dei dati personali in ambito ICT, che ACCREDIA ha identificato quale interessante riferimento normativo certificabile. Gli schemi di certificazione dovranno essere integrati dalle autorità con “requisiti aggiuntivi” al fine di rendere il meccanismo conforme agli artt. 42 e 43 del GDPR.

Con una quantità tale di riferimenti normativi, seppur di adozione volontaria ma comunque utili a comunicare una gestione diligente dei dati personali, passerebbe la fantasia a chiunque di procedere su questa strada.

E mentre in molti ancora si domandano se il trattamento del dato personale sia un servizio oppure un processo, ed eventualmente in quale modo certificarlo, c’è anche da chiedersi se non sia anche un po’ colpa del mancato raggiungimento degli obiettivi di integrazione e standardizzazione normativa l’attuale gap tra conformità, best practices e reale stato dell’arte in materia di privacy. Fessura (o portone spalancato, che dir si voglia) all’interno del quale si sono annidati ciarlatani travestiti da consulenti, che riversano sul web centinaia di pezzi sulla privacy fai-da-te pieni zeppi di errori concettuali e supportano le aziende nella produzione di valanghe di carta che nulla hanno a che fare con l’approccio sostanziale richiesto in ambito di protezione del dato personale.