Certificazioni Privacy

shield 1086703 960 720

Attualmente le certificazioni  emesse in materia di privacy o data protection rilasciate in Italia, a legislazione vigente non possono definirsi "conformi agli artt. 42 e 43 del regolamento 2016/679", per diversi motivi. Le certificazioni sono consigliate tuttavia non riducono le responsabilità del Titolare e dei Responsabile del trattamento. 

 

Enti e imprese operanti il trattamento dei dati personali

Il Regolamento UE n. 2016/679 ai sensi dell’art. 42, c. 4, prevede che la certificazione “non riduce la responsabilità del Titolare del trattamento o del Responsabile del trattamento.”
Ai sensi dell’art. 24 del Regolamento il Titolare del trattamento, che rappresenta l'ente o l'impresa, mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente alle disposizioni del Regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.
L’adesione dell'ente o dell'azienda ai codici di condotta di cui all’articolo 40 o a un meccanismo di certificazione, riguarda il Titolare o il Responsabile del trattamento e può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento.
Sul tema della certificazione il Garante e Accredia, l'Ente unico nazionale di accreditamento designato dal Governo italiano, hanno emesso un comunicato congiunto, pubblicato sul sito dell'Autorità il 18 luglio 2017 (doc. web n. 6621723), con il quale hanno sottolineato che «al momento le certificazioni di persone, nonché quelle emesse in materia di privacy o data protection eventualmente rilasciate in Italia, a legislazione vigente non possono definirsi "conformi agli artt. 42 e 43 del regolamento 2016/679", poiché devono ancora essere determinati i "requisiti aggiuntivi" ai fini dell'accreditamento degli organismi di certificazione e i criteri specifici di certificazione».
Per la certificazione delle misure di protezione dei dati si dovrà attendere e non prendere in considerazione le operazioni speculative che propongono certificazioni senza fondamento di riconoscimento normativo. L'ente o l'impresa, quando saranno riconosciuti i certificatori abilitati da Accredia, potranno analizzare con il DPO la convenienza di attivare un processo di certificazione che, come detto, non rende indenni dall'applicazione di sanzioni ma potrebbe contribuire, congiuntamente alle misure obbligatorie, a provare la conformità alle disposizioni previste dal Regolamento UE.  

 

formazione online

 

Responsabile della Protezione dei dati – RPD/DPO

Per quanto riguarda le conoscenze e competenze del Responsabile della Protezione dei dati – RPD/DPO - in base all’articolo 37, paragrafo 5 del Regolamento, il RPD “è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”. 
Come riportato sulle Linee guida sui Responsabili della protezione dei dati elaborato dal Gruppo di Lavoro Articolo 29, WP 243, pubblicato dal Garante Privacy , nel considerando 97 del Regolamento UE si prevede che il livello necessario di conoscenza specialistica dovrebbe essere determinato in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali oggetto di trattamento.
Il livello di conoscenza specialistica richiesto non trova una definizione tassativa nè l'iscrizione in albi o l'ottenimento di certificazioni; piuttosto, deve essere proporzionato alla sensibilità, complessità, quantità dei dati sottoposti a trattamento e all'esperienza documentata del soggetto da nominare.
In una nota del 28/07/2017 il Garante della Privacy ribadisce che "allo stato, le disposizioni non prevedono un albo dei "Responsabili della protezione dei dati", che attesti i requisiti e le caratteristiche di conoscenza, abilità e competenza, previste dal citato quadro normativo né richiedono che tali requisiti siano attestati attraverso specifiche certificazioni".
L’articolo 37, paragrafo 5, non specifica le qualità professionali da prendere in considerazione nella nomina di un RPD; tuttavia, sono pertinenti al riguardo la conoscenza da parte del RPD della normativa e delle prassi nazionali ed europee in materia di protezione dei dati e un’approfondita conoscenza del Regolamento UE - RGPD.  
E’ utile la conoscenza dello specifico settore di attività e della struttura organizzativa del titolare; inoltre, il RPD dovrebbe avere buona familiarità con le operazioni di trattamento svolte nonché con i sistemi informativi e le esigenze di sicurezza e protezione dati manifestate dal titolare. 
Nel caso di un organismo pubblico, il RPD dovrebbe possedere anche una conoscenza approfondita delle norme e procedure amministrative applicabili.

 

Banner Supporto e DPO