Certificazione GDPR, cos’è e quali benefici per la tua impresa
13 Luglio 2023 in Audit & Compliance
L’art. 42 GDPR concede ai Titolari e ai Responsabili del trattamento la possibilità di dotarsi di apposite certificazioni che attestino la conformità al Regolamento stesso. Sebbene facoltativa, la certificazione GDPR rappresenta un elemento fortemente qualificante, soprattutto nel mercato dei servizi. Vediamo dunque cosa occorre per ottenere una certificazione GDPR e quali sono i benefici che la stessa porta all’impresa.
Cos’è una certificazione GDPR e quali sono i suoi vantaggi
La certificazione GDPR è un’attestazione di conformità alla disciplina data protection, che viene rilasciata, ai sensi dell’art. 43 GDPR, da un organismo terzo, imparziale ed indipendente, e che permette all’azienda di dimostrare che le attività di trattamento dei dati personali dalla stessa eseguite siano svolte nel pieno rispetto degli obblighi, delle garanzie e dei principi disciplinati GDPR.
Come anticipato in premessa, dotarsi di una certificazione GDPR porta numerosi vantaggi, riconosciuti dallo stesso Garante Privacy. La certificazione, infatti, consente soprattutto di acquisire un importante vantaggio competitivo, in quanto permette all’azienda di dimostrare ai propri clienti e concorrenti:
- la capacità di strutturarsi e governare le risorse e i processi produttivi così da riconoscere e soddisfare le necessità dei clienti, ritenute primarie;
- la capacità e la volontà di migliorarsi sottoponendo a un processo di costante verifica e implementazione i propri sistemi di gestione;
- la capacità di ottenere e mantenere nel tempo la qualità e la conformità dei prodotti realizzati o dei servizi erogati;
- il possesso, e il mantenimento nel tempo, di abilità, conoscenze e competenze richieste per portare a termine diverse attività professionali.
Ne consegue che la certificazione rappresenta lo strumento principale di costruzione della qualità: un fornitore certificato, infatti, avrà molte più chances sul mercato rispetto a fornitori che invece non sono dotati delle medesime garanzie di qualità.
L’ottenimento di una certificazione GDPR, inoltre, consente di ottenere un vantaggio competitivo non indifferente anche in sede di partecipazione a bandi di gara pubblici, che prevedono requisiti di accesso particolarmente stringenti, specie se inerenti a settori peculiari come quello della sanità.
Va da sé che la certificazione rappresenta anche un imprescindibile strumento di tutela in sede di verifiche da parte dell’Autorità Garante, presentandosi l’azienda già dotata di strumenti di controllo e di gestione conformi ai principi di legge.
Chi può richiedere la certificazione GDPR
Come detto, la certificazione GDPR può essere richiesta da qualsiasi ente o azienda , o comunque soggetto a vario titolo interessato, che operi in qualità di Titolare o di Responsabile del trattamento. Non sussistono, ai sensi di legge, particolari limitazioni soggettive essendo sufficiente, al fine dell’adesione al meccanismo di certificazione, che si rientri nel campo di applicazione del GDPR. La certificazione, infatti, rappresenta uno strumento utilissimo anche per le PMI e le microimprese, potendo essere adattato alle specifiche necessità di quest’ultime (non rimanendo, così, esclusivo appannaggio di aziende maggiormente strutturate).
Cosa si può certificare
Ai sensi di quanto espressamente indicato nelle linee-guida 1/2018 dell’European Data Protection Board, è possibile chiedere la certificazione di una o più attività di trattamento di dati personali.
Il Garante Privacy si è premurato di specificare che, poiché la definizione di “trattamento” di dati personali è particolarmente ampia, anche l’oggetto della certificazione può cambiare in maniera considerevole e includere una sola operazione di trattamento (come la conservazione di dati personali) oppure diverse (si pensi a raccolta, conservazione e messa a disposizione di suddetti dati), svolte dal Titolare o dal Responsabile del trattamento.
Fulcro della certificazione GDPR saranno sempre i trattamenti. Non possono essere oggetto di certificazione, infatti, gli specifici servizi e prodotti utilizzati per attuare il trattamento. Un software, ad esempio, afferma il Garante nelle sue FAQ, potrà essere certificato soltanto se parte integrante di un trattamento di dati personali condotto da un Titolare o Responsabile (si pensi al trattamento dei dati dei dipendenti aziendali da parte del datore in quanto Titolare attraverso il suddetto software, che quindi diventa oggetto della certificazione GDPR).
Il trattamento per il quale si richiede la certificazione, secondo quanto specificato nelle citate linee guida dell’EDPB, dovrà pertanto essere chiaramente indicato nella richiesta inviata dal Titolare o dal Responsabile all’organismo di certificazione.
Chi rilascia la certificazione GDPR e quale ruolo ha il Garante
In Italia l’attività di accreditamento viene svolta da Accredia, ente unico nazionale di accreditamento istituito ai sensi del Regolamento (CE) n. 765/2008. All’Organismo di Certificazione (OdC) si riconosce il potere di revocare o impedire il rilascio di una certificazione, nel caso in cui si rilevi una non conformità (NC), rispetto ai requisiti di certificazione, come risultato della sorveglianza o per un qualsiasi altro motivo.
L’OdC può valutare:
• il mantenimento della certificazione sotto condizioni specificate dallo stesso. In generale, l’OdC valuta il rischio relativo alla NC e ne analizza la causa, pianifica le azioni di remediation e i tempi d’implementazione delle stesse. L’OdC può anche prevedere provvedimenti aggiuntivi (per esempio la sorveglianza incrementata);
• la sospensione della certificazione in attesa di azioni correttive da parte dell’organizzazione certificata;
• la revoca della certificazione o riduzione del campo di applicazione della certificazione.
Le possibili certificazioni GDPR
Ad oggi, esiste una certificazione ufficialmente riconosciuta in tutti gli Stati Membri europei, ossia la Europrivacy. La norma UNI 11697:2017 “Attività professionali non regolamentate – Profili professionali relativi al trattamento e alla protezione dei dati personali – Requisiti di conoscenza, abilità e competenza”, invece, non rientra tra le certificazioni di cui all’art. 42 GDPR ma può rappresentare, al pari di altri titoli, un valido strumento per dimostrare il possesso e il mantenimento delle competenze da parte dei professionisti.
In base al ruolo rivestito infatti (es. il personale responsabile delle decisioni e il personale responsabile delle valutazioni negli OdC), il possesso di una certificazione a fronte della norma UNI 11697 è un elemento idoneo a dimostrare i requisiti di competenza ed esperienza in materia.