Certificazione privacy, perché dotarsi di un Data Protection Management System
28 Marzo 2024 in Audit & Compliance
Il GDPR consente a titolari e responsabili di dotarsi di una certificazione privacy che ha lo scopo di verificare e dimostrare la conformità dei trattamenti di dati personali posti in essere al testo normativo. Si tratta di un adempimento facoltativo ma che rappresenta per tutte le aziende una grande opportunità, con benefici sia organizzativi che reputazionali.
Gli schemi di certificazione privacy, tuttavia, richiedono al titolare, al fine di garantire la conformità ai principi normativi, di porre in essere delle attività volte al monitoraggio dei processi di gestione dei dati personali e alla verifica, nel tempo, dell’adozione di idonee misure di sicurezza per i singoli trattamenti posti in essere.
Certificazione privacy, perché serve un Data Protection Management System
Visto che si tratta di aspetti non solo tecnicamente complessi, ma anche tipicamente trasversali ed inerenti a più aspetti dell’organizzazione aziendale, è consigliato dotarsi di un Data Protection Management System (DPMS), ossia un sistema organizzato di gestione della data protection, Può essere adottato anche all’interno degli stessi schemi di certificazione privacy, al fine di evitare che possano esservi delle lacune nel modello di gestione dei dati.
Ad oggi è possibile identificare sostanzialmente tre tipologie di certificazioni:
- le certificazioni di processo – prodotto – servizio
- le certificazioni di sistema
- gli schemi di controllo
In ognuno di detti schemi viene data forte rilevanza all’aspetto gestionale, a riprova del ruolo di rilievo conferito dalla normativa all’adozione di sistemi di gestione dei dati efficaci, che possano consentire all’azienda di valutare attentamente i rischi dei trattamenti, verificare che le attività attuate siano efficaci, pianificare misure di controllo periodiche.
Certificazione privacy, quali tipologie
Le certificazioni di prodotto, processo e servizio in ambito di protezione dei dati personali sono meccanismi di certificazione introdotti dal Regolamento Europeo sulla Protezione dei Dati (GDPR) allo scopo di dimostrare la conformità dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento alle normative sulla protezione dei dati.
- La certificazione di prodotto si riferisce alla certificazione di un prodotto che viene utilizzato per il trattamento dei dati personali, come ad esempio un software.
- La certificazione di processo si riferisce alla certificazione del processo di trattamento dei dati personali all’interno di un’organizzazione.
- La certificazione di servizio si riferisce alla certificazione di un servizio che viene utilizzato per il trattamento dei dati personali, come ad esempio un servizio di cloud computing 1.
Le certificazioni di prodotto, processo e servizio sono rilasciate da organismi di certificazione qualificati che raccolgono competenze legali e tecniche adeguate. La certificazione è allineata ai principi applicabili ISO/IEC 17065 e 17021-1.
All’interno di detta categoria di certificazioni in “ambito privacy” (redatte sulla base dello standard ISO 17065) vi rientra lo schema UNI/PDR 43:2018, standard che si caratterizza per il focus posto sulla conformità di prodotti, processi e servizi resi dall’azienda ai principi ed ai requisiti obbligatori previsti dalla normativa privacy, oltre che alle best practices di gestione aziendale.
Gli standard posti alla base della certificazione privacy UNI/PDR 43:2018 possono essere applicati sia su uno specifico prodotto (come un software) che a uno specifico processo aziendale (a titolo esemplificativo, il processo di gestione delle risorse umane, o il processo di gestione degli acquisti e delle vendite) o a uno specifico servizio (come il servizio di help desk).
Anche se si certifica uno specifico processo, se ne consiglia comunque l’applicazione a livello dell’intera organizzazione, al fine di evitare, come anticipato, che solo parte delle attività di trattamento dei dati sia conforme ai principi del GDPR.
Lo stesso dicasi per le certificazioni di processo ISDP 10003:2020 (“Requisiti e regole di controllo per la certificazione dei processi di trattamenti con riguardo alla valutazione del rispetto dei diritti fondamentali delle persone fisiche e della libera circolazione dei dati”) ed Europrivacy (schema, questo, riconosciuto anche ai sensi dell’art. 42 GDPR).
La certificazione Europrivacy è uno schema di certificazione che valuta la conformità al Regolamento Europeo sulla Protezione dei Dati (GDPR) e alle normative privacy complementari dei singoli Stati. Europrivacy™/® è il primo schema di certificazione riconosciuto dal Garante Europeo. La certificazione Europrivacy consente alle aziende di dimostrare di aver implementato un sistema privacy che, secondo quanto stabilito dagli articoli 42 e 43 del GDPR.
Le certificazioni del Sistema Privacy
La certificazione del sistema di gestione della protezione dei dati è un processo di valutazione che verifica la conformità del sistema di gestione della protezione dei dati di un’organizzazione alle normative sulla protezione dei dati, come il Regolamento Europeo sulla Protezione dei Dati (GDPR) 12. La certificazione può essere rilasciata da organismi di certificazione qualificati che raccolgono competenze legali e tecniche adeguate
Una delle certificazioni più comuni per la protezione dei dati è la certificazione ISO 27001. Questa certificazione fornisce una solida struttura che consente la continua accessibilità, riservatezza e integrità delle informazioni, nonché la conformità legale/legislativa; tale standard deve essere necessariamente esteso alla ISO IEC 27701:2019 per garantire l’applicazione del Sistema di gestione alla tutela della Privacy.
Questo standard di sicurezza delle informazioni fornisce una guida per le organizzazioni che desiderano implementare sistemi per supportare la conformità al GDPR e ad altri requisiti sulla privacy dei dati. La ISO 27701, abbreviata anche in PIMS (Privacy Information Management System), delinea un framework per i titolari delle informazioni di identificazione personale (PII) e i responsabili del trattamento delle PII per gestire la privacy dei dati. I sistemi di gestione delle informazioni sulla privacy sono talvolta indicati come sistemi di gestione delle informazioni personali.
Altro schema per la certificazione privacy di sistema è la BS 10012, standard in materia di protezione dei dati personali che detta proprio i criteri fondamentali per la costruzione di un sistema di gestione dei dati personali coerente con la norma di legge in materia di data protection.
Il BS 10012 è uno standard britannico che specifica i requisiti e fornisce indicazioni per la gestione della privacy delle informazioni personali (PII) 1. Lo standard è applicabile a tutti i tipi e le dimensioni delle organizzazioni 1. BS 10012 è stato sviluppato per aiutare le organizzazioni a conformarsi ai requisiti di protezione dei dati imposti da leggi come il GDPR dell’UE (Regolamento generale sulla protezione dei dati). BS 10012 è facilmente integrabile con i principali standard per i sistemi di gestione e consente alle organizzazioni di dimostrare una gestione efficace delle informazioni personali
A differenza della ISO 27001 che necessità per garantire la conformità alla data protection della integrazione allo standard ISO 27701,il BS 10012 rappresenta uno schema autoportante, è stato aggiornato nel 2017 e fornisce una specifica per un sistema di gestione delle informazioni personali (PIMS).
L’obiettivo della certificazione di sistema è quello di andare ad integrare l’attività generale di gestione dei processi attuata dall’azienda, e di fornire utili indicazioni sulle modalità di creazione di un Data Protection Management System che permetta di gestire ogni risorsa e infrastruttura connessa al trattamento in modo efficace, e di valutare l’adeguatezza delle strategie attuate dal management in tal senso, anche, a titolo esemplificativo, in termini di conservazione ed eliminazione dei dati.
Certificazione privacy, gli schemi di controllo
Lo schema di controllo che si assume a riferimento in tema privacy è rappresentato dalla ISO/IEC 27701:2019: detta certificazione, basata sui requisiti della ISO/IEC 27001 e 27002, privilegia l’implementazione, in azienda, di un c.d. PIMS (acronimo di Privacy Information Management System) integrato con i sistemi aziendali di gestione della sicurezza informatica.
Ponendo, infatti, la normativa europea particolare importanza alle misure di sicurezza tecniche poste a presidio della riservatezza, disponibilità ed integrità dei dati personali, lo schema ISO/IEC 27701:2019 consente di integrare il sistema di sicurezza delle informazioni a quello di gestione della protezione dei dati personali. Ancora una volta, l’adozione di un sistema di gestione efficace appare dunque fondamentale.
Certificazione privacy, i vantaggi di un Data Protection Management System
Appare evidente come un buon sistema di gestione dei dati rappresenti un elemento essenziale per le aziende, quando si parla di privacy; circostanza evidenziata anche dagli schemi di certificazione privacy esistenti. I vantaggi apportati da un DPMS efficace, peraltro, sono molteplici:
- riduce il rischio di sanzioni da parte delle autorità Garanti
- mostra ai terzi la volontà e la capacità dell’azienda di organizzarsi e di migliorarsi costantemente
- restituisce una garanzia di qualità dei prodotti e dei servizi resi
- apporta vantaggi competitivi sul mercato, specie in settori data-oriented o particolarmente delicati, come la sanità e la giustizia