Europrivacy: cos’è e come funziona il primo sigillo di certificazione UE
27 Luglio 2023 in Audit & Compliance
Il meccanismo di certificazione Europrivacy, noto anche come “sigillo europeo”, rappresenta la prima certificazione comune approvata a livello europeo in materia di protezione dei dati.
Il suo schema di certificazione universale si basa sul contenuto della normativa ISO/IEC 17065 e dell’articolo 42 del Regolamento UE 2016/679 (“GDPR”).
Lo schema della stessa è scalabile in base alle specifiche esigenze delle imprese che lo richiedono, in quanto, in conformità a quanto previsto dall’art. 42 GDPR, i meccanismi di certificazione europei devono considerare anche le necessità specifiche delle micro, piccole e medie imprese, per poter essere approvati. In particolare, il processo di approvazione tiene conto delle peculiarità dei settori emergenti, come quelli dell’Intelligenza Artificiale e della tecnologia blockchain.
Conseguire la certificazione Europrivacy permette alle imprese di comprovare la propria conformità al GDPR, innalzando, sul mercato, anche il proprio livello reputazionale.
A titolo esemplificativo, l’impresa certificata che propone i propri servizi che comportano il trattamento dei dati in qualità di Responsabile del trattamento, verrà preferita rispetto ad imprese concorrenti che invece non posseggono la medesima certificazione (e, dunque, non sono in grado di comprovare la piena conformità al GDPR del servizio offerto).
Cosa può essere certificato da Europrivacy
Lo schema Europrivacy viene definito universale in quanto trova applicazione alle attività di trattamento effettuate da Titolari e Responsabili in vari settori di prodotti e servizi ed è fortemente adattabile alle necessità delle imprese che ne fanno richiesta, oltreché agevolmente integrabile con le normative nazionali, che sono complementari al GDPR, e con le specifiche normative di settore.
È utile precisare che, ai sensi dell’art. 42 GDPR, potranno essere oggetto di certificazione soltanto le attività che comportano il trattamento dei dati, e non prodotti o servizi specifici resi dal Titolare o dal Responsabile. Non è dunque possibile richiedere la certificazione per un sistema di gestione o per un’azienda nel suo complesso, il processo di certificazione sarà invece progressivo e specifico per ogni singolo trattamento per il quale si fa richiesta di certificazione.
La scalabilità della certificazione è determinata da alcuni criteri di verifica della conformità al GDPR, continuamente aggiornati dallo European Centre for Certification and Privacy e dal suo consiglio internazionale di esperti. Tra questi, a titolo esemplificativo ma non esaustivo, si possono elencare:
- La conformità ai requisiti del GDPR, in termini di completezza delle informazioni rese agli interessati ai sensi degli artt. 13-14 e l’osservanza del principio di trasparenza di cui all’art. 5 del citato Regolamento.
- Le verifiche e i controlli delle misure di sicurezza tecnologiche e organizzative: all’interno di detta categoria sono presenti criteri generali e criteri specifici applicabili solo se l’oggetto della valutazione ricomprende categorie particolari di dati, dati relativi a reati o dati personali riferibili ad un minore.
- Le verifiche e i controlli contestuali complementari, volti, come evidenziato all’interno dell’Opinione 28/2022 adottata dall’European Data Protection Board il 10 ottobre 2022, a garantire che il trattamento dei dati ricompreso nell’ambito di valutazione sia conforme ai requisiti specifici settoriali e tecnologici che sono richiesti per quel trattamento.
- L’implementazione di procedure che permettano al titolare di assicurarsi che i responsabili del trattamento selezionati forniscano sufficienti garanzie della messa in atto di misure tecniche e organizzative appropriate a protezione dell’integrità dei dati personali, quali, ad esempio, soluzioni di backup, antivirus e firewall;
- L’implementazione, da parte del titolare, di misure tecniche e organizzative a difesa dei dati, tra cui, a titolo esemplificativo, la definizione di ruoli e responsabilità in materia di privacy; la designazione di un Data Protection Officer ai sensi dell’art. 39 GDPR.
L’applicabilità o meno dei criteri contenuti nello schema viene definita in base al ruolo ed alle responsabilità proprie del richiedente. Sono espressamente esclusi i trattamenti di dati biomedici dall’ambito di applicazione di Europrivacy. Inoltre, la certificazione non può essere rilasciata in giurisdizioni che non forniscono garanzie adeguate e sufficienti per i diritti e le libertà degli interessati.
Come funziona Europrivacy
La procedura di certificazione è semplice e può essere condensata in 3 fasi.
1. Verifica interna: redazione della documentazione che descriva i processi di trattamento in perimetro e dia evidenza del livello della conformità ai criteri Europrivacy, preferibilmente con l’ausilio di professionisti qualificati che possano identificare eventuali rischi e/o lacune nel trattamento dei dati;
2. Certificazione: scelta di un Organismo di certificazione qualificato che possa dare avvio alla fase di verifica della conformità del trattamento allo schema. L’organismo di certificazione deve essere autorizzato da ECCP (Centro europeo per la certificazione e la privacy) e disporre di un accreditamento valido presso un’autorità nazionale competente;
3. Monitoraggio: monitoraggio periodico, con audit annuali, della sussistenza nel tempo dei requisiti di conformità.
Il certificato ha una validità di tre anni ed è pubblicato sul Registro dei Certificati ufficiale di Europrivacy per consentirne la verifica ed evitarne la contraffazione.
Europrivacy, i benefici della certificazione
Dotarsi di una certificazione Europrivacy apporta numerosi benefici alle imprese, in quanto:
- Aiuta a identificare e ridurre i rischi di non conformità;
- Consente a terzi di valutare il livello di protezione di prodotti e servizi;
- Costruisce fiducia e sicurezza verso i possibili interessati ai servizi ed ai prodotti offerti;
- Migliora la reputazione e l’accesso al mercato, trasformando la conformità normativa in una risorsa che apre a nuove opportunità di mercato.
Dotarsi della certificazione Europrivacy, dunque, può garantire all’impresa un importante ritorno economico prospettico, rafforzando la posizione della stessa sul mercato, soprattutto se data-driven.