Achivio news
Le nuove certificazioni in ambito trattamento e protezione dei dati personali (Regolamento UE 679/2016)
Le nuove certificazioni in ambito trattamento e protezione dei dati personali (Regolamento UE 679/2016)
Sono ormai entrati in vigore, su tutto il territorio Europeo, gli obblighi prescritti dal Regolamento UE 679/2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. Con esso viene abrogata la Direttiva 95/46/CE (regolamento generale sulla protezione dei dati).
Il Regolamento introduce per le imprese (profit e non profit, pubbliche e private che siano), rilevanti responsabilità nei confronti delle persone fisiche (interne o esterne all’organizzazione) qualora i loro dati personali siano gestiti e custoditi in un archivi aziendali.
Le imprese a fronte dei rilevanti rischi giuridici ed amministrativi con cui si dovranno confrontare, sono quindi chiamate ad effettuare un riesame della propria realtà che contempli, oltre che l’aspetto squisitamente tecnologico ed informatico, anche un’analisi dei rischi ed un‘approfondita conoscenza degli scenari di minaccia, con interventi sull’organizzazione, sui processi, sulla contrattualistica, sulle tutele legali, sui presidi assicurativi e sul sistema di controllo interno.
E’ interessante notare che il Regolamento genericamente “incoraggia” la diffusione sul mercato di “meccanismi di certificazione, di sigilli e marchi” che possono essere funzionali a fornire evidenze in merito alla conformità del trattamento e protezione dei dati personali ed al conseguente rispetto degli obblighi che il Regolamento stesso pone a carico del Titolare/Responsabile del Trattamento che nelle imprese dovrà essere sempre chiaramente identificato.
Vale la pena inoltre ricordare che l’Art. 43 dello Regolamento specifica in modo chiaro che gli Stati membri dovranno garantire che gli Organismi di Certificazione impegnati su questo fronte siano accreditati o dall’Autorità di controllo competente ovvero dall’Organismo nazionale di Accreditamento ai sensi del regolamento (CE) n. 765/2008 del Parlamento europeo, conformemente alla norma EN-ISO/IEC 17065 che tratta, lo ricordiamo, la “Valutazione della Conformità Requisiti per Organismi che certificano prodotti, processi e servizi”.
Ebbene, ad oggi, sul fronte degli standard che affrontano il tema della compliance della gestione aziendale al Regolamento UE/679 non molto, in verità, è stato fatto: l’unico standard che si è recentemente affacciato sul mercato è al momento la BS 10012/2017 in relazione, peraltro, alla norma EN-ISO/IEC 17021.
E’ ragionevole quindi ipotizzare che possano a breve nascere standard a livello europeo, in linea con le previsioni del Regolamento stesso (magari anche di carattere settoriale,) e che essi possano assumere il ruolo di riferimento per il rilascio delle relative certificazioni di prodotto/processi/servizi.
Sul fronte, invece, della certificazione delle figure professionali, che fanno riferimento alla UNI CEI EN ISO/IEC 17024 "Valutazione della conformità. Requisiti generali per organismi che eseguono la certificazione di persone", sono stati fatti, in Italia, passi significativi.
E’ evidente infatti l’interesse espresso dalle imprese, particolarmente quelle meno strutturate e meno in grado di affrontare al proprio interno le complessità intrinseche al Regolamento UE/679, ad appoggiarsi a figure professionali, anche esterne alla propria organizzazione, capaci di guidarle non solo ad un rapido adeguamento a ciò che il Regolamento impone ma anche ad una costante assistenza nella futura gestione di questi dati personali.
Da questa esigenza, ha preso spunto la nascita della norma UNI 11697/2017 con essa viene definito con chiarezza il perimetro delle conoscenze, competenze ed abilità che questi professionisti (in particolare del DPO – Data Processor Officer, per citare solo la figura apicale delle quattro previste) devono avere per poter garantire alle Organizzazioni di cui faranno parte o per le quali presteranno i propri servizi, di essere all’altezza dei compiti e delle responsabilità a loro affidati.
Se da un lato, infine, il Regolamento UE/679 non pone, come detto, nessun obbligo ai Titolari di accedere ad alcun tipo di Certificazione ma soltanto li incoraggia affinché ciò avvenga lasciando questo tipo di scelta nell’esclusivo ambito volontario, dall’altro la complessità del tema, le responsabilità che ne derivano e le consistenti sanzioni a cui sono potenzialmente soggette tutte le organizzazioni pubbliche e private sotto il vigile controllo dei Garanti Nazionali di tutti paesi membri della UE, renderanno probabilmente gli strumenti di certificazione, in senso lato, fattori di grande interesse per un mercato che si preannuncia essere estremamente vasto.