La definizione dei criteri di certificazione è stata avviata dal Comitato europeo per la protezione dei dati con le prime Linee Guida (1/2018) e, di recente, è stata oggetto di ulteriori linee di indirizzo con la l’Addendum (Annex to Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation), adottato il 6 aprile 2021, con lo scopo di perfezionare le indicazioni delle precedenti Linee Guida per aiutare gli stakeholders nella stesura dei criteri di certificazione e le Autorità di Controllo e il Comitato europeo affinché possano essere in grado di fornire valutazioni coerenti nel contesto dell’approvazione dei criteri delle certificazioni.
Certificazioni, Organismi di certificazione e c.d. “requisiti aggiuntivi”
Come noto, l’istituzione di meccanismi di certificazioni, sigilli e marchi di protezione è incoraggiata dal RGPD, al fine di migliorare la trasparenza e il rispetto del regolamento stesso, così da consentire agli interessati di valutare rapidamente il livello di protezione dei dati dei prodotti e servizi che fruiscono di tali certificazioni (Considerando 100 del RGPD).
Come per i codici di condotta, ex art. 40 del RGPD, anche l’adesione a meccanismi di certificazione costituisce uno degli strumenti attraverso i quali i titolari e i responsabili del trattamento possono dimostrare la conformità al RGPD.
Tuttavia, la certificazione non riduce la responsabilità del titolare del trattamento o del responsabile del trattamento riguardo alla conformità al regolamento e lascia impregiudicati i compiti e i poteri delle autorità di controllo competenti a norma degli articoli 55 o 56. Analogamente all’adesione ai codici di condotta, anche la certificazione ai sensi dell’articolo 42 del RGPD è volontaria.
La procedura di certificazione è trasparente e gestita da appositi organismi di certificazione o dall’autorità di controllo. La durata delle certificazioni è pari a tre anni (rinnovabili).
Il RGPD non fornisce una definizione di “certificazione”. L’Organizzazione internazionale per la standardizzazione (ISO) fornisce una definizione universale di certificazione come “rilascio da parte di un organismo indipendente di un’assicurazione scritta (un certificato) del fatto che il prodotto, il servizio o il sistema in questione soddisfa requisiti specifici”. La certificazione è nota anche come “valutazione della conformità di terza parte” mentre gli organismi di certificazione possono essere indicati anche con il termine “organismi di valutazione della conformità”. Nella norma EN-ISO/IEC 17000:2004 “Valutazione della conformità – Vocabolario e principi generali” (a cui la ISO 17065 fa riferimento), la certificazione è definita come “attestazione di terza parte […] relativa a prodotti, processi e servizi”. Per attestazione si intende “l’emissione di una dichiarazione, basata su una decisione successiva al riesame, da cui risulta che è stato dimostrato il rispetto dei requisiti specificati” (sezione 5.2, ISO 17000:2004).
Nel contesto della certificazione a norma degli articoli 42 e 43 del regolamento generale sulla protezione dei dati si intende per certificazione l’attestazione di terza parte relativa ai trattamenti effettuati dal titolare del trattamento e dal responsabile del trattamento (punti 15, 16 e 17 delle Linee Guida 1/2018).
Organismi di certificazione
Gli organismi di certificazione possono essere accreditati dall’autorità di controllo competente [art. 43, par. 1, lett. b) del RGPD] o dall’organismo nazionale di accreditamento (in Italia, Accredia ex art. 2-septiesdecies del d.lgs. 101/2018) designato ai sensi dell’articolo 43, par. 1, lett. b), del RGPD, secondo quanto previsto dal regolamento (CE) n. 765/2008 conformemente alla norma EN-ISO/IEC 17065/2012, che disciplina l’accreditamento degli organismi di certificazione che valutano la conformità di prodotti, servizi e processi. Tali organismi di certificazione possono essere accreditati anche da entrambi gli organismi suddetti.
Secondo le Linee Guida 1/2018 un trattamento o un insieme di trattamenti potrebbero dare luogo a un prodotto o a un servizio quali definiti dalla norma ISO 17065 e pertanto possono essere sottoposti alla certificazione. Il trattamento dei dati dei dipendenti ai fini del versamento dello stipendio o della gestione delle ferie per esempio è un insieme di operazioni ai sensi del regolamento generale sulla protezione dei dati e può dare luogo a un prodotto, processo o servizio quale definito dall’ISO (punto 54 Linee Guida 1/2018).
I criteri di rilascio sono stabiliti in ogni caso dall’autorità di controllo (ai sensi di quanto previsto dall’ articolo 58, par. 3, lett. f), del RGPD) o dal Comitato europeo per la protezione dei dati, che ha emanato nel dicembre del 2018 le prime linee guida per l’accreditamento di tali organismi (Guidelines 4/2018).
Requisiti aggiuntivi
In particolare, resta chiaramente espresso che le certificazioni saranno basate sull’ISO/IEC 17065/2012 ma che ciò non sarà sufficiente in quanto per poter essere certificati occorrerà anche risultare conformi agli ulteriori requisiti (i c.d. “requisiti aggiuntivi”) che le autorità di controllo dovranno emanare.
L’Autorità di controllo italiana, con il provvedimento del 29 luglio 2020 n. 148, ha definito i criteri aggiuntivi per l’accreditamento degli organismi di certificazione. In particolare, definendo questi criteri, il Garante ha espresso dei principi che gli organismi devono prendere come punti di riferimento. Il primo è il requisito di onorabilità, che deve essere implementato soprattutto con riferimento ai “decision maker” (ovvero il personale che decide sulle certificazioni).
C’è poi anche un terzo soggetto che, benché non espressamente citato nell’articolo 43 RGPD, ha il potere di accreditare gli organismi di certificazione, oltre a rendere il proprio parere in merito al riesame periodico dell’accreditamento: si tratta del Comitato europeo per la protezione dei dati [articolo 70, par. 1, lett. o) del RGPD).
L’accreditamento è rilasciato per un periodo massimo di cinque anni, rinnovabile se sono soddisfatti i requisiti. L’accreditamento può essere chiaramente revocato da parte dell’autorità di controllo.
Lo scopo dell’Addendum
La definizione dei criteri di certificazione è stata avviata dal Comitato europeo per la protezione dei dati con le prime Linee Guida (1/2018) e, di recente, è stata oggetto di ulteriori linee di indirizzo con l’Addendum (Annex to Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation), adottato il 6 aprile 2021, con lo scopo di perfezionare le indicazioni delle precedenti Linee Guida per aiutare gli stakeholders nella stesura dei criteri di certificazione e le Autorità di Controllo e il Comitato europeo affinché possano essere in grado di fornire valutazioni coerenti nel contesto dell’approvazione dei criteri di certificazione.
Ovviamente il documento in disamina non ha alcuna pretesa di esaustività ed infatti precisa subito che le raccomandazioni in esso contenute non devono essere considerate esaustive e la valutazione dei criteri di certificazione sarà effettuata caso per caso e meccanismi di certificazione specifici potrebbero richiedere misure aggiuntive non contemplate dalla guida.
Linee Guida, due schemi di certificazione
Innanzitutto, le Linee Guida in commento chiariscono che, sostanzialmente, possono esserci due schemi di certificazione: uno “schema di certificazione generale”, ossia uno schema che si rivolge a una vasta gamma di operazioni di trattamento differenti svolte da un titolare/responsabile del trattamento in diversi settori di attività; uno “schema di certificazione specifico”, ossia uno schema che mira a specifiche operazioni di trattamento eseguite da un titolare/responsabile del trattamento (es.: pseudonimizzazione dei dati personali, trattamento dati risorse umane) e/o per uno specifico settore di attività (esempio: trattamento dati nei negozi).
In merito alle modalità di presentazione di uno schema di certificazione a una Autorità di controllo viene previsto che, al fine di facilitarne il processo di approvazione dei criteri, le Autorità di controllo possono richiedere agli scheme owners di impegnarsi in anticipo con loro, così da consentire una discussione informale sulla portata del meccanismo di certificazione e sull’intenzione dello scheme owner stesso.
Circa l’oggetto della certificazione GDPR è specificato come essa sia destinata a titolari o responsabili del trattamento (infatti i titolari o responsabili del trattamento possono richiedere la certificazione per le attività di trattamento di dati personali che intraprendono) e non a produttori di prodotti autonomi. Tuttavia – viene precisato – se lo stesso software include ad esempio un servizio di archiviazione dei dati che coinvolge il fornitore nel trattamento dei dati personali, il fornitore può richiedere la certificazione di attività di trattamento (perché è probabile che il fornitore sia un responsabile del trattamento dei dati personali).
Molto importante è sicuramente la delimitazione dell’ambito di applicazione di uno schema di certificazione e, infatti, è previsto che tutti gli schemi di certificazione debbano avere uno scopo chiaramente definito e indicare anche ciò che non è incluso, per evitare lo “scope creep” (essendo questa la base centrale per la valutazione presso le autorità di vigilanza e presso l’EDPB). Ad esempio (cfr. punto 22) l’ambito di un meccanismo di certificazione relativo al cloud computing potrebbe essere SaaS, IaaS e PaaS. Inoltre, SaaS può essere ulteriormente suddiviso in sottocategorie perché fornire capacità di archiviazione è molto diverso dalla fornitura di altri servizi (ad esempio il supporto per gli aggiornamenti del software). Sicché la trasparenza diventa un elemento chiave, in quanto lo schema (o la documentazione di supporto) dovrebbe chiarire la sua portata alle organizzazioni che vorranno essere certificate, così da definire quale tipo o settore di organizzazione può utilizzare schema.
Specificità dei criteri di certificazione
Sul quanto debbano essere specifici i criteri di certificazione risponde il paragrafo 6 del documento in disamina che, a sua volta, richiama il paragrafo 31 delle Linee guida EDPB 1/2018, il quale indica che i criteri di certificazione, per poter essere approvati, devono contribuire alla coerente applicazione del regolamento generale sulla protezione dei dati. E, allora, quale livello di dettaglio nei criteri di certificazione è necessario per raggiungere questo obiettivo? In merito il paragrafo 30 prevede che «la certificazione non consiste nel dichiarare che un’entità è conforme al GDPR al 100%. Ma la certificazione mira a dimostrare, per quanto riguarda un particolare TOE [oggetto/obiettivo della valutazione] e le sue operazioni di trattamento, che il richiedente ha effettuato “tutto il possibile”, per soddisfare i criteri di certificazione».
Criteri di certificazione che devono essere coerenti con gli obiettivi dichiarati, uniformi (quindi non lasciati aperti all’interpretazione degli OdC), verificabili e pertinenti, ma anche flessibili (flessibilità che deve essere chiaramente definita nei criteri di certificazione) e la Guida in commento offre degli esempi concreti.
Non secondarie sono le specificazioni concernenti i cambiamenti che interessano la certificazione (paragrafo 9) prevedendosi un processo, di cui devono disporre i proprietari degli schemi, per gestire i criteri di certificazione unitamente alla previsione della revisione periodica dei propri schemi di certificazione.
Il documento in disamina offre (cfr. paragrafo 10) anche dei chiarimenti ai paragrafi 34, 40 e 44 delle Linee Guida 1/2018 laddove gli OdC intendano operare in più Stati membri.