L’European Data Protection Board (EDPB), nella Opinion 28/2022 dello scorso 10 ottobre, ha approvato il primo meccanismo di certificazione per garantire la compliance al Regolamento (UE) 2016/679 sulla protezione dei dati personali. Europrivacy supporterà le aziende europee nel percorso di adeguamento dei propri modelli di gestione della privacy, rilasciando un sigillo di conformità valido in tutti gli Stati membri.
Tra i principali elementi di innovazione, spiccano l’applicabilità del sistema ad alcune tecnologie emergenti (AI, IoT, auto a guida autonoma, smart cities, ecc.), l’utilizzo della blockchain per l’autenticazione dei certificati rilasciati e la interoperabilità con sistemi software e applicazioni di terze parti.
Vediamo cosa è e in che modo può supportare i privati nel garantire (ed essere in grado di dimostrare) il rispetto della normativa di settore sulla privacy.
Europrivacy: il primo sigillo di certificazione valido in tutti i Paesi UE
La decisione dell’EDPB di validare il primo sigillo di conformità, ai sensi dell’art. 42 (5) GDPR, consente alla normativa europea sulla protezione dei dati personali di cominciare a dispiegare tutto il suo potenziale sul tema della “certificazione” (al quale il regolamento stesso riserva oltre settanta riferimenti).
Europrivacy, sviluppato nell’ambito del programma Horizon 2020, è stato pensato con l’obiettivo di rendere semplici, efficaci e intuitivi i processi di adeguamento alla normativa applicabile sulla protezione dei dati personali, coniugando il rispetto degli obblighi di legge al valore generato dalla trasparenza nei confronti degli utenti finali.
Lo stesso principio di accountability che permea l’intero impianto normativo del GDPR, inteso nella sua duplice accezione di “responsabilizzazione” e “rendicontazione”, può esprimere pienamente il suo significato nella misura in cui il nuovo modello, da un lato, guida il Titolare del trattamento (o il Responsabile) nella individuazione degli adempimenti e, dall’altro, consente all’impresa stessa di certificare e dimostrare le varie azioni intraprese a beneficio dei propri stakeholders (interessati, investitori, autorità di controllo).
Proprio in questa direzione, il Considerando 100 del GDPR incoraggia l’istituzione di meccanismi di certificazione che, migliorando la trasparenza e il rispetto del Regolamento, consentano agli interessati di valutare rapidamente il livello di protezione dei propri dati con riferimento ai relativi prodotti e servizi.
Oltre alla varietà dei processi di trattamento (peraltro in diversi settori) presi in considerazione, lo schema di certificazione presenta una combinazione di caratteristiche che ne evidenziano la natura particolarmente innovativa, tra cui:
- la soluzione è progettata per intervenire nelle diverse attività di trattamento tenendo conto degli obblighi e dei rischi specifici per ciascun settore di operatività dell’azienda;
- è applicabile ad alcune delle principali tecnologie emergenti (IoT, Intelligenza Artificiale, Blockchain, auto a guida autonoma, smart cities);
- si basa su un registro distribuito (blockchain) per garantire l’autenticazione dei certificati generati e per prevenirne la falsificazione;
- ha un formato innovativo, leggibile sia dall’uomo che dalla macchina, che può essere reso interoperabile con software e applicazioni di terze parti;
- è allineato con gli standard internazionali ISO e può essere facilmente abbinabile alla ISO/IEC 27001 sulla sicurezza dei sistemi di gestione delle informazioni.
Il sistema verrà supervisionato e continuamente aggiornato da un consiglio internazionale di esperti (composto dai membri dell’Europrivacy International Board of Experts in Data Protection e dell’European Centre for Certification and Privacy), con il compito di garantire il costante allineamento rispetto ai progressi normativi e tecnologici.
È già reso disponibile gratuitamente a fornitori di servizi selezionati ed è supportato da un ecosistema di studi legali qualificati, società di consulenza, provider digitali ed enti di certificazione, inclusi alcuni leader mondiali in ogni categoria.
Il modello Europrivacy a supporto delle imprese
La valutazione dell’EDPB che ha approvato il sistema di Europrivacy – oltre ad apprezzarne l’estendibilità agli obblighi nazionali complementari (comprese le normative extra-UE) – ha preso in considerazione i principali adempimenti posti a carico di Titolari e Responsabili del trattamento secondo le previsioni del GDPR.
Sotto questo aspetto, Europrivacy consente alle imprese di:
- valutare la conformità delle attività di trattamento dei dati personali alla normativa applicabile di settore, individuando le principali componenti che impattano i processi di gestione della privacy (dati, sistemi e trattamenti) e verificando il rispetto dei principi fondamentali che governano il trattamento, enucleati nell’art. 5 GDPR;
- selezionare i responsabili del trattamento, valutando l’effettiva sussistenza delle “garanzie sufficienti” richieste dall’art. 28 del GDPR;
- individuare i requisiti per la nomina del DPO (anche nei casi in cui la sua designazione non sia obbligatoria) e per la corretta compilazione dei registri dei trattamenti;
- valutare l’adeguatezza dei trasferimenti di dati transfrontalieri, in conformità alla disciplina prevista dagli artt. 44-50 GDPR;
- assicurare a clienti e utenti finali un trattamento adeguato dei propri dati personali, anche attraverso un sistema per monitorare e gestire l’esercizio dei diritti da parte degli interessati;
- individuare le misure tecniche e organizzative da adottare per garantire la protezione dei dati personali.
Conclusioni
La validazione di Europrivacy quale primo meccanismo di certificazione riconosciuto a livello europeo costituisce un ulteriore passo per accrescere, nell’ottica di un mercato unico digitale, la fiducia da parte dei consumatori sul trattamento dei loro dati personali, in un periodo storico in cui la crescita esponenziale dei servizi digitali ha reso la privacy degli utenti più importante che mai.
Allo stesso tempo, l’adesione al sistema di Europrivacy da parte delle imprese potrà certamente contribuire a dare maggiori certezze sui vari adempimenti da rispettare e a mettere ordine in un ambito nel quale, finora, sono sorte non poche difficoltà operative (specialmente per le aziende meno strutturate).
Il tutto nella consapevolezza che, essendo le certificazioni voluntary accountability tools (strumenti di responsabilizzazione su base “volontaria”), l’adesione al meccanismo non riduce la responsabilità dell’azienda per la conformità al GDPR né impedisce alle competenti autorità di controllo di esercitare pienamente i propri poteri ispettivi.
