La privacy mondiale tra Bruxelles e Sofia
L'appuntamento della durata di 5 giorni, dal 22 al 26 ottobre, tra Bruxelles e Sofia, vede coinvolte le più alte cariche istituzionali e autorità garanti della protezione dei dati personali mondiale al fine di condividere e promuovere le migliori idee e soluzioni per una regolamentazione equa circa la gestione dei dati personali.
Questa Edizione, la 40esima, è ancora più significativa quest'anno in quanto la prima dall'attuazione del GDPR, il nuovo regolamento europeo che disciplina per la prima volta il trattamento dei dati personali con le medesime modalità e regole in tutta Europa.
Nella giornata di apertura, al Palazzo della Cultura di Sofia, a rappresentare l’Italia, in particolare per il mondo della certificazione, è stato invitato come Speaker il dr. Riccardo Giannetti, Scheme manager e Training manager dell'Organismo di Certificazione INVEO e presidente dell'Osservatorio 679.
"Parlare di Accountability e di certificazione in un contesto mondiale e presentare lo schema di certificazione ISDP©10003, come cittadino italiano è stato senz’altro motivo di grande orgoglio. Una platea internazionale e multiculturale, attenta e puntuale a tutti gli aspetti sostanziali del processo di adeguamento al GDPR, ha reso evidente anche agli organizzatori come l’esperienza maturata dal nostro paese (ndr. oltre quindici anni di attività di audit e certificazione) sia un esempio virtuoso per le altre nazioni, ai fini della dimostrazione di consapevolezza e responsabilizzazione”.
"Nei fatti - Continua Giannetti – viene da chiedersi se il processo di adeguamento al GDPR sia stato realmente compreso. Il formalismo prevale ancora a scapito di elementi più sostanziali quali la formazione adeguata, la conoscenza degli strumenti di normazione e dei sistemi che in concreto il titolare potrà utilizzare a dimostrazione della propria accountability. Il tema è particolarmente allarmante, non solo per il rischio sanzionatorio, ma soprattutto per la possibilità di restare esclusi da gare di appalto pubbliche o da qualifica di fornitori per i privati. Sempre più spesso infatti assistiamo alla richiesta di documentazione necessaria all’attestazione della conformità. "
Il GDPR, ha attribuito un ruolo fondamentale a strumenti di regolamentazione volontaria, noti come “Soft Low”; questi non sono obbligatori ma nel momento in cui il titolare o il Responsabile del trattamento decidono di adottarli, diventa obbligatorio supportare l’organismo di certificazione (CaBs) con tutte le informazioni necessarie.
"Un’organizzazione potrebbe pertanto attestare pubblicamente il suo livello di conformità al regolamento, certificandosi relativamente ai processi, prodotti e servizi aziendali (ISO/IEC 17065/2012) come indicato nel famoso articolo 43.1, fornendo garanzie verso le parti interessate dell'adozione di un metodo di analisi e controllo dei principi in linea con quanto richiesto dal regolamento.
All'interno del nuovo regolamento vengono richiamati diversi standard internazionali di certificazioni utili per valutare la conformità a singoli processi, ma scarsamente utilizzabili per determinare la conformità al GDPR."
Le certificazioni sono tutte uguali? Riccardo Giannetti spiega come si possano distinguere in due tipologie: "Ci sono certificazioni aspecifiche e certificazioni specifiche.
Le prime sono schemi di certificazione che (ISO 9001, ISO 25024, ISO 27001, ISO 27018, ecc) si rifanno agli standard di normazione internazionale. Possiamo definirli aspecifici, proprio in virtù della loro parzialità di copertura e tipologia di accreditamento richiesto. Pur essendo infatti standard che rientrano nella certificazione dei “Sistemi di Gestione” (ISO/IEC 17021) rappresentano in ogni caso una“best practice” per dimostrare la conformità a singoli processi richiamati dal GDPR.
Le seconde, certificazioni specifiche, sono schemi di certificazione definiti partendo dall'insieme delle disposizioni (articoli e considerando) del GDPR e che seguono l'obbligazione della certificazione per prodotti, processi e servizi (ISO/IEC 17065). Dunque sono certificazioni che inglobano tutti i controlli richiesti anche dai settori particolari coperti dalle norme di certificazioni aspecifiche.
Una di queste è lo schema accreditato da Accredia ISDP©10003. Molte aziende lo stanno già adottando anche grazie alla sua elevata compatibilità e valutata positivamente da studi internazionali di prestigiose università europee. L'accountability da oggi può essere certamente dimostrata."
