Certificazione GDPR dei responsabili del trattamento: la proposta della CNIL

Al via la consultazione pubblica sullo schema di certificazione dei responsabili del trattamento dei dati ai sensi dell’art. 28 GDPR, avviata dall’Autorità garante privacy francese cd CNIL.

Si tratta di un primo tentativo di certificazione che vede coinvolti i “professionisti” (in senso lato) in materia di protezione dati, interessante anche alla luce dei risvolti pratici nei processi aziendali di qualificazione e contrattualizzazione di fornitori e outsourcers.

Schema di certificazione: un esperimento innovativo

Quella dell’Autorità garante francese è un’idea innovativa che consiste nel rendere certificabile l’operato dei responsabili del trattamento (ex art. 28 GDPR). Questo significherebbe che i responsabili del trattamento, figure decisamente importanti nella filiera dell’attività del trattamento, avrebbero una sorta di compliance al GDPR rafforzata, avendo i loro prodotti/servizi certificati al GDPR, secondo standard europei di livello.

Lo strumento della certificazione come ben sappiamo spesso è “generalista” e in quanto tale l’eventuale difficoltà sarebbe quella di attagliare al meglio sul singolo prodotto/servizio le caratteristiche di conformità che lo schema di certificazione imporrebbe.

D’altra parte, in quest’ottica molteplici sono i settori e le attività di trattamento dati in cerca di presidio. Pensiamo a tutte quei servizi/prodotti nel settore dell’ICT.

Lo schema che la CNIL comprende 90 controlli, ben 5 fasi, e la certificazione avrebbe una durata triennale.

Valido strumento di accountability

Un qualunque schema di certificazione evidentemente è un valido strumento di accountability dal momento che è studiato per facilitare la dimostrazione della conformità al GDPR in un contesto di elaborazione dei dati.

Il titolare del trattamento e non di meno, ancorché pro quota sua, il responsabile del trattamento sono comunque entrambi tenuti a rispettare determinati obblighi previsti dal GDPR.

Gli obblighi del responsabile

Gli obblighi del responsabile del trattamento si applicano a tutte le organizzazioni che elaborano dati personali per conto di un’altra (il titolare del trattamento dei dati) come parte di una fornitura di servizi. Ne consegue che rientrano tra questi:

• fornitori di servizi IT (hosting, manutenzione ecc.);
• software house;
• aziende di sicurezza informatica;
• aziende di servizi digitali con accesso ai dati;
• agenzie di marketing/comunicazione che elaborano dati personali per conto dei propri utenti/clienti.

Gli obblighi del titolare

Il titolare del trattamento, tra gli altri, è tenuto ad avvalersi di responsabili del trattamento ritenuti affidabili che forniscano “garanzie sufficienti” al fine di soddisfare i requisiti del GDPR (art. 28) ogniqualvolta decide di affidargli il trattamento dei dati personali per suo conto.

Di qui la necessità di avere un buon contratto che contenga tutti gli elementi di cui all’art. 28 paragrafi 3 e 4, con l’elenco delle misure di sicurezza, oltre agli ulteriori dettagli sul trattamento, in piena conformità al format stabilito dalla Decisione di Esecuzione (915/2021) emanata dalla Commissione europea sulle SCC/CCT.

Vantaggi dello schema di certificazione ex art. 28 GDPR

Detto schema di certificazione intende aiutare i titolari del trattamento dei dati a orientarsi anche nella scelta dei propri responsabili del trattamento, garantendo da un lato che il trattamento effettuato dal medesimo sia stato valutato come conforme ai criteri riconosciuti dalla CNIL.

Chi può accedere alla certificazione

Qualsiasi organizzazione sia pubblica che privata, avente sede in Europa e che tratta dati personali per conto di un titolare del trattamento, potrà richiedere questa certificazione.

Evidentemente, le PMI sono particolarmente incoraggiate a rispondere a questa consultazione.

I criteri pensati hanno l’obiettivo di offrire una certificazione che stabilisca un livello adeguato se non anche ambizioso, ma senz’altro accessibile per i responsabili del trattamento disposti a impegnarsi al fine di “migliorare la propria maturità nella protezione dei dati” scrive la CNIL stessa nel comunicato ufficiale del 30 gennaio 2025.

I criteri di valutazione

I criteri proposti sono aperti all’uso di una qualsiasi tecnologia e alle parti interessate di tutti i settori.

L’Organismo di certificazione accreditato condurrà la sua valutazione in base al contesto di elaborazione dei dati, basandosi su tutte le raccomandazioni e le risorse pubblicate dalla CNIL per attore/settore o nei suoi temi principali, al fine di determinare se ciascun criterio sia o meno soddisfatto).

La valutazione

Per ottenere la certificazione, sarà necessario dimostrare la conformità a ciascun criterio. Novanta sono i controlli suddivisi per “cronologia di implementazione” del trattamento dei dati personali effettuato per conto di un titolare del trattamento, e quattro sono le parti/fasi:

1. contrattualizzazione;
2. preparazione dell’ambiente di elaborazione, comprese le misure di sicurezza richieste nell’appendice dei criteri;
3. implementazione dell’elaborazione;
4. completamento dell’elaborazione.

Una quinta parte incorpora i criteri relativi ai piani d’azione che dovranno essere attuati dal trasformatore durante il periodo di certificazione, che avrà una durata di 3 anni e sarà rinnovabile.

Il responsabile del trattamento è libero di determinare quale servizio vuole certificare. Grazie all’assistenza dell’Organismo di certificazione deputato, l’obiettivo della valutazione sarà definito in base ai trattamenti dati coinvolti, esaminati alla luce dei criteri censiti.

Un passaggio importante che fa sapere la CNIL risiede nel fatto che “poiché la valutazione si concentra sull’implementazione operativa del trattamento, la certificazione sarà più adatta ai servizi “chiavi in mano o standard” offerti dai responsabili.

Tuttavia, anche i servizi “personalizzati” o i nuovi servizi erogati dalle startup potranno essere sottoposti a certificazione alcuni mesi dopo l’inizio effettivo dell’elaborazione dei dati.

I tempi e i modi

Come anticipato, la consultazione pubblica sulla bozza dei criteri di certificazione si concluderà il 28 febbraio 2025.

Si può partecipare alla consultazione per il tramite di associazioni ecc., attraverso la compilazione di un modulo composto da sei domande in cui condividere le proprie osservazioni/aspettative generali.

Evidentemente più i feedback saranno specifici, incentrati su uno o più criteri, e più aiuteranno anche CNIL nel perfezionare questo schema.

Conclusioni

Non è un caso che questa iniziativa provenga proprio dalla CNIL che dalla notte dei tempi si caratterizza per essere un’Autorità garante privacy di frontiera, promotrice di varie iniziative dall’approccio pratico e concreto, e sempre pronta a fornire soluzioni operative per una robusta compliance in materia di data protection.

Di qui, l’auspicio di un’ampia partecipazione tra persone fisiche o giuridiche, pubbliche o private, fornitori o clienti, RPD/DPO, invitando caldamente le PMI (piccole medie imprese) potenziali interessate ad avvalersi di questa certificazione per rafforzare quel rapporto di fiducia con i propri utenti/clienti/interessati specialmente quando la fornitura di un servizio/prodotto implica il trattamento di dati personali, proprio come lo spirito del Regolamento ormai da anni ci insegna.