Dello schema Inveo ISDP ©10003 “Schema Internazionale per la valutazione della Conformità al Regolamento Europeo 2016/679” e gia’ stato scritto davvero molto, e, in generelae di GDPR e’ stato scritto anche troppo (probabilmente anche a causa della “sovrapproduzione normativa” di cui noi tutti addetti ai lavori siamo vittime).
Non siamo giuristi ma vogliamo provare a dare comunque il nostro modesto contributo fornendovi:
1. Un laconico (e non esaustivo) riassunto dei pro e dei contro di una certificazione come la ISDP©10003
2. Un riadattamento grafico della norma e del mapping che la norma fornisce all’allegato B fra schema ISDP ©10003 e GDPR
3. Alcuni siti su cui poter approfondire
Speriamo in questo modo di potervi aiutare pragmaticamente a comprendere se lo schema faccia o meno al caso vostro.
La certificazione [...] non riduce la responsabilità del titolare del trattamento o del responsabile del trattamento riguardo alla conformità al presente regolamento e lascia impregiudicati i compiti e i poteri delle autorità di controllo […]”
- Art. 42.4 Regolamento UR 679/2016
Pro e Contro della ISDP ©10003
Partiamo dai contro:
1. Come recita l’art. 42.4 del GDPR “La certificazione ai sensi del presente articolo non riduce la responsabilità del titolare del trattamento o del responsabile del trattamento riguardo alla conformità al presente regolamento e lascia impregiudicati i compiti e i poteri delle autorità di controllo […]” (affermazione vera ovviamente in generale: nessuna certificazione ci solleva infatti dalle cogenze normative)
2. Le certificazioni rilasciate dagli organismi accreditati non sono ancora riconosciute dal Garante ai sensi del GDPR
E fra i pro possiamo invece annoverare senza tema di smentita:
1. Lo schema e’ gratuito, si trova qui: https://www.in-veo.com/ insieme alle sue condizioni d’uso, puo’ pertanto essere utilizzati con molteplici scopi, per esempio
a. Assesment/checklist interno/a
b. Audit di 1° o di 2° parte
c. Rilettura del GDPR con una lente “per processi”
2. Anche questa certificazione “e’ riconosciuta dal mercato come una garanzia e un atto di diligenza dell’adozione volontaria di un sistema di analisi e controllo dei principi e delle norme del Regolamento”
3. Lo schema è accreditato da Accredia (Ente Unico per l’accreditamento ai sensi dell’art. 2 septiesdecies D.Lgs. 101/2018) secondo la norma UNI EN ISO 17065 (si noti la differenza per es. con le ISO 27001 e 27701 inerenti i Sistemi di Gestione, che sono invece accreditate secondo la norma ISO 17021)
4. La rispondenza allo schema aiuta sensibilmente Titolari e Responsabili del trattamento nel dimostrare la loro accountability (termine di cui siamo tutti ormai arcistufi, ma che viene sempre piu’ associato binariamente al Regolamento Europeo UE 679/2016)
5. Segue un approccio per processi: i 7 macroprocessi proposti sono allineati con le linee guida EPB 1/2018 al par. 5 “Sviluppo dei Criteri di Certificazione”
6. Lo schema risponde allo standard ISO High Level Standard HLS
7. E’ avvalorato a livello europeo dallo Studio della Commissione Europea sui meccanismi di certificazione GDPR ex art.42 e 43, condotto dalla Tilburg University, è fra i 15 migliori schemi di certificazione a livello internazionale e uno dei due conformi allo scopo di cui all’art. 42 del GDPR
8. Lo schema ISDP ISDP©10003 è applicabile a tutte le tipologie di organizzazioni e specifica i requisiti per la gestione in correttezza, sicurezza e conformità dei dati personali delle persone fisiche (oggetto di trattamento)
9. Puo’ essere applicato anche a singoli trattamenti, perimetrando cosi’ il suo ambito di applicazione
10. Al paragrafo 7.6.1 “Documentazione per la Certificazione” fornisce un utile checkup documentale (indipendentemente dal fatto che ci si voglia certificare o meno)
Una livrea per lo Schema
Ci siamo dilettati a sintetizzare in un’unica tabella gli allegati A e B e a dargli una nuova veste grafica:
Sitografia
DI seguito i nostri suggerimenti per approfondire:
1) Articoli 42 e 43 del GDPR, che puoi trovare con riferimenti ai considerando e ad altri articoli di riferimento, per esempio qui
2) Linee guida 1/2018 relative alla certificazione e all'identificazione di criteri di certificazione in conformità degli articoli 42 e 43 del regolamento (UE) 2016/679 Versione 3.0 4 giugno 2019 disponibili su: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-12018-certification-and-identifying_en
3) FAQ in materia di Certificazione e Accreditamento del Garante Privacy: https://www.garanteprivacy.it/regolamentoue/certificazione-e-accreditamento
4) Studio della Tilburg University sui meccanismi di certificazione: https://ec.europa.eu/info/sites/default/files/data_protection_certification_mechanisms_study_final.pdf
5) Sito INVEO da cui e’ possibile scaricare lo schema accedendo alla sezione privacy tools: https://www.in-veo.com/
6) La guida “Certificazioni in ambito GDPR, ecco il nuovo schema ISDP © 10003) di Claudia Ciampi: https://www.cybersecurity360.it/legal/privacy-dati-personali/certificazioni-in-ambito-gdpr-ecco-il-nuovo-schema-isdp10003/
7) La guida di Agenda Digitale “Certificazioni privacy, è tempo di bollini: come ottenerli e le FAQ del Garante” a cura di Renato Castroreale e Chiara Ponti: https://www.agendadigitale.eu/sicurezza/privacy/certificazioni-privacy-e-tempo-di-bollini-come-ottenerli-e-le-faq-del-garante/