Uno schema per certificare la conformità al Gdpr
Lo Schema ISDP 10003:2020 ha tradotto i 99 articoli e i 173 considerando del Gdpr in controlli operativi – Con esso non si certifica il sistema di gestione, che pure sussiste, bensì il processo, il prodotto, il servizio - Lo Schema è gratuito ed è arricchito da una check list che può essere utilizzata per una verifica del gap dell'organizzazione rispetto ai requisiti in esso ordinati.
E' lo “Schema ISDP 10003:2020” e non è nuovo alle pagine di Federprivacy, né al pubblico degli operatori che si occupano di protezione dei dati personali. Il presente contributo ha lo scopo di offrire un sintetico inquadramento di questo Schema che è dettato specificamente per la certificazione di conformità alle disposizioni del Regolamento UE 2016/679, oltre che di puntualizzare alcuni importanti aspetti che lo riguardano.
Intanto, lo Schema è stato redatto e sviluppato dall'organismo di certificazione Inveo, accreditato a tal fine da Accredia, che è l'ente italiano di accreditamento.
Il suo ambito di applicazione (cfr. § 1.2) concerne tanto i titolari del trattamento - per la dimostrazione del livello di protezione dei dati personali relativi a processi, esterni e interni, prodotti e servizi, forniti o erogati - quanto i responsabili del trattamento - per la dimostrazione delle garanzie sufficienti che i responsabili devono presentare ai titolari del trattamento (art. 28).
Dunque lo Schema si applica per la dimostrazione della conformità generale dell'organizzazione, ovvero per la dimostrazione della conformità di un prodotto, di un processo o di un servizio. Con esso non si certifica dunque il sistema di gestione, cioè quello che potremmo chiamare l'infrastruttura di governo delle attività di trattamento preordinata al miglioramento continuo. La precisazione è che il sistema di gestione c'è - vogliamo dirlo: c'è inevitabilmente - anche se non è la sua conformità ad essere oggetto di certificazione.
Questo lo si deve all'affermazione inequivoca e cogente – nella misura in cui scolpita nell'art. 43.1 lett. b) – per cui gli schemi specifici concernenti la protezione dei dati debbono essere accreditati secondo la norma ISO-IEC 17065/2012 (applicabile agli organismi che certificano prodotti, processi e servizi), mentre è la ISO-IEC 17021-1:2015 la norma internazionale che definisce i requisiti per gli organismi di certificazione che svolgono audit e certificazioni di sistemi di gestione (ad esempio, per la qualità, l'ambiente e la salute e sicurezza dei lavoratori).
Una volta chiarito che il mondo della ISO 17065 e della ISO 17021 sono due universi distinti, questo non toglie che essi debbano dialogare. A tal fine interviene il concetto di interoperabilità dello schema, richiamato dalle Linee Guida EDPB 1/2018, poi ripreso dal par. 0.4 dell'ISDP 10003 in cui è precisata la “necessaria interoperabilità con altre norme tecniche o iniziative legislative e di regolamentazione a livello nazionale”, per cui “i requisiti generali nello Schema ISDP©10003, sebbene sviluppati secondo la norma EN ISO/IEC 17065 (...), sono stati resi interagenti con le altre norme internazionali mediante parziale adozione dello standard HLS (High Level Structure)”. Per fornire un esempio immediato, visuale del concetto, ci permettiamo di riprendere dallo Schema la tabella 2:
Si avverte nello Schema che gli asterischi indicano i paragrafi di non corrispondenza fra ISDP©10003 e struttura HLS. Ce ne sono, per forza: l'interoperabilità non potrebbe mai essere intesa o pretesa come uniformità di contenuti; semmai essa ha che fare con la corrispondenza dei contenitori, delle logiche, dei linguaggi.
E riteniamo che tutto questo sia finalizzato non già alla costruzione di una sorta di 'grande gioco' (sospetto che pure potrebbe essere alimentato dalla grande complessità anche del mondo della normazione volontaria), bensì a consentire alle imprese e agli enti che aspirano a e/o ottengono più certificazioni riconducibili anche a norme diverse (come, appunto, la 17065 e la 17021), di ricercare ogni possibile interazione virtuosa tra i diversi sistemi di gestione. Si tratta della non sempre agevole sfida di pervenire ad una sinergia tra tali sistemi, che è necessaria per ridurre/addolcire il loro impatto sull'organizzazione e che si traduce in una razionalizzazione dell'impiego delle risorse, umane e non.
L'operazione concettualmente semplice ma fattualmente complessa compiuta dallo sviluppatore dello Schema è stata quella di tradurre i 99 articoli e i 173 considerando del Regolamento, con acribia e completezza, in una sequenza coerente di controlli operativi, cioè più banalmente di cose da verificare e/o da fare. Le disposizioni di legge sono state analizzate, inventariate e sistemate in modo tale da trasformarsi in domande che il titolare si può/deve porre e in requisiti cui l'organizzazione, i relativi processi, prodotti o servizi debbono attenersi nella misura in cui siano candidati alla certificazione. E l'allegato B, che chiude lo schema, è la sintesi ultima di questo lavoro certosino.
E' pregevole, poiché non scontata, la circostanza che l'ISDP 10003 sia gratuitamente scaricabile (dal sito dell'organismo di certificazione, naturalmente), un'apertura che mostra l'intelligenza di voler favorire la massima diffusione della cultura della certificazione e dello Schema, nonché il suo utilizzo effettivo - se si vuole, anche a prescindere dalla decisione di avviare un iter di certificazione.
Ed è altresì rimarchevole il fatto che l'allegato A allo Schema (“Obiettivi di controllo”) sia una check list completa a disposizione di chiunque, per la verifica anche immediata, hic et nunc, del gap che separa lo stato di fatto della propria organizzazione dallo stato atteso/desiderato come formalizzato nei requisiti dello Schema.
Il titolare che ottiene la certificazione in base allo Schema ISDP 10003 – così come in base a qualunque altro schema (l'altro specifico oggi in circolazione è il tedesco EuroPrise) - non potrà con ciò presumere di avere acquisito una patente di intoccabilità e/o una sorta di immunità. Una certificazione non garantisce e non può garantire che il soggetto certificato non incappi in condotte contrarie alle norme e/o in violazioni delle misure prescritte. Si deve piuttosto rammentare, con l'art. 42.4, che “la certificazione ai sensi del presente articolo non riduce la responsabilità del titolare del trattamento o del responsabile del trattamento riguardo alla conformità al presente regolamento e lascia impregiudicati i compiti e i poteri delle autorità di controllo competenti a norma degli articoli 55 o 56”.
Come tradurre, tutto questo, in termini (pro)positivi? Semplicemente nel fatto che la certificazione è/resta un passo significativo, notevole (anche per lo sforzo che può implicare) verso una più strutturata accountability del titolare (o del responsabile), che si traduce non solo in azioni, atti, cautele e interventi concreti, ma anche nella documentazione degli stessi e nella preordinazione a renderne conto agli stakeholders (interessati, autorità di controllo).
La certificazione può diventare un generatore di fiducia attorno all'organizzazione, nella misura in cui il 'certum facere' è attestato da un ente terzo e imparziale (l'organismo di certificazione), cioè non è frutto di operazioni di autopromozione e/o di campagne autoreferenziali.
Se è vero come è vero che il target del Regolamento UE 2016/679 è costituito dai diritti e dalle libertà delle persone fisiche quando sono trattati dati personali - e non già dalla protezione/sicurezza di quei dati in sé e per sé -, la decisione di certificarsi può rientrare, per esempio, nel piano degli investimenti di una impresa (soprattutto se impegnata in attività dal notevole impatto sugli interessati clienti/utenti) ed essere quindi opportunamente preordinato anche allo sviluppo o al potenziamento del business.