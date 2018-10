(Milano, 24 ottobre 2018) – La privacy mondiale tra Bruxelles e Sofia

L’appuntamento della durata di 5 giorni, dal 22 al 26 ottobre, tra Bruxelles e Sofia, vede coinvolte le piu’ alte cariche istituzionali e autorita’ garanti della protezione dei dati personali mondiale al fine di condividere e promuovere le migliori idee e soluzioni per una regolamentazione equa circa la gestione dei dati personali.

Questa Edizione, la 40esima, e’ ancora piu’ significativa quest’anno in quanto la prima dall’attuazione del GDPR, il nuovo regolamento europeo che disciplina per la prima volta il trattamento dei dati personali con le medesime modalita’ e regole in tutta Europa.

Nella giornata di apertura, al Palazzo della Cultura di Sofia, a rappresentare l’Italia, in particolare per il mondo della certificazione, e’ stato invitato come Speaker il dr. Riccardo Giannetti, Scheme manager e Training manager dell’Organismo di Certificazione INVEO e presidente dell’Osservatorio 679.

“Parlare di Accountability e di certificazione in un contesto mondiale e presentare lo schema di certificazione ISDPC 10003, come cittadino italiano e’ stato senz’altro motivo di grande orgoglio. Una platea internazionale e multiculturale, attenta e puntuale a tutti gli aspetti sostanziali del processo di adeguamento al GDPR, ha reso evidente anche agli organizzatori come l’esperienza maturata dal nostro paese (ndr. oltre quindici anni di attivita’ di audit e certificazione) sia un esempio virtuoso per le altre nazioni, ai fini della dimostrazione di consapevolezza e responsabilizzazione – .

“Nei fatti – Continua Giannetti – viene da chiedersi se il processo di adeguamento al GDPR sia stato realmente compreso. Il formalismo prevale ancora a scapito di elementi piu’ sostanziali quali la formazione adeguata, la conoscenza degli strumenti di normazione e dei sistemi che in concreto il titolare potra’ utilizzare a dimostrazione della propria accountability. Il tema e’ particolarmente allarmante, non solo per il rischio sanzionatorio, ma soprattutto per la possibilita’ di restare esclusi da gare di appalto pubbliche o da qualifica di fornitori per i privati. Sempre piu’ spesso infatti assistiamo alla richiesta di documentazione necessaria all’attestazione della conformita’. ”

Il GDPR, ha attribuito un ruolo fondamentale a strumenti di regolamentazione volontaria, noti come ‘Soft Low – ; questi non sono obbligatori ma nel momento in cui il titolare o il Responsabile del trattamento decidono di adottarli, diventa obbligatorio supportare l’organismo di certificazione (CaBs) con tutte le informazioni necessarie.

“Un’organizzazione potrebbe pertanto attestare pubblicamente il suo livello di conformita’ al regolamento, certificandosi relativamente ai processi, prodotti e servizi aziendali (ISO/IEC 17065/2012) come indicato nel famoso articolo 43.1, fornendo garanzie verso le parti interessate dell’adozione di un metodo di analisi e controllo dei principiu’ in linea con quanto richiesto dal regolamento. All’interno del nuovo regolamento vengono richiamati diversi standard internazionali di certificazioni utili per valutare la conformita’ a singoli processi, ma scarsamente utilizzabili per determinare la conformita’ al GDPR.”

Le certificazioni sono tutte uguali? Riccardo Giannetti spiega come si possano distinguere in due tipologie: “Ci sono certificazioni aspecifiche e certificazioni specifiche.

Le prime sono schemi di certificazione che (ISO 9001, ISO 25024, ISO 27001, ISO 27018, ecc) si rifanno agli standard di normazione internazionale. Possiamo definirli aspecifici, proprio in virtu’ della loro parzialita’ di copertura e tipologia di accreditamento richiesto. Pur essendo infatti standard che rientrano nella certificazione dei ‘Sistemi di Gestione – (ISO/IEC 17021) rappresentano in ogni caso una’best practice – per dimostrare la conformita’ a singoli processi richiamati dal GDPR.

Le seconde, certificazioni specifiche, sono schemi di certificazione definiti partendo dall’insieme delle disposizioni (articoli e considerando) del GDPR e che seguono l’obbligazione della certificazione per prodotti, processi e servizi (ISO/IEC 17065). Dunque sono certificazioni che inglobano tutti i controlli richiesti anche dai settori particolari coperti dalle norme di certificazioni aspecifiche. Una di queste e’ lo schema accreditato da Accredia ISDPC 10003. Molte aziende lo stanno gia’ adottando anche grazie alla sua elevata compatibilita’ e valutata positivamente da studi internazionali di prestigiose universita’ europee. L’accountability da oggi puo’ essere certamente dimostrata.”

(Immediapress – Adnkronos

