Tre anni dopo… esiste davvero una conformità al GDPR?
Da quando è entrato in vigore, il regolamento generale sulla protezione dei dati (GDPR) è diventato una delle “esportazioni” più famose d’Europa. Innovativo framework per la privacy, il GDPR ha trasformato radicalmente il modo in cui le aziende gestiscono i dati personali in tutto il mondo e ha ispirato dozzine di Paesi a seguire l’esempio.
Da allora, le imprese che vogliono operare nell’UE, ma non seguono queste norme, sono state colpite da pesanti sanzioni per un totale di centinaia di milioni di euro in soli tre anni. La conformità al GDPR non infatti è facoltativa e il mancato rispetto può essere molto (ma molto) costoso.
Tuttavia, l’attuazione di una riforma così importante e complessa comporta le sue belle sfide. Con le grandi aziende, tra cui Google e Facebook, che lottano per conformarsi alle linee guida GDPR, non sorprende che le aziende di tutte le dimensioni provino un brivido pavloviano ogni volta che sentono di un aggiornamento sui requisiti al GDPR.
Più di recente, il Comitato europeo per la protezione dei dati (EDPB) ha approvato due codici di condotta (COC) per i fornitori di servizi cloud. Ciò ha rafforzato la questione se esiste davvero una conformità al GDPR, dato che questi COC non forniscono una certificazione formale. La risposta breve è “no”, la risposta più lunga è “non ancora, ma dovrebbe arrivare presto” e le aziende devono prepararsi.
Di conseguenza, le aziende devono capire che sono stati compiuti progressi da diversi schemi di certificazione sulla formalizzazione della conformità al GDPR e che i leader e i fornitori IT possono già iniziare a dimostrare la conformità e prepararsi per la certificazione formale: ecco come.
Conformità GDPR: un work in progress
Nonostante il GDPR sia entrato in vigore nel maggio del 2018, il processo per rendere operativo l’articolo 42 (che consentirebbe la creazione di meccanismi di certificazione) è avvenuto solo all’inizio del 2020, dopo che l’EDPB ha pubblicato le procedure di approvazione. Questo annuncio ha dato alle aziende in cerca di una certificazione formale una nuova speranza, in quanto ha stabilito un processo che consente agli organismi di certificazione di presentare i propri schemi per l’approvazione formale.
All’inizio del 2019, uno studio della Commissione europea (CE) ha identificato 117 schemi di certificazione e ne ha selezionati 15 per un’analisi dettagliata. Analogamente al codice di condotta, esistono meccanismi di protezione dei dati e di certificazione della privacy che “possono essere utilizzati come elemento per dimostrare la conformità” ma che esulano dall’ambito di applicazione dell’articolo 42. Questi includono sistemi di gestione delle informazioni personali come BS 10012, il NIST Privacy Framework e ISO 27701. Quest’ultima è un’estensione della serie ISO 27000 ed è stata accolta con un forte sostegno da parte della CNIL, un’autorità amministratitva indipendente francese incaricata di assicurare l’applicazione della legge sulla tutela dei dati personali nei casi in cui si effettuino raccolte, archiviazioni ed elaborazioni di dati personali.
Oltre a ciò, lo studio della CE ha anche evidenziato due schemi di certificazione come potenziali candidati per fornire una certificazione formale contro il GDPR: ISDP 10003 di Accredia (Italia) e European Privacy Seal di EuroPriSe (Germania). Questi meccanismi possono certificare prodotti, processi e servizi e, nel caso di EuroPriSe, le aziende possono seguire i loro progressi verso l’approvazione formale mentre lavorano attraverso il processo con il regolatore tedesco e, in definitiva, l’EDPB.
Perché la certificazione è fondamentale per i leader IT?
Le organizzazioni sono responsabili non solo delle loro scelte quando selezionano un fornitore, ma anche delle scelte dei fornitori. Devono valutare il rischio del fornitore e condurre una due diligence proporzionata per fornire all’organizzazione un’adeguata garanzia che né i loro fornitori, né alcuno dei loro successivi sub-incaricati, stiano trattando in modo improprio i dati personali.
Ciò diventa estremamente difficile dato che un prodotto può avere diversi strati di sub-processori da regione a regione. La certificazione formale non elimina la responsabilità, ma riduce sostanzialmente lo sforzo necessario per convalidare un prodotto del fornitore. Spostando la due diligence su un processo di certificazione strutturato attestato da un valutatore indipendente, le organizzazioni sono rassicurate sul fatto che stanno rispettando il GDPR quando lavorano con i fornitori.
Il recente annuncio fatto dall’EDPB sui due codici di condotta, insieme ai vari schemi di certificazione che sono stati resi disponibili dall’entrata in vigore del GDPR, dimostrano chiaramente che si stanno compiendo progressi e indicano un futuro imminente in cui la certificazione formale sarà disponibile.
Le aziende e i leader IT dovrebbero essere preparati e esaminare gli schemi disponibili che possono aiutarli a raggiungere facilmente la conformità formale al GDPR. Ciò comprende:
- Per le organizzazioni di fornitori che vendono prodotti o forniscono servizi dati ai propri clienti, un modo per certificare la conformità al GDPR sarebbe optare per lo schema di certificazione ISDP 10003 o lo schema European Privacy Seal. Ciascuno di questi schemi può garantire alle organizzazioni una configurazione certificata che può trasformarsi in conformità formale al GDPR una volta che l’EDPB emette una decisione.
- Per le organizzazioni end-user che cercano la certificazione per convalidare prodotti e/o servizi di dati, si deve valutare l’obiettivo della valutazione (TOE) rispetto al quale è stata ottenuta la certificazione. Questo documento definisce i prodotti e le configurazioni nell’ambito del processo di valutazione formale.
Tuttavia, per le aziende end-user che desiderano valutare le procedure interne durante la gestione delle informazioni personali, varrà la pena considerare il BS 10012, il NIST Privacy Framework o ISO 27701 per stabilire un sistema di gestione delle informazioni personali.
Le certificazioni sulla privacy, formalmente approvate o meno per la conformità al GDPR, sono un approccio molto valido per supportare la struttura in un programma sulla privacy e fornire un vantaggio competitivo. Essere due passi avanti nella certificazione della conformità al GDPR può infatti solo semplificare la vita alle aziende, poiché la domanda da farsi ora è quando le aziende possono certificare formalmente di essere conformi al GDPR, piuttosto che come.