News

Data privacy: Chi puo' certificare?

guelfi_e_ghibelliniCon l’avvicinarsi della scadenza del 25 maggio 2018 e della conseguente necessità di adeguarsi al nuovo regolamento europeo 679/2016 stiamo assistendo ad una “diatriba” mediatica e sociale inerente alla certificazione per la data privacy. Proviamo a riassumerla attraverso i principali contributi partendo dall’articolo di settimana scorsa apparso su Il Sole24ore scritto dall’ avv. Imperiali:
«La certificazione è volontaria e accessibile tramite una procedura trasparente» (articolo 42.3) ma «lascia impregiudicati i compiti e i poteri delle autorità di controllo competenti» (articolo 42.4). Ciò significa che il rilascio della certificazione Gdpr (ndr: General Data Protection Regulation- Regolamento UE 2016/679) offre una mera presunzione relativa di conformità che sia il Garante sia l'autorità giudiziaria sono libere di valutare.(…) La certificazione (...) è rilasciata dagli organismi di certificazione (...) o dall'autorità di controllo competente in base ai criteri approvati da tale autorità di controllo competente.(…) La formulazione dell'articolo 42.5 prevede che il potere di rilasciare la certificazione sia riconosciuto alternativamente all'organismo di certificazione accreditato o all'autorità di controllo competente.»
 
Un differente punto di vista lo troviamo un’intervista all’ avv. Stefanelli dello studio legale Stefanelli&Stefanelli di Bologna, sul quotidiano Daily Health Industry che riassunto ci dice:
Esistono attualmente certificazioni utilizzabili?
“No, a tutt’oggi non ci sono certificazioni che abbiano una valenza giuridica per regolamento sulla protezione dei dati personali”.
Ma da chi possono essere rilasciate le certificazioni?
“La certificazione, secondo quanto stabilito, è rilasciata dagli organismi di certificazione o dall’autorità di controllo competente. Il punto però è un altro: le certificazioni si rilasciano in base a criteri standard predefiniti. Tali criteri – ai sensi dell’art. 42 comma 5 del Regolamento – possono essere approvati solo dal Garante privacy e/o dal Comitato Europeo: al momento non mi risulta che né l’autorità italiana, né il Comitato Europeo abbiano emanato alcun criterio in merito. Quindi non vi possono essere certificazioni valide ai sensi del Reg 679/2016”.
Però sul sito di Accredia è stata pubblicata la notizia di una certificazione valida ai fini del regolamento 679/2016 rilasciata dalla società PharmaSoftFea? Come se lo spiega?
“In effetti sul sito si legge che Accredia abbia approvato uno schema proprietario adottato da un organismo di certificazione (PharmaSoftFea) e lo abbia fatto diventare lo standard di riferimento per il regolamento 679/2016. Francamente non mi sembra un iter legittimo: non è chiaro infatti sulla base di quali criteri, che come ho già evidenziato attualmente non esistono, sia stato approvato questo standard. Ho anche chiesto informazioni ad Accredia in merito, ma non ho ancora ricevuto una risposta. Il problema è che attualmente la materia è ancora poco conosciuta, c’è quindi il rischio che un’azienda non abbia una piena consapevolezza di quello che sta ottenendo, e che quindi ritenga valida, ai fini dell’art. 42 del Reg. 679/2016, una certificazione che, secondo il mio parere, non ha al contrario alcuna valenza giuridica”.

Ne è conseguito un interessante contraddittorio sul famoso social network Linkedin tra due dei principali players, nel mondo delle banche dati sanitarie/farmaceutiche: Pharmasoft e PKE:
Pharmasoft scrive:
GDPR - GUELFI O GHIBELLINI? Quando le contrapposizioni fanno male al sistema privacy - Sotto la copertura della divisione tra guelfi e ghibellini ci si affrontò in Italia per questioni di campanile, vale a dire di interessi locali.  Cosa è' cambiato? Di recente sono stati postati alcuni articoli che hanno cercato di dare un'interpretazione sui meccanismi di certificazione. Leggendoli l'impressione era che fossero un po' capziosi, con evidente limitata conoscenza delle norme che regolano la certificazione e francamente di passaggi del GDPR. Perché il GDPR richiama espressamente e, aggiungo, volutamente la norma ISO 17065:2012 e il Reg. 765/2008/CE?Perché il legislatore europeo voleva attribuire il significato che gli ha attribuito: un istituto snello, versatile, funzionale ed imparziale per le imprese. E' facile prevedere che l'intervento dell'autorità a tal riguardo, porrebbe un imprenditore nella difficoltà ad aprirsi alla "consulenza" del Garante in veste di organo di certificazione, conscio che lo stesso organo è quello infligge fino a 20 MIL o 4% del fatturato mondiale in caso di violazioni.
Coluccia di PKE commenta:
Non sussiste affatto uno scontro tra Guelfi e Ghibellini e non vi è nessun atteggiamento capzioso ma solo la necessità del mercato di fare chiarezza. Senza nulla togliere all'autorevolezza dell'avv. Imperiale, la domanda - quasi banale - che sorge spontanea è: se il legislatore comunitario del Reg 679/2016 avesse voluto veramente  attribuire agli organismi nazionali di accreditamento (Accredia in Italia ai sensi del reg 765/2008/CE)  il potere di approvare i criteri di certificazione perchè non l'ha scritto? La realtà è che il legislatore comunitario voleva proprio conferire tale potere all'autorità competente e non all'organismo di accreditamento: cioè al Garante Privacy e non ad Accredia. Così palese all'art. 42 comma 5. E non risulta che, ad oggi, il Garante Privacy abbia delegato ad alcuno tale potere. Anzi, anche ammesso e non concesso, che il reg 765/2008/CE conferisse un potere di natura generale ad Accredia, allora l'art.42 comma 5 si porrebbe come una eccezione rispetto alla regola. Quindi pare proprio che Accredia non abbia alcun potere, e che quindi pubblicizzare le certificazioni come aventi valore ex art. 42 sia del tutto ingannevole.

Punti di vista differenti su un tema che diventa sempre più caldo – in PKE seguiamo con interesse questo argomento e a breve vi forniremo interessanti novità a riguardo.
 

 
Autore:

PKE Group

PKE è una società nata da DS Medigroup, costituita per gestire i data base delle professioni e la creazione di comunità profilate sulla rete Internet.
Obiettivo di PKE è accompagnare le Istituzioni e gli Enti privati nella corretta gestione dei dati e nell’approfondita conoscenza delle diverse professioni, nell’analisi delle competenze specifiche di ciascuna disciplina, nelle valutazioni dei loro fabbisogni formativi ed informativi, nella definizione strategica degli strumenti di comunicazione (informazione e formazione) e nella loro completa implementazione.

Segui PKE Group: