Approvato il primo sigillo europeo di certificazione di conformità al GDPR

Approvato il primo sigillo europeo di certificazione di conformità al GDPR

Il legislatore europeo, nell’approvare il regolamento generale sulla protezione dei dati, ha previsto di mettere a disposizione dei titolari degli strumenti di certificazione, che garantiscano la correttezza dei trattamenti effettuati.

L’articolo 42, comma 1, del regolamento generale europeo riporta quanto segue:

1. Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l'istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento. Sono tenute in considerazione le esigenze specifiche delle micro, piccole e medie imprese.

È evidente che questi tre strumenti, meccanismi di certificazione, sigilli e marchi, rappresentano un prezioso riferimento per tutti i titolari e responsabili del trattamento, che possono così avere a disposizione un riferimento garantistico, in grado di tranquillizzare sia gli interessati al trattamento, sia i responsabili, sia le autorità di supervisione nazionale, circa il fatto che i trattamenti siano effettuati correttamente.

Ricordo ai lettori che alcuni di questi strumenti erano già in vigore in altri paesi europei e sono diventati disponibili, a livello Europa unita, solo con la pubblicazione del regolamento.

In precedenza, questi strumenti erano quindi validi solo all’interno dei singoli paesi, dove questi strumenti stessi erano stati creati, mentre oggi, seguendo le procedure indicate dall’articolo 42, questi strumenti garantistici sono utilizzabili in tutta Europa.

Pubblicità

Libri e Manuali - La progettazione delle sale di controllo: la serie ISO 11064 ed altre norme - eBook in pdf Approfondimento della normativa ISO 11064 e altre norme per la progettazione delle sale di controllo, a cura di di Adalberto Biasiotti.

Il nome di questo strumento, oggi approvato, è Europrivacy -European data protection seal. Questo schema è stato sviluppato dallo European Center for Certification and Privacy ed è stato presentato all’approvazione, a livello europeo, dall’autorità di supervisione del Lussemburgo.

Questi strumenti non hanno una vita illimitata, ma devono essere rivalutati, in fase di progettazione ed applicazione, ogni tre anni.

Nel documento di approvazione, è stato fatto presente che questo strumento non è applicabile al trasferimento internazionale di dati personali, per i quali bisogna sviluppare le ormai note regole vincolanti di impresa.

Questo schema Europrivacy è uno schema che prende in considerazione una vasta gamma di trattamenti, sviluppati da titolari e responsabili del trattamento in vari settori di attività.

Ecco perché occorre chiaramente individuare quale sia il trattamento coinvolto, che viene indicato con l’acronimo ToE (Target of Evaluation).

Il sigillo in questione è applicabile anche a trattamenti sottoposti a contitolarità, mentre non è applicabile a trattamenti afferenti a dati genetici.

Senza entrare in dettagli, il documento allegato alla presente notizia esamina, passo per passo, tutti i punti chiave del trattamento, che sono presi in considerazione dal sigillo e messi sotto appropriato controllo.

Di particolare interesse il fatto che questo sigillo prende anche in considerazione eventuali regole particolari, che siano in vigore in specifici paesi europei, che hanno utilizzato il grado di discrezionalità, seppur limitato, che il regolamento generale consente. Queste specifiche locali sono contrassegnate dall’acronimo NOCAR (National Obligations Compliance Assessment Report).

Sarà interessante dotare come le compagnie di assicurazione potranno valutare la diminuzione di rischio, connessa a trattamenti effettuati nell’ambito di un sigillo certificato.

Ad oggi non si hanno notizie specifiche, ma non v’è dubbio che tra breve un ulteriore elemento, che potrà indurre titolari del trattamento a fare riferimento a questi sistemi certificati, sarà costituito proprio da un’influenza positiva sul premio applicato dalle compagnie, in relazione a polizze attivate a protezione di responsabilità connesse a trattamenti illeciti di dati personali.

Vedi allegato(pdf)

Adalberto Biasiotti

Licenza Creative Commons

I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.