Per utilizzare questa funzionalità di condivisione sui social network è necessario accettare i cookie della categoria 'Marketing'
Crea PDF

CARPA: uno schema di certificazione del trattamento di dati personali

CARPA: uno schema di certificazione del trattamento di dati personali
Adalberto Biasiotti

Autore: Adalberto Biasiotti

Categoria: Privacy

22/04/2022

Si chiama CARPA - Certified Assurance Report based Processing Activities- un documento che si rivelerà prezioso per tutti i titolari del trattamento, che vogliano operare in un contesto garantistico.

L’autorità lussemburghese per la protezione dei dati ha pubblicato un documento, che, forse per la prima volta in Europa, stabilisce i criteri in base ai quali sia possibile affermare, o meglio certificare, che un trattamento di dati personali avviene secondo uno schema garantistico e conforme appieno alle indicazioni del regolamento.

 

Gli organismi approvati dall’autorità garante lussemburghese possono rilasciare certificazioni di conformità a queste regole.

 

Vediamole insieme.

 

L’articolo 42, comma uno, del regolamento generale europeo stimola l’autorità di supervisione a definire dei meccanismi di certificazione della protezione dei dati, così come i sigilli e marchi, che permettano di dimostrare la conformità del trattamento al regolamento stesso.

 


Pubblicità
Privacy GDPR - Tutela dei dati personali - 3 ore
Corso online di formazione per Persone autorizzate al trattamento dei dati personali - Regolamento Europeo (UE) 2016/679


Il documento emesso dall’autorità lussemburghese mira proprio a mettere a disposizione di tutti i titolari del trattamento una procedura oggettiva e certificabile di rispetto del regolamento. È così possibile aumentare il livello di fiducia reciproca tra l’interessato, che conferisce i propri dati al titolare, ed il titolare stesso.

 

Il documento è estremamente analitico e passa in rassegna, articolo per articolo, tutti gli elementi chiave che permettono di affermare che un trattamento è effettuato correttamente.

 

A solo titolo di esempio, vengono stabiliti i parametri per la legittimità del trattamento, i diritti dell’interessato, l’obbligo di notificazione di possibili violazioni, il rispetto dell’articolo 25, il rispetto dell’articolo 35 ed una illustrazione delle misure tecniche e organizzative che vengono messe in atto, per soddisfare alle indicazioni dell’articolo 32.

 

Per ognuno di questi temi, il documento presenta delle sezioni, a loro volta articolate in sottosezioni, che illustrano punto per punto quale sia il comportamento corretto del titolare per rispettare la specifica prescrizione.

 

È probabile che una conseguenza positiva indiretta del rispetto di questo schema di certificazione derivi da una valutazione di rischio relativamente contenuta, che ha riflessi immediati sui premi che il titolare potrebbe pagare per ottenere una efficiente ed efficace copertura assicurativa sul trattamento in atto.

 

Il documento è composto da 28 pagine e certamente non è possibile in poche righe illustrarne la acribia, ma mi permetto di prende in esame un solo aspetto, come ad esempio il rispetto dei diritti degli interessati, facendo presente che una certificazione può essere ottenuta soltanto se il titolare ha:

  • definito un punto di contatto per ricevere qualunque richiesta provenga da un interessato, per facilitare l’esercizio dei suoi diritti; tale punto di contatto deve essere facilmente raggiungibile o contattabile;
  • il titolare deve provvedere alla registrazione in tutte le richieste e registrare successivamente i tempi effettivi di evasione delle richieste stesse;
  • nel caso il titolare ritenga che la richiesta non sia accoglibile, deve essere allegato un documento che giustifica questo rigetto e gli estremi della comunicazione di tale documento al soggetto interessato.

 

Può sembrare che questi tre punti siano ovvi, ma quando bisogna poi definire dozzine di punti, per dozzine di criteri e sotto criteri, la faccenda può diventare complicata; ecco dove diventa prezioso questo documento.

 

L’organismo di certificazione, a sua volta accreditato dall’autorità garante lussemburghese, prende in considerazione questo elenco di punti di controllo e verifica che essi siano stati puntualmente attivati o rispettati dal titolare coinvolto.

 

Stiamo parlando di un paio di centinaia di punti di controllo, che garantiscono la estrema incisività dei controlli effettuati.

 

Mi auguro che qualche ente di certificazione italiano voglia attivarsi, perché ogni giorno diventa sempre più pressante la richiesta di avere a disposizione strumenti oggettivi di tutela e salvaguardia dei titolari e degli interessati coinvolti.

 

Allegato documento (PDF)

 

 

Adalberto Biasiotti





I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.

Per visualizzare questo banner informativo è necessario accettare i cookie della categoria 'Marketing'

Pubblica un commento

Ad oggi, nessun commento è ancora stato inserito.

Pubblica un commento

Banca Dati di PuntoSicuro


Altri articoli sullo stesso argomento:


Forum di PuntoSicuro Entra

FORUM di PuntoSicuro

Quesiti o discussioni? Proponili nel FORUM!