Cookie free: nessun "biscotto" per spiare i lettori

InterLex - RIVISTA DI DIRITTO TECNOLOLOGIA INFORMAZIONE

 

 

ULTIMA ORA

Certificazioni privacy: fermi tutti, aspettiamo il Garante

Privacy e sicurezza - 19 luglio 2017

Aggiornamento - 25 luglio

«Il Garante Privacy e ACCREDIA richiamano l’attenzione sulla necessità di attendere la definizione di criteri e requisiti comuni per la conformità delle certificazioni in materia di protezione dati al Regolamento UE 2016/679».

Così si apre il comunicato diffuso ieri dal Garante e da Accredia sul tema delle certificazioni, che evoca un divertente cartone animato della nostra infanzia e il buffissimo personaggio che, di fronte all'ennesimo disastro compiuto dal suo capo, afferma ridacchiando “te l’avevo detto, te l’avevo detto”.

Scherzi a parte, come sostenuto su queste pagine in due interventi  (Certificazioni privacy e regolamento UE: che succede? e Certificazioni: se la toppa non rattoppa, il buco resta), nei quali si è fatto un semplice e costruttivo ragionamento (ed ai quali non si è opposto alcun argomento sostenibile in nessuna sede), mancando ad oggi i criteri che il Garante è tenuto a fissare a norma dell’art. 43 comma 3 del Regolamento 679, da un lato Accredia non poteva e non  può accreditare nessun organismo di certificazione, e tantomeno un organismo di certificazione, quale che sia,  poteva e può certificare alcuna coerenza con il Regolamento stesso.

Se fino ad oggi questa era una tesi di un libero pensatore, oggi diventa una certezza, grazie alla nota congiunta con Accredia, mediante la quale il Garante, senza mezzi termini, esclude che le certificazioni già rilasciate o in via di rilascio possano considerarsi coerenti con il Regolamento fino a quando non saranno emanati  dalla Autorità stessa gli “specifici criteri” richiesti dal legislatore europeo.

Un elemento di chiarezza importantissimo, che rende a questo punto a dir poco conclamata la non correttezza di comunicazioni commerciali nelle quali ci si auto-investa del ruolo di certificatori abilitati a rilasciare una certificazione “conforme al Regolamento”, sulle quali il Garante non può a questo punto non intervenire, visto il ruolo che ha inteso ribadire nella stessa nota in commento, di “Autorità indipendente che ha il compito di garantire l'attuazione della normativa italiana in materia di protezione dei dati personali e  rispetto della vita privata” .

Ma non basta:  per evitare poi che dal grottesco si finisca nella vera e propria farsa, sarebbe il caso  infatti che Accredia (che risulta esplicita co-autrice della nota), accelerasse un po’ la rimozione, o quantomeno l’aggiornamento sul  suo sito della pagina, che continua a presentare come spendibili le procedure di accreditamento sviluppate dall’Ente .

Fermi tutti: aspettiamo che il Garante faccia (speriamo presto) il suo lavoro.
E dopo, solo dopo, si potrà tornare a parlare di accreditamenti, e di certificazioni vendibili sul mercato.

(P. R.)

Aggiornamento - 25 luglio

Accredia ha aggiornato la pagina con la menzione del documento emanato insieme al Garante e chiarito che le certificazioni non certificano.
In parallelo, l'ente che ha sviluppato lo schema di accreditamento adottato da Accredia (Inveo, già Pharmasoft), nella pagina dedicata alla CERTIFICAZIONE ISDP©10003:2015 DATA PROTECTION ha aggiunto in coda questo inciso: "Non essendo stati ancora stabiliti gli eventuali criteri integrativi di cui agli artt. 42 e 43 del Reg. 679/2016, quando questi verranno rilasciati dal comitato o dall'autorità nazionale competente ai sensi degli artt. 55 e 56, lo schema ISDP10003:2015 verrà con sollecitudine adeguato".

E' sufficiente a far capire che la certificazione non certifica? Qualche dubbio ce lo avrei. E per chiarezza dovuta agli utenti (ed evitare un nuovo caso di pratica commerciale ai limiti della non correttezza), forse si dovrebbe utilizzare una formulazione meno obliqua, che permetta al mercato di comprendere che, fino a quando il Garante non adotterà i criteri specifici previsti dal Regolamento Europeo, nessuno (compresa Inveo) può rilasciare una certificazione che produca gli effetti previsti al Regolamento stesso.
(Avv. Paolo Ricchiuto)

Per intervenire su questo argomento clicca qui
Inizio pagina     Indice di questa sezione      Home

 

Pubblicazione iscritta nel registro della stampa del Tribunale di Roma con il n. 585/97 - Direttore responsabile Manlio Cammarata - P. IVA 13001341000

© Manlio Cammarata/InterLex 2017 -  Informazioni sul copyright