Cookie free: nessun "biscotto" per spiare i lettori

La manona nel decreto 101 e la certificazione del Garante

Privacy e sicurezza - Paolo Ricchiuto* - 24 ottobre 2018

Una delle più importanti novità contenute nel GDPR, consiste nella scelta operata dal legislatore europeo di disegnare l’importantissimo meccanismo della certificazione in un modo estremamente equilibrato: il titolare del trattamento che intenda presentarsi sul mercato con un (non decisivo, ma rilevante) "bollino blu" , vede davanti a sé aprirsi un duplice binario, e accanto agli ambiti squisitamente commerciali propri degli organismi di certificazione (che della certificazione fanno un legittimissimo business), è prevista una via alternativa, presumibilmente gratuita o quasi, e cristallinamente terza, costituita dalla possibilità che a rilasciare la certificazione sia direttamente il Garante.

Questo è quanto prevede l’art. 42 par. 4 e 5 (nel combinato disposto con l’art. 58 par. 3) del GDPR.
Ora, rispetto a questo chiarissimo scenario, appare a dir poco incomprensibile la disposizione del decreto 101 che introduce nel Codice privacy l’art. 2-septiesdecies.

La norma dopo aver chiarito quello che era già perfettamente arguibile dal tessuto normativo esistente (e cioè che nel nostro Paese il certificatore dei certificatori – ente unico di accreditamento - era ed è Accredia), così recita:

fatto salvo il potere del Garante di assumere direttamente, con deliberazione pubblicata nella Gazzetta Ufficiale della Repubblica italiana e in caso di grave inadempimento dei suoi compiti da parte dell'Ente unico nazionale di accreditamento, l'esercizio di tali funzioni, anche con riferimento a una o più categorie di trattamenti

Che vuol dire ? Di certo la norma non limita al caso indicato la possibilità che il Garante svolga direttamente attività di certificazione: in tale eventualità, la disposizione sarebbe ovviamente illegittima per evidente contrasto con quanto previsto nel GDPR.

La dinamica descritta dal legislatore della armonizzazione, allora, non si può che interpretare in questo modo: il Garante svolge una funzione di "supplenza condizionata", che lo farebbe intervenire in presenza di un "grave inadempimento" da parte di Accredia, facendo assumere all’Autorità in tal caso anche il ruolo di certificatore dei certificatori. Al di là della fumosità della disposizione (quand’è che si concretizza un "grave inadempimento" da parte di Accredia ? Chi lo verifica e lo accerta?), quello che è evidente è che a carico del Garante si disegna un compito a dir poco gravoso, se non, diciamo la verità, del tutto ingestibile.

Per accorgersene, basta considerare il fatto che, a distanza di ormai cinque mesi dal famigerato 25 maggio 2018, il Garante non ha ancora emanato nemmeno i "criteri" cui si deve ispirare il rilascio della certificazione (così come previsto dall’art. 42 comma 5 GDPR), determinando la sostanziale impossibilità, sia per l’Autorità che per gli organismi di certificazione, di svolgere la propria funzione (si veda il comunicato stampa congiunto Accredia-Garante), e lasciando quindi il mercato in una situazione di sostanziale paralisi, nella quale sguazzano venditori di finte certificazioni full GDPR compliant, che in realtà non possono in nessun modo esser ricondotte alle certificazioni spendibili a norma di Regolamento.

Se il Garante, quindi, non ha evidentemente le risorse e le energie nemmeno per dettare i criteri, come potrà mai svolgere anche il ruolo di supplente del certificatore dei certificatori?

Siamo quindi di fronte ad una norma incomprensibile nei presupposti e inutile negli effetti.

* Avvocato in Roma