|
 Aggiornamento
- 25 luglio
«Il Garante Privacy e ACCREDIA richiamano l’attenzione sulla necessità di
attendere la definizione di criteri e requisiti comuni per la conformità delle
certificazioni in materia di protezione dati al Regolamento UE 2016/679».
Così si apre il comunicato diffuso ieri dal Garante e da Accredia sul tema
delle certificazioni, che evoca un divertente cartone animato della nostra infanzia e il
buffissimo personaggio che, di fronte all'ennesimo disastro compiuto dal suo capo, afferma
ridacchiando
“te l’avevo detto, te l’avevo detto”.
Scherzi a parte, come sostenuto su queste pagine in due
interventi (Certificazioni privacy e regolamento UE: che succede?
e Certificazioni: se la toppa non rattoppa,
il buco resta), nei quali si è fatto un semplice e costruttivo
ragionamento (ed ai quali non si è opposto alcun argomento sostenibile in
nessuna sede), mancando ad oggi i criteri che il Garante è tenuto a
fissare a norma dell’art. 43 comma 3 del Regolamento
679, da un lato Accredia
non poteva e non può accreditare nessun organismo di certificazione, e
tantomeno un organismo di certificazione, quale che sia, poteva e può
certificare alcuna coerenza con il Regolamento stesso.
Se fino ad oggi questa era una tesi di un libero pensatore,
oggi diventa una certezza, grazie alla nota congiunta con Accredia,
mediante la quale il Garante, senza mezzi termini, esclude che le certificazioni
già rilasciate o in via di rilascio possano considerarsi coerenti con il
Regolamento fino a quando non saranno emanati dalla Autorità stessa gli
“specifici criteri” richiesti dal legislatore europeo.
Un elemento di chiarezza importantissimo, che rende a
questo punto a dir poco conclamata la non correttezza di comunicazioni
commerciali nelle quali ci si auto-investa del ruolo di certificatori abilitati
a rilasciare una certificazione “conforme al Regolamento”, sulle quali il
Garante non può a questo punto non intervenire, visto il ruolo che ha inteso
ribadire nella stessa nota in commento, di “Autorità indipendente che ha il
compito di garantire l'attuazione della normativa italiana in materia di
protezione dei dati personali e rispetto della vita privata” .
Ma non basta: per evitare poi che dal grottesco si
finisca nella vera e propria farsa, sarebbe il caso infatti che Accredia (che
risulta esplicita co-autrice
della nota), accelerasse un po’ la
rimozione, o quantomeno l’aggiornamento sul suo sito della pagina, che continua a presentare come spendibili le procedure di accreditamento
sviluppate dall’Ente .
Fermi tutti: aspettiamo che il Garante faccia (speriamo
presto) il suo lavoro.
E dopo, solo dopo, si potrà tornare a parlare di
accreditamenti, e di certificazioni vendibili sul mercato.
(P. R.)
Aggiornamento - 25 luglio
Accredia ha aggiornato la pagina con la menzione del documento emanato insieme al Garante e chiarito che le certificazioni non certificano.
In parallelo, l'ente che ha sviluppato lo schema di accreditamento adottato da Accredia
(Inveo, già Pharmasoft), nella pagina dedicata alla CERTIFICAZIONE ISDP©10003:2015 DATA PROTECTION ha aggiunto in coda questo inciso: "Non essendo stati ancora stabiliti gli eventuali criteri integrativi di cui agli artt. 42 e 43 del Reg. 679/2016, quando questi verranno rilasciati dal comitato o dall'autorità nazionale competente ai sensi degli artt. 55 e 56, lo schema
ISDP10003:2015 verrà con sollecitudine adeguato".
E' sufficiente a far capire che la certificazione non certifica? Qualche dubbio
ce lo avrei. E per chiarezza dovuta agli utenti (ed evitare un nuovo caso di pratica commerciale ai limiti della non correttezza), forse
si dovrebbe utilizzare una formulazione meno obliqua, che permetta al mercato di comprendere che, fino a quando il Garante non adotterà i criteri specifici previsti dal Regolamento Europeo, nessuno (compresa Inveo) può rilasciare una certificazione che produca gli effetti previsti al Regolamento stesso.
(Avv. Paolo Ricchiuto)
|
sulle novità di
InterLex
