Accountability e certificazione, il primato italiano in Europa

14

Roma, 8 ott. (AdnKronos Salute) – Certificazione, protezione e circolazione dei dati – anche i più delicati come quelli genetici, biometrici o relativi alla salute – nel rispetto della protezione delle persone fisiche e della privacy. In questo settore “l’Italia non solo è a buon punto, ma può vantare esperienza che altri Stati non hanno”. A dirlo è Riccardo Giannetti, Scheme Manager Inveo, che analizza le ultime novità per il settore alla luce del Regolamento Ue 2016/679, meglio noto come Gdpr (General Data Protection Regulation), relativo alla protezione, al trattamento e alla libera circolazione dei dati personali.

“E’ stata infatti rilasciata la versione dello schema di certificazione volontario per la valutazione della conformità al Gdpr ISDP10003:2018. Lo schema – precisa Giannetti – è già accreditato da Accredia secondo la norma internazionale ISO 17065:2012, come richiesto dall’art. 43.1 del Gdpr. Le organizzazioni certificate forniscono così una garanzia dell’adozione di un metodo di analisi e controllo dei principi e delle norme di riferimento a tutela delle persone fisiche, con riguardo al trattamento dei dati personali e la libera circolazione degli stessi. Dunque il nostro Paese può dimostrare di essere veramente competitivo: in Italia è già presente uno schema volontario di certificazione”.

Il Gdpr nasce da precise esigenze di certezza giuridica, armonizzazione e maggiore semplicità delle norme riguardanti il trasferimento di dati personali dall’Ue verso altre parti del mondo. “Il Gdpr introduce l’istituto della certificazione come una forte innovazione, soprattutto perché ha una componente chiave nella valutazione del rischio. La certificazione è un istituto fondamentale, non sempre ben compreso e sfruttato, per regolamentare, gestire e supportare gli interessati al trattamento dei dati nel processo di adeguamento. Non è uno strumento facile, ma andrebbe conosciuto meglio e le istituzioni dovrebbero informare di più i cittadini”, dice Giannetti.

A cambiare il panorama del settore ha contribuito anche il decreto legislativo 101 del 2018. “Un testo che introduce finalmente una scelta fondamentale: ha stabilito chi deve accreditare gli organismi di certificazione. Per lo Stato italiano il compito spetta ad Accredia. Il Gdpr lasciava infatti facoltà agli Stati membri dell’Unione europea di poter decidere le autorità di controllo o gli organismi di accreditamento”, ricorda Giannetti. La decisione italiana è arrivata dopo una serie di audizioni in Commissione congiunta Camera e Senato. “Siamo stati coinvolti e abbiamo dato il nostro parere, soprattutto per quanto riguarda le certificazioni su dati genetici, biometrici e connessi alla salute. Per noi la certificazione in questi campi è complessa e richiede una grande esperienza”.

Il decreto 101 “ha tenuto conto anche di questo nostro suggerimento. Il Garante della Privacy non è stato escluso dal processo: l’accreditamento è fatto da Accredia ma è vigilato dal Garante”, prosegue Giannetti. E se in questo campo si parla tanto di accountability, “il principio dell’accountability”, che coinvolge aspetti quali l’affidabilità e la competenza aziendale nella gestione dei dati personali, “obbliga i titolari del trattamento ad essere più responsabilizzati, il tutto attraverso due processi indicati dalle linee guida del settore: una valutazione d’impatto o la certificazione”.

Le linee guida del settore “sono molto chiare – aggiunge l’esperto – e consentono di arrivare a un processo di valutazione della conformità che può essere efficacemente dimostrata. La certificazione in Europa è ancora un aspetto abbastanza confuso, ma l’Italia ha un vantaggio competitivo enorme – ribadisce Giannetti – un’esperienza elevatissima. In Europa si sta un po’ rincorrendo il processo di certificazione e di accreditamento, e proprio per fare chiarezza la Commissione europea ha commissionato nel 2017 all’Università olandese di Tilburg uno studio che prevedeva l’analisi degli schemi di certificazione utilizzabili ai sensi del Gdpr. Lo studio è ancora in via di definizione e verrà pubblicato a breve, ma ciò che sembra emergere pone l’esperienza Italiana ai primi posti in quanto a serietà e qualità dello schema”, conclude.