Roma, 16 lug. – Inveo srl, quale scheme owner, comunica che è stata rilasciata la nuova versione dello schema di certificazione Isdp©10003:2020, schema internazionale per la valutazione della conformità al Regolamento europeo 2016/679, già accreditato da Accredia in forma volontaria, secondo la norma Iso/Iec 17065. Lo schema è liberamente scaricabile online.
Lo schema definisce i requisiti generali e i controlli per dimostrare la conformità ai sensi del regolamento EU 2016/679 dei trattamenti di dati personali che il titolare e il responsabile effettuano nell’ambito dei prodotti, processi e servizi, realizzati o comunque erogati. Particolare attenzione viene posta nella nuova versione 2020 a natura, contesto e rischio delle operazioni di trattamento effettuati, in Europa ed anche fuori dall’Unione europea. Lo stesso infatti è stato elaborato nell’ambito di un più ampio quadro di conformità previsto dal nuovo regolamento europeo sul trattamento dei dati personali, basato sul principio di responsabilizzazione e tutela dei diritti fondamentali. L’oggetto della certificazione inoltre richiama l’analisi di dettaglio dei trattamenti quali elementi chiave, dei dati, dei processi e delle infrastrutture tecniche che vengono sottoposte a verifica. Fra le novità introdotte dalla nuova versione dello schema è da evidenziare una maggior definizione dell’ambito di applicazione, in particolar modo dei due ambiti di applicazione così come definiti dal gdpr e ben chiariti nelle linee guida Edpb 1/2018: un ambito di applicazione generale in relazione alla conformità dei titolari e responsabili del trattamento ai sensi dell’art. 42 (1) del regolamento EU 2016/679 come indicato nella nota 1 del §1.2 Ambito di applicazione; un ambito di applicazione specifico, in relazione alla conformità di prodotti, processi o servizi dei titolari e responsabili come indicato nella nota 2,3,4 del §1.2
Ambito di applicazione. – Introduzione di 24 nuovi controlli determinati dalla revisione e/o approvazione di nuove linee guida determinanti per la valutazione della conformità, in particolare con riferimento ai principi di trasparenza e correttezza, della gestione del rischio e dell’esercizio dei diritti dell’interessato.
– Definizione del principio di interoperabilità di cui al §70 delle linee guida Edpb 1/2018
– Tabella di interrelazione fra il §49 linee guida Edpb 1/2018 e macroprocessi dello schema. – Una importante definizione di come svolgere gli audit e definizione dei rilievi (deve, dovrebbe, può secondo Iso/Iec 17065:2012). – Miglior inquadramento e definizione della gestione del rischio in particolare di Ra o rischio accettabile e dell’Ri o rischio inerente. – Inserimento dell’allegato B o tabella di correlazione fra requisiti e controlli dello schema e articoli e considerando del gdpr.
Lo schema può essere applicato ai responsabili del trattamento per la dimostrazione delle garanzie sufficienti (ex articolo 28) che i responsabili devono presentare ai titolari del trattamento. “Come italiani – afferma Riccardo Giannetti, scheme owner e training manager di Inveo – c’è di che essere orgogliosi. Un primo aspetto da ricordare, che non rappresenta una novità, è che lo schema Isdp©10003:2020 è uno schema libero, gratuito e disponibile a chiunque ne voglia fare uso. L’Italia con le competenze e le esperienze fin qui espresse, in particolare nel mondo della protezione dei dati e della certificazione, vuole e deve essere da esempio per il resto d’Europa, nel campo dell’applicazione dei principi espressi dal gdpr e dalla certificazione volontaria”.
“Un secondo aspetto da richiamare all’attenzione – continua Giannetti – è quanto già emerso nello studio della Commissione europea del 2018 (cosiddetto studio Tilburg) sulle certificazioni ai sensi degli artt. 42 e 43. Nello studio la Commissione identifica nel totale dei 117 schemi analizzati, due schemi già in scopo art. 42 e 43 e fra questi troviamo già lo schema italiano. Per una differenza temporale di rilascio, nello studio non compare lo standard Iso 27701:2019 che tanto sta facendo discutere; questo standard che nasce come candidato ipotetico a soddisfare le necessità di certificazione richiamate dal gdpr, nasce già come un’arma spuntata”.
Va ricordato infatti “che lo standard ha preso una diversa via rispetto a quella richiesta dal gdpr, lo stesso è stato progettato inserendolo nella famiglia dei ‘sistemi di gestione accreditabili ai sensi della ISO/IEC 17021-1’ e pertanto incompatibili con l’art. 43 (1)(b) Isdp©10003:2020, incompatibilità richiamata proprio da ACCREDIA nella sua circolare tecnica inviata gli organismi di certificazione. Ad oggi pertanto gli unici schemi di certificazione che abbiamo a disposizione sono quelli indicati dal rapporto finale della Commissione europea nello studio Tilburg”. “Lo schema – ricorda Riccardo Giannetti – è accreditato in forma volontaria ai sensi della Iso/Iec 17065:2012 da Accredia e abbiamo avviato l’iter di valutazione dello schema, affinchè sia approvato ai sensi dell’art- 42(5). Con la nuova versione dello schema Isdp©10003 e con l’introduzione delle numerose novità è stato fatto un grande sforzo di miglioramento che sicuramente incontrerà il favore di tanti i professionisti”.