Iscriviti al sito e alla newsletter di Filodiritto.

Welcome kit in omaggio

La pubblicazione di contributi, approfondimenti, articoli e in genere di tutte le opere dottrinarie e di commento (ivi comprese le news) presenti su Filodiritto è stata concessa (e richiesta) dai rispettivi autori, titolari di tutti i diritti morali e patrimoniali ai sensi della legge sul diritto d'autore e sui diritti connessi (Legge 633/1941). La riproduzione ed ogni altra forma di diffusione al pubblico delle predette opere (anche in parte), in difetto di autorizzazione dell'autore, è punita a norma degli articoli 171, 171-bis, 171-ter, 174-bis e 174-ter della menzionata Legge 633/1941. È consentito scaricare, prendere visione, estrarre copia o stampare i documenti pubblicati su Filodiritto nella sezione Dottrina per ragioni esclusivamente personali, a scopo informativo-culturale e non commerciale, esclusa ogni modifica o alterazione. Sono parimenti consentite le citazioni a titolo di cronaca, studio, critica o recensione, purché accompagnate dal nome dell'autore dell'articolo e dall'indicazione della fonte, ad esempio: Luca Martini, La discrezionalità del sanitario nella qualificazione di reato perseguibile d'ufficio ai fini dell'obbligo di referto ex. art 365 cod. pen., in "Filodiritto" (https://www.filodiritto.com), con relativo collegamento ipertestuale. Se l'autore non è altrimenti indicato i diritti sono di Inforomatica S.r.l. e la riproduzione è vietata senza il consenso esplicito della stessa. È sempre gradita la comunicazione del testo, telematico o cartaceo, ove è avvenuta la citazione.

Le “certificazioni privacy” ed il Regolamento UE

26 luglio 2017 -

di Giovanni Maria Riccio e Valentina Viti

 

Tra le maggiori novità introdotte dal cd. “Regolamento Privacy”, merita di essere segnalata, sicuramente, quella delle certificazioni: è ora previsto il coinvolgimento di Organismi di certificazione accreditati per valutare la conformità dei sistemi di protezione dei dati attivati dai titolari o dai responsabili del trattamento soggetti al Regolamento.
L’introduzione delle certificazioni – le prime, per quanto è dato sapere, a livello legislativo in materia di protezione dei dati personali – si segnala per una molteplicità di ragioni.
Innanzitutto, perché si ha l’impressione che, nella difficoltà di dettare regole giuridiche comuni, proprie dello strumento normativo adoperato, si è fatto ricorso a forme di unificazione da un punto di vista tecnologico: in altri termini, le certificazioni non incontrano i limiti delle regole giuridiche, dal momento che non risentono delle singole tradizioni nazionali e sono identiche per tutti gli Stati membri.


Infine, l’adozione delle certificazioni serve ai titolari del trattamento per offrire – nella prospettiva risk based che permea l’intero Regolamento – uno strumento per dimostrare (o, quanto meno, per determinare una presunzione) di aver adottato delle misure di sicurezza efficaci, nonché per limitare l’importo della sanzione, in caso di eventuale contestazione da parte dell’Autorità competente.
Dunque, mentre gli operatori vedono incombere l’onda del cd. “Regolamento Privacy”, acquista sempre più importanza la scialuppa di salvataggio della certificazione.
La domanda è: esiste già, oggi, una certificazione utilizzabile? Se sì, chi può rilasciarla?

Partendo dal dato normativo, il Legislatore Comunitario menziona tali certificazioni in numerose norme, tra cui gli articoli 42 “Certificazione” e 43 “Organismi di Certificazione”, che individuano il meccanismo di base individuato dal legislatore europeo.

In particolare:

• Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, soprattutto a livello di Unione, l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al Regolamento dei trattamenti effettuati dai titolari e dai responsabili del trattamento. Sono tenute in considerazione le esigenze specifiche delle micro, piccole e medie imprese (articolo 42 comma 1).

• La certificazione, da un lato, non è obbligatoria (articolo 42 comma 3); dall’altro, non è completamente risolutiva, in quanto lascia impregiudicata la possibilità per il Garante di contestare eventuali non conformità al Regolamento delle misure adottate dal titolare del trattamento (articolo 42 comma 4). A tal proposito, vanno allora lette con equilibrio alcune disposizioni del Regolamento (quali ad esempio l’articolo 32 comma 3 in materia di misure di sicurezza) che sì, valorizzano la certificazione, ma nello stesso tempo ne sanciscono la non esaustività.

• La certificazione può essere rilasciata direttamente dal Garante (articolo 42 comma 5) ovvero, in alternativa, dagli Organismi di certificazione che si siano preventivamente accreditati presso il Garante o presso il “certificatore dei certificatori”, rappresentato nel nostro Paese da Accredia (Ente unico nazionale designato dal governo in base al regolamento EU n 765/08, conformemente alla norma EN- ISO/IEC 17065/2012).
Saranno gli Stati europei a garantire che l’accreditamento sia affidato a uno solo o a entrambi i soggetti indicati nel provvedimento.



About

  • Contatti
  • Redazione
  • Pubblicità
  • Avvertenze
  • Privacy
  • Cookie

Newsletter

Rimani aggiornato sulle novità e gli articoli più interessanti della redazione di Filodiritto, inserisci la tua mail:

Iscriviti alla newsletter

© Filodiritto 2001-2017

Filodiritto è un marchio di InFOROmatica S.r.l.
P.Iva 02575961202
Capitale sociale: 10.000,00 i.v.
Direttore responsabile: Antonio Zama
Tribunale Bologna 24.07.2007,
n.7770 - ISSN 2239-7752

Sempre aggiornato

Scrivi la tua mail per ricevere le ultime novità, gli articoli e le informazioni su eventi e iniziative selezionati dalla redazione di Filodiritto.

*  Email:

Leggi l'informativa sulla privacy

Sede legale e amministrativa InFOROmatica S.r.l. - Via Castiglione 81, 40124 - Bologna
Tel. 051.98.43.125 - Fax 051.98.43.529

Credits webit.it