Autore: wp_6910267

Qualche giorno fa il nostro Garante per la Protezione dei Dati Personali ha pubblicato un bilancio dei primi quattro mesi di applicazione del GDPR (25 maggio 2018-28 settembre 2018).

Ecco i dati:

• sono stati comunicati al Garante, ai sensi dell’art. 37 comma 7 del GDPR, 40.738 dati di contatto del DPO; sembrano pochi se si fa riferimento ad un totale di circa 150.000 organismi pubblici presenti in Italia (tra P.A. centrale, P.A. locale, scuole, ASL, ecc.) ai quali bisogna aggiungere i soggetti privati con l’obbligo di nominare il DPO;

• sono pervenute al Garante 2.547 segnalazioni e reclami a fronte dei 1.795 ricevuti nello stesso periodo dell’anno precedente; sono stati tutti esaminati? È stata definita una politica di graduazione della loro rilevanza? Ci sono stati interventi per verificarne la rilevanza?

• sono pervenute al Garante 305 notificazioni di data breach (violazioni di dati personali) ai sensi dell’art. 33 del GDPR; il numero sembra piuttosto elevato visto che la notificazione deve avvenire quando appare “probabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche”; e alla notifica è seguito un intervento del Garante? Con quale esito?

Sembrano dati che, più che definire un bilancio del passato, rappresentano un fardello per il futuro: del Garante e degli interessati.

Uno strumento di garanzia che i titolari ed i responsabili del trattamento possono adottare è la certificazione prevista dall’art. 42 del GDPR. Questo meccanismo è molto simile alla certificazione che si adotta, ormai da tempo, per dimostrare la conformità alle norme ISO (qualità, rispetto dell’ambiente, ecc.). Per acquisire queste certificazioni, bisogna seguire un percorso standard che uno specifico ente di certificazione potrà verificare in ogni momento.

L’art. 2‑septiesdecies ribadisce che, in Italia, se un titolare o un responsabile del trattamento volesse ottenere una specifica certificazione di conformità al GDPR, dovrà rivolgersi ad un ente che ha superato un esame con Accredia che, da tempo, svolge la funzione di Ente unico nazionale di accreditamento, istituito ai sensi del Regolamento (CE) n. 765/2008.

Accredia creerà, quindi, un elenco di specifici organismi certificatori abilitati al rilascio dei certificati previsti dall’art.42 del GDPR.

Naturalmente, il percorso per arrivare all’accreditamento sarà stabilito da Accredia in collaborazione con il Garante per la Protezione dei Dati Personali che, in ogni caso, vigilerà sull’attività di questo ente e potrà sostituirlo (anche temporaneamente) nei casi di grave inadempimento.