Protezione dei dati fin dalla progettazione e per impostazione predefinita

Si tratta di uno degli obblighi legali più impegnativi da documentare e dimostrare. La certificazione è l'unico strumento riconosciuto dall'art. 25 GDPR "per dimostrare la conformità" a questo requisito.

Dimostrazione dell'adeguatezza dei titolari del trattamento dei dati

L'art. 24 GDPR chiarisce gli obblighi dei Titolari del trattamento dei dati. Menziona due strumenti per dimostrare tale conformità: la certificazione e i codici di condotta.

Dimostrazione dell'adeguatezza dei Responsabili del trattamento dei dati selezionati

Ai sensi dell'art. 28 GDPR, "il titolare del trattamento si avvale solo di responsabili del trattamento che forniscano garanzie sufficienti per attuare misure tecniche e organizzative adeguate". È responsabile e risponde di potenziali violazioni e inadempienze da parte dei suoi responsabili del trattamento dei dati. Ci si aspetta che esegua una valutazione completa delle misure efficaci in atto dai suoi responsabili del trattamento dei dati prima di condividere qualsiasi dato con esso. Fortunatamente, questo articolo riconosce due strumenti per valutare tale adeguatezza: certificazione e codici di condotta.

Dimostrazione dell'adeguatezza delle misure di sicurezza

L'art. 32 GDPR richiede di garantire un livello di sicurezza adeguato. Come per i responsabili del trattamento, riconosce anche la certificazione e i codici di condotta [con audit regolari] come mezzi "0".

Impatto sulle sanzioni amministrative

L'art. 83 GDPR impone di tenere conto dell'adozione di una certificazione riconosciuta o di un codice di condotta da parte di un titolare o di un responsabile del trattamento in caso di inadempienza, quando si determina l'importo della sanzione amministrativa. Inoltre, una certificazione e un codice di condotta contribuiscono entrambi a ridurre sostanzialmente il rischio di inadempienza.

Disponibilità

La buona notizia è che i criteri di certificazione e SCC sono approvati e disponibili così come sono. L'adozione di un codice di condotta richiede uno sforzo sostanziale. Richiede inoltre la mobilitazione di un numero rappresentativo di aziende tramite un'associazione per sviluppare, implementare e ottenere l'approvazione del codice. Il processo potrebbe richiedere diversi anni. Anche l'adozione di Binding Corporate Rules richiede l'approvazione dell'autorità. Il processo potrebbe richiedere diversi anni e può essere utilizzato solo dalle entità che fanno formalmente parte dello stesso gruppo aziendale (e non dai suoi responsabili del trattamento dei dati, ad esempio).

Universalità

Le certificazioni SCC e GDPR, come Europrivacy, sono indipendenti dal settore e possono essere utilizzate da tutti i titolari e responsabili del trattamento dei dati. Altre certificazioni possono essere limitate solo ai responsabili del trattamento dei dati o a specifici obiettivi di valutazione. Le Binding Corporate Rules sono specifiche dell'azienda. I codici di condotta sono specifici del settore, il che significa che i titolari e i responsabili del trattamento dei dati che condividono i dati possono essere soggetti a diversi codici di condotta. Ad esempio, un codice di condotta progettato per il servizio di ospitalità non sarà adeguato per i fornitori di servizi come una società di contabilità che lavora per aziende di alberghi.

Tempo e sforzo

Supponendo che un'azienda sia già conforme al GDPR, il tempo e lo sforzo richiesti variano tra gli strumenti. Un SCC richiede alle parti di negoziare e concordare i termini dell'accordo. Se un'azienda ha un singolo partner B2B, è lo strumento più rapido. Tuttavia, mentre una singola certificazione può essere utilizzata con un numero illimitato di titolari e responsabili del trattamento dei dati, un SCC distinto deve essere adottato e firmato con ogni singolo partner con cui i dati vengono condivisi.

Flessibilità e adattabilità

Alcuni strumenti sono focalizzati sui requisiti a livello aziendale (BCR, CC), mentre altri strumenti si concentrano su specifiche attività di elaborazione dati (Certificazione, SCC). La prima categoria richiede di garantire la conformità a un livello superiore. La seconda categoria consente alle aziende di concentrare i propri sforzi sull'elaborazione dati prioritaria e di dare la priorità alle cose più importanti.

Affidabilità

Il livello di affidabilità dipende dalla natura degli strumenti. Ad esempio, un SCC è un impegno vincolante assunto da un'entità, ma non vi è alcun audit e controllo della conformità effettiva dietro di esso. Mentre una certificazione, d'altro canto, si basa su regolari audit di terze parti eseguiti da revisori qualificati. La Trust Level Scale (TSL) fornisce una scala da A (altamente affidabile) a I (non affidabile affatto) per valutare il livello di fiducia nella conformità effettiva. Quando applicato ai quattro strumenti, il risultato varia da F per SCC ad A per certificazione.

Creazione di valore

Tutti gli strumenti contribuiscono a supportare la conformità. Tuttavia, uno di essi, la certificazione, consente di trasformare la conformità in un asset immateriale per l'azienda. Come un brevetto, una certificazione costituisce un asset immateriale dell'azienda. Trasforma la conformità in una fonte di creazione di valore. Può essere utilizzata dal team di marketing e vendite come vantaggio competitivo. Può anche essere utilizzata per ridurre l'incertezza con analisti finanziari, investitori e azionisti.

La tabella seguente riassume le caratteristiche dei quattro strumenti.

Conclusione

Ogni strumento GDPR offre un diverso set di vantaggi e un diverso livello di affidabilità per quanto riguarda la conformità effettiva. Spetta al DPO valutare e scegliere quello che meglio soddisfa le esigenze del suo datore di lavoro. Ci auguriamo che questa analisi ti aiuti a confrontare e scegliere.

Nel caso in cui cambiassi idea, passare da uno strumento all'altro o combinare più strumenti è piuttosto semplice, una volta verificata e documentata la conformità.

Riferimenti