Dall'entrata in vigore del Regolamento generale sulla protezione dei dati (“RGPD”), la conformità alla protezione dei dati personali è diventata un requisito centrale per le aziende e le amministrazioni pubbliche attive sul territorio dell'Unione Europea (“UE”). Essa comporta rischi legali e finanziari che non possono essere ignorati dai responsabili e titolari del trattamento dei dati.

Europrivacy è uno schema di certificazione ricercato e sviluppato attraverso il Programma di Ricerca Europeo per valutare, documentare, certificare e valorizzare la conformità al RGPD e alle normative complementari sulla protezione dei dati. È gestito dal Centro Europeo per la Certificazione e la Privacy (“ECCP”) in Lussemburgo sotto la supervisione di un comitato internazionale di esperti in materia di protezione dei dati.

Europrivacy è stato sviluppato sulla base della norma ISO/IEC 17065 e dell'Articolo 42 del RGPD “allo scopo di dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento”.
È molto più di un semplice schema di certificazione. Fornisce una serie completa di risorse e servizi online per implementare, migliorare e dimostrare efficacemente la conformità alla protezione dei dati. È supportato da una comunità di partner qualificati, da un'accademia online, da un sito web della comunità e da strumenti online. Presenta numerosi vantaggi e benefici. 

Scopo e applicabilità

Scopo: Europrivacy consente di valutare, documentare, certificare e valutare la conformità al GDPR e alle normative complementari sulla protezione dei dati. In particolare, aiuta le aziende e le imprese a:

1. Ridurre i rischi legali e finanziari verificando e documentando la conformità; 
2. Comunicare e valorizzare la conformità trasformandola in un asset e in una fonte di creazione di valore;
3. Godere e mantenere la conformità con la certificazione Europrivacy e le risorse online.

Cosa: Grazie al suo modello ibrido, Europrivacy è applicabile a quasi tutte le attività di trattamento dei dati, comprese le tecnologie innovative come l'intelligenza artificiale, la blockchain, la sanità elettronica e l'Internet delle cose. Esiste una serie di esclusioni specifiche, come i dati biomedici.

Sebbene la metodologia Europrivacy possa essere applicata a diversi obiettivi di valutazione, ai sensi dell'Articolo 42 del RGPD, solo le attività di trattamento dei dati possono essere considerate come un'attività di valutazione. Di conseguenza, per le giurisdizioni dell'UE, non è possibile certificare un'intera azienda in una sola volta o addirittura il suo intero sistema di gestione ai sensi del RGPD. L'aspetto positivo di questo elemento è che la conformità può essere certificata progressivamente, iniziando con le attività prioritarie di trattamento dei dati ed estendendo la certificazione gradualmente a un maggior numero di trattamenti.

Chi: Europrivacy è applicabile sia ai responsabili che ai titolari del trattamento dei dati.

Dove: Europrivacy può essere utilizzato in qualsiasi luogo per valutare la conformità al RGPD. Tuttavia, la consegna dei certificati non è applicabile alle giurisdizioni che non forniscono garanzie adeguate e sufficienti per i diritti e le libertà degli interessati. Per il momento è limitato ai richiedenti con sede nello Spazio economico europeo e sarà presto esteso ai paesi terzi.  

Estendibilità: Europrivacy è stato sviluppato e progettato per essere facilmente estendibile alle normative nazionali complementari sulla protezione dei dati, comprese quelle non appartenenti all'UE, nonché alle normative specifiche per i settori e le tecnologie.

Validità: I certificati sono validi per periodi rinnovabili di tre anni.

Processo di certificazione

Il processo di certificazione può essere suddiviso nelle seguenti fasi principali:

1. Preparare e documentare la propria conformità ai criteri Europrivacy con il supporto del Pack di Benvenuto di Europrivacy di risorse e strumenti e di partner qualificati per ridurre i rischi. È inoltre possibile utilizzare le estensioni dei criteri per certificare la conformità a ulteriori normative europee o nazionali.
2. Certificare la conformità del trattamento dei dati con un organismo di certificazione qualificato per valutare e comunicare la vostra conformità. L'organismo di certificazione deve essere autorizzato dall'ECCP e avere un accreditamento valido presso un'autorità nazionale competente. Il certificato viene pubblicato sul Registro ufficiale dei certificati di Europrivacy per consentirne l'autenticazione da parte di terzi e per prevenire le contraffazioni.
3. Mantenere, comunicare e valorizzare la propria conformità grazie a risorse e strumenti online, tra cui linee guida e modelli di comunicazione, aggiornamenti continui sui requisiti di conformità e audit di sorveglianza annuali.

Modello di certificazione innovativo di Europrivacy

Europrivacy offre un modello innovativo ibrido di certificazione che beneficia dei vantaggi di uno schema di certificazione universale integrato da criteri specifici per dominio e tecnologia, in base alla natura dell'obiettivo di valutazione.

Criteri fondamentali del RGPD: Il processo di certificazione inizia sempre con l'elenco dei criteri fondamentali del RGPD, che comprendano i vari obblighi del RGPD, come spiegato di seguito:
 

C - Verifiche e controlli complementari: I criteri fondamentali sono completati da verifiche e controlli complementari, per valutare la conformità agli obblighi specifici del settore e della tecnologia che possono essere applicati all'obiettivo della valutazione.

T - Misure tecniche e organizzative: Le verifiche e i controlli delle misure tecniche e organizzative mirano a valutare l'adeguatezza delle misure adottate per proteggere i dati trattati. Tranne che per i trattamenti di dati ad alto rischio, può essere sostituita da un certificato ISO/IEC 27001 valido che comprenda l'obiettivo della valutazione.

S - Lista di controllo degli audit di sorveglianza: Vengono specificati alcuni criteri aggiuntivi per gli audit di sorveglianza, al fine di valutare e garantire una conformità costante nel tempo.

N - Obblighi nazionali: Europrivacy supporta la valutazione della conformità agli obblighi nazionali complementari attraverso due strumenti:

• Profili degli obblighi nazionali per ciascuno degli Stati membri dello Spazio economico europeo. Queste risorse possono essere utilizzate per preparare un rapporto di valutazione dell'adempimento dell'obbligo nazionale - National Obligation Compliance Assessment Report (NOCAR).
• Estensione dei criteri nazionali di Europrivacy per valutare e certificare la conformità di un obiettivo di valutazione alle normative nazionali complementari sulla protezione dei dati. Queste estensioni sono facoltative e vengono utilizzate su base volontaria per estendere la certificazione Europrivacy alle corrispondenti giurisdizioni extra-UE.