I meccanismi di certificazione ed i sigilli di protezione de

certificazione destinate ad attestare l’osservanza delle norme in materia di protezione dei dati personali.

Ciononostante, nell’esperienza di alcuni ordinamenti in passato si è assistito al sorgere di sistemi di certificazione, per via della loro indubbia utilità nel creare fiducia e rassicurare i consumatori in ordine al carattere privacy-friendly di determinati prodotti, servizi o applicazioni. In assenza di una disciplina comune a livello dell’UE, tali sistemi di certificazione sono stati gestiti nell’ambito nazionale da singole autorità di controllo e non hanno avuto una larga diffusione nel territorio europeo. In particolare vanno ricordati, quali principali esempi, l’EuroPriSe (abbreviazione di European Privacy Seal)346

, originariamente rilasciato sotto l’esclusiva responsabilità dell’ULD (l’autorità garante per la Germania) e i Labels CNIL, conferiti dall’autorità francese di protezione dei dati347

.

Si è trattato tutto sommato di esperimenti isolati, che non sono riusciti a estendersi su larga scala.

In conseguenza di ciò, il regolamento mira a promuovere un significativo salto di qualità rispetto a queste prime esperienze, dettando per la prima volta regole generali in materia di meccanismi di certificazione, in modo che questi non rimangano legati a una specifica realtà nazionale.

Con la riforma è stata prefigurata la possibilità per gli operatori del settore di ottenere certificazioni, sigilli e marchi di protezione dei dati, a condizione che rispettino gli standard di tutela fissati dal regolamento.

346

Tale sigillo riguarda il settore dell’Information Technology. Per dettagli, si veda: https://www.european-privacy-seal.eu/EPS-en/Fact-sheet.

347

Si rinvia ad alcune pagine del sito web ufficiale del CNIL: https://www.cnil.fr/fr/la-cnil-delivre-plus-de-50-labels-0;

183

Le certificazioni possono assolvere una duplice funzione: da un lato, consentiranno di comprovare la conformità delle operazioni poste in essere dal titolare o dal responsabile del trattamento alla nuova normativa; dall’altro, potranno fungere da base legale per il trasferimento verso l’estero di dati personali. In tale eventualità la loro idoneità a configurare “salvaguardie adeguate” ai sensi dell’art. 46 è subordinata all’assunzione, da parte dell’importatore dei dati (titolare o responsabile del trattamento stabilito al di fuori dell’UE/SEE), dell’impegno, coercibile, di rispettare le garanzie previste, soprattutto per quanto riguarda i diritti degli interessati, attraverso strumenti contrattuali o di altro tipo giuridicamente vincolanti348.

Il Parlamento aveva cercato di rafforzare l’affidabilità del meccanismo di certificazione, concentrando nelle mani delle autorità di controllo il potere di rilasciare i sigilli di conformità. In particolare aveva previsto che <<Durante la procedura di certificazione, l'autorità di controllo può accreditare revisori esterni con competenze specialistiche per eseguire un audit del [titolare] o del [responsabile] del trattamento per suo conto. I revisori esterni dispongono di personale con qualifiche sufficienti, sono imparziali e liberi da qualsiasi conflitto di interessi concernente i loro doveri. Le autorità di controllo revocano l'accreditamento qualora abbiano motivo di ritenere che il revisore non adempia correttamente ai suoi doveri. La certificazione definitiva è rilasciata dall'autorità di controllo>>349. La posizione in prima lettura del Parlamento preservava la centralità del ruolo delle autorità di supervisione, stabilendo che esse assumessero la decisione finale in ordine al rilascio della certificazione, anche qualora agissero sulla base di una previa valutazione di organismi terzi ufficialmente accreditati.

348

V. l’art. 42, par. 2 del regolamento.

349

184

Il testo finale del regolamento, invece, opta per una maggiore flessibilità e prefigura un meccanismo di certificazione suscettibile di articolarsi in più livelli.

L’art. 42 conferisce una legittimazione a rilasciare certificazioni anche a una categoria di soggetti distinta dalle autorità di controllo: gli organismi di certificazione accreditati350.

Gli organismi di certificazione, in particolare, possono conseguire l’accreditamento solo se ricorrono talune condizioni:

<<a) hanno dimostrato in modo convincente all'autorità di controllo competente di essere indipendenti e competenti riguardo al contenuto della certificazione;

b) si sono impegnati a rispettare i criteri […] approvati dall'autorità di controllo competente […] o dal Comitato [europeo per la protezione dei dati];

c) hanno istituito procedure per il rilascio, il riesame periodico e il ritiro delle certificazioni, dei sigilli e dei marchi di protezione dei dati;

d) hanno istituito procedure e strutture atte a gestire i reclami relativi a violazioni della certificazione o il modo in cui la certificazione è stata o è attuata dal titolare del trattamento o dal responsabile del trattamento e a rendere dette procedure e strutture trasparenti per gli interessati e il pubblico; e

e) hanno dimostrato in modo convincente all'autorità di controllo competente che i compiti e le funzioni da loro svolti non danno adito a conflitto di interessi>>351.

In base all’art. 64, par. 1, lett. c), ove i criteri per l’accreditamento siano definiti dall’autorità di controllo competente, questa sarà tenuta a coinvolgere il Comitato europeo per la protezione dei dati, mediante l’attivazione del “meccanismo di coerenza”.

350

Art. 42, par. 5.

351

185

L’accreditamento ha al massimo una durata quinquennale352

, ma può essere revocato se l’organismo di certificazione non rispetta più le condizioni previste o adotta misure in violazione del regolamento353. Ai sensi dell’art. 43, par. 5, gli organismi di certificazione accreditati hanno l’onere di comunicare all’autorità di controllo competente le ragioni del rilascio o della revoca della certificazione nei confronti di un titolare o responsabile del trattamento. Essi sono altresì <<responsabili della corretta valutazione che comporta la certificazione o la revoca di quest'ultima, fatta salva la responsabilità del titolare del trattamento o del responsabile del trattamento riguardo alla conformità al presente regolamento>>354.

L’inosservanza dei propri doveri da parte degli organismi di certificazione è fortemente stigmatizzata dal legislatore europeo, che non a caso ha contemplato la possibilità di irrogare sanzioni amministrative pecuniarie fino a 10.000.000 di Euro (art. 83, par. 4, lett. b) ).

Le autorità di controllo competenti possono a loro volta rilasciare certificazioni, in base a criteri approvati dalle medesime o dal Comitato europeo per la protezione dei dati.

Laddove la certificazione venga concessa sulla base di criteri approvati dal Comitato, si sarà in presenza di una certificazione comune, denominata “sigillo europeo per la protezione dei dati”. Le certificazioni hanno validità triennale, possono essere rinnovate in caso di persistente conformità del trattamento alle norme del regolamento e revocate dall’organismo di certificazione o dall’autorità di controllo competente, qualora vengano meno i requisiti richiesti355.

Per promuovere una maggiore consapevolezza da parte dei consumatori, si affida al Comitato europeo per la protezione dei dati il 352 Art. 43, par. 4. 353 Art. 43, par. 7. 354 Art. 43, par. 4. 355 Art. 42, par. 7.

186

compito di raccogliere in appositi registri certificazioni, sigilli e marchi e renderli pubblici con mezzi appropriati356.

Il testo approvato in prima lettura dal Parlamento sembrava più adatto a promuovere la diffusione di meccanismi uniformi di certificazione a livello europeo, perché ammetteva il rilascio di certificazioni soltanto da parte dell’autorità di controllo competente e sottoponeva il relativo processo al “meccanismo di coerenza”357

, che avrebbe assicurato anche il coinvolgimento delle altre autorità di controllo interessate e garantito uno scrutinio più attento e rigoroso.

Tale competenza esclusiva è venuta meno nella stesura finale del regolamento, che consente l’esternalizzazione dei compiti di valutazione nei confronti di organismi di certificazione accreditati, probabilmente per evitare che le autorità di controllo siano gravate da oneri amministrativi eccessivi.

Uno dei maggiori esperti in materia, Douwe Korff, è stato fortemente critico nei confronti della scelta di riconoscere uno spazio d’azione anche a organismi terzi, sia pure accreditati, temendo che essi non siano in grado di assicurare efficacemente l’osservanza delle prescrizioni del regolamento358.

Il legislatore si è in ogni caso premurato di precisare che <<La certificazione […] non riduce la responsabilità del titolare del trattamento o del responsabile del trattamento riguardo alla conformità al presente regolamento e lascia impregiudicati i compiti e

356

Art. 42, par. 8.

357

Art. 39, par. 1 quater del testo emendato dal Parlamento in prima lettura. Nel disegno che emerge dal testo definitivo, invece, l’attivazione di questo modulo d’intervento di tipo cooperativo è meramente eventuale e facoltativa, poiché l’art. 64 impone all’autorità di controllo competente soltanto di sollecitare un parere del Comitato europeo per la protezione dei dati, al fine di stabilire i criteri di accreditamento degli organismi di certificazione.

358

Douwe KORFF, WARNING: THE EU COUNCIL IS TRYING TO UNDERMINE

PRIVACY SEALS (and through this, the General Data Protection Regulation),

3.10.2014, consultabile all’indirizzo: https://free-group.eu/2014/10/03/warning-the- eu-council-is-trying-to-undermine-privacy-seals-and-through-this-the-general-data- protection-regulation/.

187

i poteri delle autorità di controllo competenti […]>>359

. Da questa disposizione si possono trarre due osservazioni: per un verso, il mero fatto di aver conseguito una certificazione, nonostante la sua valenza probatoria, non esenta il titolare del trattamento e il responsabile del trattamento dall’obbligo di rispettare il regolamento e non esclude una loro responsabilità per violazioni che venissero eventualmente riscontrate; per altro verso, le autorità di controllo conservano intatti i loro poteri e saranno in condizione di condurre attività di accertamento, ispezioni e indagini, ove queste ultime appaiano necessarie, a prescindere dall’avvenuto rilascio di una certificazione. Inoltre si è tentato di assicurare la creazione di un quadro di riferimento comune, demandando alla Commissione la precisazione dei <<requisiti di cui tenere conto per i meccanismi di certificazione della protezione dei dati>> mediante l’adozione di atti delegati360. A ben vedere la proposta originaria della Commissione, pur incorporando formalmente certificazioni, sigilli e marchi nel sistema di attuazione del regolamento, si limitava a incoraggiare lo sviluppo di tali meccanismi, senza attribuire a essi alcun effetto legale. Ciò avrebbe rischiato di minare ab origine le potenzialità di tali modelli di regolamentazione. A parte l’effetto di rassicurare i potenziali clienti al momento d’instaurare una transazione commerciale con un fornitore di beni o servizi, le imprese non avrebbero conseguito alcun beneficio giuridico concreto dall’ottenimento di una certificazione.

Nel corso dei lavori successivi delle Istituzioni europee sono stati introdotti efficaci incentivi nei confronti degli operatori attraverso l’attribuzione alle certificazioni della duplice funzione sopra richiamata.

La scelta di sottoporsi a una valutazione di conformità alle regole sulla protezione dei dati personali comporta di per sé un notevole dispendio di tempo, energia e denaro per le imprese, che richiedono

359

Art. 42, par. 4.

360

188

una certificazione. Solo la prospettiva di effettive agevolazioni nella dimostrazione dell’ottemperanza al regolamento e dell'avvenuta predisposizione di garanzie adeguate per il trasferimento di dati personali verso paesi terzi o organizzazioni internazionali avrebbe potuto stimolare l’adesione degli operatori a simili strumenti.

Taluno in dottrina ha accolto favorevolmente l’impostazione del testo definitivo, sottolineando che un sistema fondato esclusivamente sull’intervento delle autorità di regolamentazione avrebbe comportato un notevole aggravio di lavoro per le medesime e precluso un’efficiente attività di vigilanza361

.

L’introduzione della possibilità di scegliere tra le certificazioni da parte di organismi privati e il riconoscimento di conformità da parte di autorità pubbliche, dando vita a un sistema flessibile di co- regolazione, è stata ritenuta idonea non solo a evitare che le autorità di supervisione fossero eccessivamente oberate, ma anche a stimolare un’adesione volontaria da parte delle imprese grazie alla riduzione degli oneri amministrativi362.

Al fine di garantire livelli elevati di tutela, specie nel caso di trasferimenti verso Paesi terzi, sarà cruciale che le autorità di controllo siano in grado di vigilare sugli adempimenti degli organismi di certificazione e che questi ultimi siano disponibili a promuovere con energia i principi della protezione dei dati personali.

361

Rowena RODRIGUES and others, “Developing a privacy seal scheme (that works)”, International Data Privacy Law, 2013, Vol. 3, N. 2, pp. 109-110.

362

189