• Privacy - Aspetti generali

4 novembre 2020

Germania: l'Autorità garante pubblica i requisiti per l'accreditamento degli organismi di certificazione

L'Autorità tedesca sulla protezione dei dati personali (DSK) ha pubblicato, l'8 ottobre 2020, i requisiti per l'accreditamento degli organismi di certificazione secondo quanto previsto dall'articolo 43, paragrafo 3, del Regolamento generale sulla protezione dei dati (GDPR) in conformità con DIN EN ISO/IEC 17065, la norma tecnica (elaborata dal Deutsche Institut für Normung e.V. o Istituto tedesco per la standardizzazione) che contiene i requisiti per la competenza, il funzionamento coerente e l’imparzialità degli organismi di certificazione di prodotti, processi e servizi.


In particolare, i requisiti riguardano, tra le altre cose, l'ambito e la durata dell'accreditamento, nonché i requisiti generali, strutturali, delle risorse, dei processi e dei sistemi di gestione.

L'Autorità tedesca DSK ha fornito i requisiti della DIN EN ISO/IEC 17065 basati sull'art. 43 (3) GDPR per l'accreditamento degli organi di certificazione. Si riportano, di seguito, i capitoli più importanti del documento pubblicato.
 

I. Capitolo 3: Definizioni

3.4 Prodotto, 3.5 Processo e 3.6 Servizio (oggetto della certificazione)
Sono ammessi schemi di certificazione che considerino operazioni di trattamento, che siano compiute in prodotti, processi e servizi o con l'ausilio di (anche più) prodotti e servizi e che confermino direttamente o indirettamente al titolare o al responsabile del trattamento la conformità alle disposizioni del GDPR.
L'oggetto della certificazione deve soddisfare i requisiti della DIN EN ISO/IEC 17065. I sistemi di gestione per il controllo del trattamento dei dati sono esclusi come oggetto della certificazione. I sistemi di gestione sono considerati parte di un meccanismo di certificazione alle condizioni stabilite nel capitolo 7, nota 7.4. L'oggetto della certificazione deve riguardare anche le operazioni di trattamento dei dati.

II. Capitolo 4: Requisiti generali

Per quanto riguarda 4.1 Questioni legali e contrattuali
Oltre alla responsabilità legale di un organismo di certificazione, l'accreditamento deve garantire che un organismo di certificazione sia in ogni momento in grado di dimostrare la conformità con i termini di accreditamento e la sua applicazione del GDPR alle organizzazioni clienti, ai dati personali dell'organizzazione cliente e nel rispetto degli obblighi propri del titolare del trattamento.

Per quanto riguarda 4.1.2.2 Accordo di certificazione
I requisiti minimi per un accordo di certificazione devono essere modificati dai seguenti punti:
1. L'obbligo del cliente di soddisfare in modo permanente i requisiti generali di certificazione secondo 4.1.2.2 deve includere anche i criteri di certificazione approvati dall'autorità di controllo della protezione dei dati competente o dal Consiglio.
2. L'obbligo del cliente di prendere le necessarie precauzioni per la valutazione e la supervisione ai sensi del 4.1.2.2 deve contenere anche regolamenti che stabiliscono intervalli adeguati per rinnovate valutazioni o controlli (regolarità).
3. Obbligo del cliente di consentire la piena trasparenza all'autorità di controllo competente per quanto riguarda la procedura di certificazione, comprese le questioni contrattualmente riservate relative al rispetto della protezione dei dati ai sensi degli articoli 42 (7) e 58 (1) (c).
4. Obbligo del cliente di fornire all'ente di certificazione tutte le informazioni e l'accesso alle sue attività di trattamento necessarie per condurre la procedura di certificazione.
5. Obbligo del cliente di rispettare il GDPR e fatto salvo il riferimento ai compiti e ai poteri delle autorità di controllo competenti ai sensi dell'articolo 42, paragrafo 5. (...)

Riguardo a 4.2 Imparzialità nella gestione
Secondo 3.13 DIN EN ISO/IEC 17065, l'ente di certificazione è considerato imparziale solo se la sua indipendenza e obiettività sono garantite. I conflitti di interesse non devono esistere. In caso contrario, l'esecuzione dell'attività non è possibile.
Il GDPR prevede nell'articolo 43 (2) (a) e (e) disposizioni separate per dimostrare l'indipendenza rispettivamente l'assenza di conflitti di interesse. Le regole della DIN EN ISO/IEC DIN 17065 devono essere integrate come segue:
Per quanto riguarda 4.2.1
L'imparzialità in questo senso è data solo se sono soddisfatti i seguenti requisiti aggiuntivi:
1. Ai sensi dell'art. 43 (2) (a) GDPR, la prova separata dell'indipendenza deve essere presentata all'autorità di controllo della protezione dei dati competente. Ciò vale in particolare per la prova del finanziamento dell'ente di certificazione nella misura in cui si riferisce garantire l'imparzialità.
2. Ai sensi dell'art. 43 (2) (e) GDPR, anche l'ente di certificazione deve avere dimostrato all'autorità di controllo della protezione dei dati competente che i suoi compiti e obblighi non danno luogo a un conflitto di interessi. Tali conflitti potrebbero derivare, ad esempio, da un'elevata dipendenza del fatturato dai clienti o da altre pressioni economiche sull'organismo di certificazione.
3. Secondo DIN EN ISO/IEC 17065, l'ente di certificazione deve essere anche una terza parte ai sensi della DIN EN ISO/IEC 17000: 2005. Un terzo è un organismo che è indipendente, esamina l'oggetto della certificazione ed è indipendente da qualsiasi interesse in quanto utilizzatore dell'oggetto della certificazione. (...)

Per quanto riguarda 4.3 Responsabilità e finanziamento
Oltre ai commenti sulla responsabilità e il finanziamento in 4.3, devono essere osservati anche i requisiti di 5.3.2 della DIN EN ISO/IEC 17021:
L'ente di certificazione deve essere in grado di dimostrare di aver valutato i rischi derivanti dalle proprie attività di certificazione e di disporre di misure adeguate (es. Assicurazioni o riserve) per coprire le responsabilità derivanti dalle proprie attività nelle regioni geografiche in cui opera. L'organismo di certificazione deve dimostrare la propria stabilità finanziaria e indipendenza. La decisione in merito alla selezione e alla designazione dei documenti giustificativi è a discrezione del DAkkS e dell'autorità di controllo della protezione dei dati responsabile. L'ente di certificazione deve disporre di un'assicurazione di responsabilità per danni patrimoniali adeguata allo scopo delle sue attività. Il calcolo della copertura necessaria deve essere basato su una valutazione del rischio da parte dell'ente di certificazione.

Per quanto riguarda 4.6 Informazioni accessibili al pubblico ai sensi del 4.6 (d), le informazioni relative alla gestione dei reclami e dei ricorsi devono essere pubblicate dall'ente di certificazione ai sensi dell'art. 43 (2) (d) GDPR. Allo stesso tempo, questo obbligo di pubblicazione non si riferisce solo ai singoli incidenti, ma anche alla struttura e alla procedura per la gestione dei reclami da parte dell'ente di certificazione.
Ai sensi dell'art. 42 (3) GDPR, oltre a 4.6 (a) le informazioni relative agli schemi di certificazione utilizzati dall'ente di certificazione, tutte le versioni delle procedure di certificazione nonché i criteri approvati ai sensi dell'art. 42 (5) GDPR che indica la durata autorizzata dell'applicazione devono essere pubblicati. La forma di pubblicazione dovrebbe essere appropriata per informare il pubblico nel modo più completo possibile. Ciò è generalmente garantito dal modulo elettronico.

III. Capitolo 5: Requisiti strutturali

Secondo 3.13 DIN EN ISO/IEC 17065, l'imparzialità dell'ente di certificazione è data solo se la sua indipendenza e obiettività sono garantite. In aggiunta al capitolo 5.2 (capitoli 5.1.1 e 5.2) della DIN EN ISO/IEC 17065, l'ente di certificazione deve dimostrare con soddisfazione dell'autorità di controllo della protezione dei dati competente nell'ambito della procedura di accreditamento che il meccanismo per garantire l'indipendenza soddisfa i requisiti dell'art. 43 (2) (a) ed (e) GDPR e che i loro compiti e obblighi non determinano un conflitto di interessi. Indipendenza significa che l'organismo in questione può agire completamente libero da istruzioni e pressioni e che la sua stabilità finanziaria è assicurata.

IV. Capitolo 6: Requisiti delle risorse

Oltre al capitolo 6 della DIN EN ISO/IEC 17065, in conformità con il GDPR, per essere accreditato come organismo di certificazione, l'ente di certificazione deve essere in grado di dimostrare quanto segue:
1. Competenza adeguata in materia di protezione dei dati (articolo 43, paragrafo 1, GDPR);
2. Indipendenza e competenza in merito all'oggetto della certificazione (art. 43 (2) GDPR);

Per quanto riguarda 6.1.2.1 Competenza delle risorse umane
L'ente di certificazione deve avere ed essere in grado di dimostrare risorse con conoscenze pertinenti e appropriate nelle seguenti aree:
1. Conoscenza delle norme pertinenti per la valutazione della conformità (in particolare norme ISO, leggi, ecc.);
2. Conoscenza dei sistemi di gestione rilevanti per l'area di certificazione;
3. Conoscenza della legge sulla protezione dei dati (GDPR/Legge federale sulla protezione dei dati (BDSG)/leggi sulla protezione dei dati dello stato federale pertinente);
4. Conoscenza del diritto delle telecomunicazioni e del diritto dei servizi della società dell'informazione rispettivamente del regolamento ePrivacy;
5. Se del caso, conoscenza di ulteriori standard di protezione dei dati pertinenti, basati sugli schemi di certificazione applicati.
Inoltre, la conoscenza e l'esperienza nella protezione dei dati tecnici e organizzativi devono essere garantite e dimostrate, in particolare nei settori elencati nell'allegato 3, nella misura in cui sono pertinenti per lo schema di certificazione utilizzato.

V. Capitolo 7: Requisiti di processo

Per quanto riguarda 7.2 Applicazione
Oltre al punto 7.2 della DIN EN ISO/IEC 17065, il cliente deve descrivere dettagliatamente l'oggetto della certificazione all'interno della domanda. Ciò include anche la presentazione delle interfacce e più specificamente le transizioni ad altri sistemi e organizzazioni. In tal modo, devono essere forniti i protocolli sottostanti e altre garanzie. Se i responsabili del trattamento sono utilizzati per eseguire le operazioni di trattamento dei dati dell'oggetto della certificazione, essi devono essere nominati nella domanda, comprese le responsabilità adottate e i compiti associati, e il relativo contratto (contitolare)/responsabile del trattamento deve essere allegato l'applicazione.

Per quanto riguarda 7.3 Valutazione delle domande
Oltre al punto 7.3 della DIN EN ISO/IEC 17065, i metodi di valutazione previsti devono essere stipulati contrattualmente nell'accordo di certificazione tra il richiedente e l'ente di certificazione tenendo conto della legge sulla protezione dei dati applicabile al cliente.
Il monitoraggio dei contratti di cui al 4.1.2.2 deve essere parte della gestione dell'ente di certificazione.
Il periodo tra il completamento dell'ultima valutazione e la decisione sulla certificazione può solo superare i 3 mesi in casi eccezionali giustificabili.
Oltre al punto 7.3.3 della DIN EN ISO/IEC 17065, l'ente di certificazione deve dimostrare che esistono adeguate competenze tecniche e legali (ad esempio nel campo della protezione dei dati) per le attività di certificazione del singolo caso, nonostante la mancanza di esperienza con l'oggetto della certificazione, l'ambito di applicazione o il tipo di cliente.

Per quanto riguarda 7.4 Valutazione
L'ente di certificazione deve garantire che i meccanismi utilizzati per la concessione della certificazione descrivano metodi di valutazione sufficienti per valutare la conformità delle operazioni di trattamento ai criteri di certificazione. Questi metodi e i risultati della valutazione devono essere documentati in dettaglio.
Oltre al punto 7.4.1 della DIN EN ISO/IEC 17065, i metodi di valutazione stabiliti nello schema di certificazione sono implementati dall'ente di certificazione nell'ambito della certificazione.
I metodi di valutazione appropriati devono in particolare coprire le seguenti aree: 
1. un metodo per valutare la necessità e la proporzionalità delle attività di trattamento in relazione alle loro finalità e, ove applicabile, in relazione all'interessato; 2. un metodo per valutare la composizione e la valutazione di tutti i rischi considerati dal titolare e, se applicabile, dal responsabile, ai sensi dell'art. 5 GDPR e le conseguenze legali ai sensi dell'art. 30, 32, 35 e 36 GDPR e la determinazione delle misure tecniche e organizzative ai sensi dell'art. 24, 25 e 32 GDPR, nella misura in cui poiché gli standard legali specificati si applicano all'oggetto della certificazione, e 3. un metodo per valutare i rimedi, comprese garanzie, salvaguardie e procedure, per garantire la protezione dei dati personali nel contesto delle operazioni di trattamento che fanno parte dell'oggetto della certificazione, nonché la dimostrazione che i requisiti legali sono stati soddisfatti.
L'ente di certificazione deve garantire che questi metodi di valutazione siano convalidati. Ciò significa che metodi di valutazione comparabili vengono utilizzati anche in procedure comparabili e portano a risultati comparabili. La verifica di ciò deve essere presentata all'ente di accreditamento nell'ambito della valutazione dello schema di certificazione.
Oltre al punto 7.4.4 della DIN EN ISO/IEC 17065, la valutazione può essere eseguita da valutatori esterni precedentemente riconosciuti come competenti dall'ente di certificazione.

Le certificazioni esistenti possono essere prese in considerazione in particolare come segue:
1. Una certificazione sulla protezione dei dati ai sensi dell'art. 42 GDPR, laddove parti dell'oggetto della certificazione siano già state certificate da un ente di certificazione accreditato, può essere considerato come una valutazione parziale.
2. Tuttavia, le certificazioni sulla protezione dei dati ai sensi dell'art. 42 GDPR non sono accettabili per sostituire completamente le valutazioni (parziali). L'ente di certificazione continua ad essere obbligato a verificare l'attuale conformità ai requisiti (della certificazione presentata), almeno casualmente, ea valutare le certificazioni esistenti. Non ne derivano effetti sul periodo di validità della certificazione presentata.
3. Altre certificazioni, rilasciate da Organismo di Certificazione accreditato, in quanto tali ai sensi dell'art. 42 DSGVO (ad esempio le certificazioni ISO) può anche essere considerato un fattore di conformità e può essere considerato nell'ambito della certificazione. Tuttavia, non sono sufficienti per sostituire completamente le valutazioni (parziali). Anche in questo caso l'ente di certificazione è obbligato a monitorare il rispetto dei requisiti mediante la verifica del rapporto di audit almeno casualmente ea valutare l'adeguatezza delle certificazioni esistenti.
4. Il limite di tempo per i certificati da considerare deve essere documentato e tenuto a disposizione secondo 7.7.