22 Set Europrivacy: ICT Legal Consulting assiste Aindo, prima azienda certificata in Italia
Autori: Eleonora Margherita Auletta, Antonio Landi, Andrea Strippoli, Miriam Andrea Fadda
Dal momento in cui il Regolamento generale sulla protezione dei dati (EU) 2016/679 (“GDPR”) è entrato in vigore, la conformità alla normativa in materia di protezione dei dati personali è diventata un requisito centrale per le aziende attive sul territorio dell’Unione europea, soprattutto a fronte di rischi legali e finanziari che non possono essere ignorati dai titolari e dai responsabili del trattamento.
Al riguardo, l’art. 42 del GDPR istituisce meccanismi di certificazione, sigilli e marchi in materia di protezione dei dati personali, tramite i quali titolari e responsabili del trattamento possono beneficiare dell’attestazione di una terza parte indipendente, nell’ottica di dimostrare la conformità delle proprie operazioni di trattamento, a fini di accountability.
Panoramica sulla Certificazione Europrivacy™®
Sviluppato sulla base della norma ISO/IEC 17065 e del sopra citato art. 42 del GDPR e gestito dal Centro Europeo per la Certificazione e la Privacy (ECCP), Europrivacy™® è uno schema di certificazione paneuropeo volto – sulla base dei propri criteri – a valutare, documentare, certificare e valorizzare la conformità di specifiche attività di trattamento, poste in essere dai titolari e responsabili del trattamento, al GDPR e alle normative complementari sulla protezione dei dati.
Tali criteri sono stati approvati dal Comitato europeo per la protezione dei dati (“EDPB”) per servire come sigillo europeo (ai sensi dell’art. 42, par. 5 del GDPR). Essi sono, altresì, riconosciuti da 30 Paesi: tutti gli Stati membri dell’UE e dello Spazio Economico Europeo (SEE).
Nello specifico, lo Schema di Certificazione Europrivacy™® consente ai titolari e ai responsabili del trattamento dei dati di:
-
-
- verificare e documentare la propria conformità al GDPR e alle normative complementari sulla protezione dei dati;
- ridurre i rischi legali, finanziari e reputazionali;
- certificare, valorizzare e beneficiare della conformità al dettato normativo europeo e nazionale (in base ai controlli previsti dal NOCAR – National Obligations Conformity Assessment Report) in materia di protezione dei dati personali.
-
A rilasciare la certificazione Europrivacy™® sono gli Organismi di Certificazione qualificati, dotati di adeguate competenze legali e tecniche, tramite la combinazione di diverse metodologie: dalla revisione della documentazione all’analisi del campionamento fino ai test tecnici e alle interviste.
L’iter certificativo
Dal punto di vista procedurale, l’ottenimento e il successivo mantenimento della certificazione prevedono una serie di fasi, che possono essere suddivise come segue:
-
-
- individuazione del Target of Evaluation (ToE), ossia dell’attività di trattamento che si intende certificare;
- preparazione e documentazione della propria conformità ai criteri Europrivacy™®, tramite la compilazione di apposite Checklist dirette, rispettivamente, alla valutazione:
- della conformità ai criteri fondamentali del GDPR;
- della conformità agli obblighi specifici del settore e della tecnologia che possono essere applicati al Target of Evaluation (ToE);
- dell’adeguatezza delle misure adottate per proteggere i dati trattati;
- della conformità ad eventuali obblighi nazionali complementari;
- certificazione della conformità del trattamento dei dati da parte di un Organismo di Certificazione autorizzato dall’ECCP e validamente accreditato presso un’autorità nazionale competente;
- una volta ottenuta la certificazione, mantenimento dei requisiti di conformità tramite audit di sorveglianza annuali.
-
Aindo: capofila nell’ottenimento della Certificazione Europrivacy™® nel settore healthcare
Aindo è la prima azienda in Italia ad aver ottenuto – lo scorso luglio – la certificazione Europrivacy™® per le attività di trattamento relative alla sintetizzazione dei dati nel settore sanitario, attraverso la Aindo Synthetic Data Platform.
La certificazione ha permesso di riconoscere la conformità del trattamento di generazione di dati sintetici ai sensi del GDPR e delle normative nazionali complementari sulla protezione dei dati. Nel panorama sanitario, tale traguardo attesta l’impegno di Aindo nell’innovazione della ricerca medica e farmaceutica, portando a nuove conoscenze diagnostiche e farmacologiche per la cura di patologie specifiche o per l’individuazione di fattori di rischio, grazie allo sfruttamento delle potenzialità dell’Intelligenza Artificiale.
Gli attori coinvolti nell’iter certificativo e il ruolo di ICT Legal Consulting in qualità di Implementer
L’iter certificativo ha visto il coinvolgimento – a seconda delle relative fasi – di diversi soggetti, tra cui specificamente:
-
-
- Aindo in qualità di Applicant, ossia soggetto richiedente la certificazione del trattamento svolto tramite la propria piattaforma di sintetizzazione. Per poter intraprendere tale percorso, l’Applicant deve, fin da subito, soddisfare i seguenti requisiti:
- rispettare il GDPR e le normative nazionali applicabili in base alla propria sede;
- avere un DPO e un Registro delle attività di trattamento dei dati;
- preparare e documentare la conformità ai criteri Europrivacy™®
- Aindo in qualità di Applicant, ossia soggetto richiedente la certificazione del trattamento svolto tramite la propria piattaforma di sintetizzazione. Per poter intraprendere tale percorso, l’Applicant deve, fin da subito, soddisfare i seguenti requisiti:
-
Nel contesto del processo certificativo, è l’Applicant stesso (e non l’Organismo di Certificazione) a dover soddisfare e rispettare i requisiti di certificazione. La conformità dal punto di vista legale rimane, infatti, di sola ed esclusiva responsabilità di quest’ultimo, il quale deve garantire che il trattamento certificato sia pienamente conforme ai requisiti dello Schema di Certificazione e, più in generale, a tutte le eventuali normative applicabili in materia di protezione dei dati.
-
-
- l’Ente di accreditamento, nello specifico Accredia, che opera in convenzione con il Garante per la Protezione dei dati Personali e che ha il compito di verificare la terzietà, imparzialità, competenza e adeguatezza dell’Organismo di Certificazione;
- l’Organismo di Certificazione accreditato, ai sensi dell’art. 43 GDPR, ossia DNV, che – in qualità di Auditor – ha rilasciato il certificato e a cui spetterà il compito di rinnovarlo sulla base dei risultati delle verifiche e di vigilare sulla corretta gestione degli stessi.
-
Nella fase di preparazione documentale e durante il processo di certificazione, Aindo è stato affiancato da ICT Legal Consulting in qualità di Europrivacy™® Implementer. Tale ruolo di supporto tecnico – riservato unicamente a esperti del settore che abbiano proficuamente superato un esame dedicato – mira all’individuazione di eventuali gap e non conformità residuali sulla base dei criteri Europrivacy™®, che devono essere necessariamente gestiti dall’Applicant nell’ottica del rilascio della certificazione.
Dal punto di vista soggettivo, il ruolo di Implementer può essere ricoperto da studi legali, società di consulenza, o ancora DPO che supportano l’Applicant nella fase preparatoria e durante il processo stesso di certificazione, garantendo la continua conformità alle normative sulla protezione dei dati. Tali società di consulenza devono, a loro volta, garantire e dimostrare che i propri professionisti dispongano di una preparazione e conoscenza adeguata delle regole e dei requisiti dello Schema di Certificazione Europrivacy™®. L’obiettivo principale delle società di consulenza è quello di contribuire alla minimizzazione dei rischi legali e finanziari per l’Applicant.
Certificarsi Europrivacy™®: simbolo di garanzia e affidabilità sul mercato
Da ultimo, è importante sottolineare come l’ottenimento della Certificazione Europrivacy™® dia all’Applicant la possibilità di dimostrare il livello di conformità dei propri trattamenti al GDPR e alle normative locali di riferimento, rafforzando, in questo modo, l’immagine reputazionale e la fiducia degli interessati e, più in generale, dei propri stakeholders. Una volta ottenuto ed emesso il certificato, quest’ultimo viene registrato e pubblicato nel Registro Ufficiale dei Certificati e può essere utilizzato nelle attività di comunicazione.
Europrivacy™®, sotto la supervisione di un Comitato Internazionale di Esperti (International Board of Experts), garantisce aggiornamenti continui per allinearsi all’evoluzione delle normative e della giurisprudenza in ambito data protection.