Tutto quello che c'è da sapere sulla certificazione GDPR

Il Regolamento generale europeo sulla protezione dei dati, noto al pubblico come GDPR, è la normativa europea che stabilisce le regole da seguire quando si trattano dati personali in Europa o raccolti in Europa. Il GDPR si applica alle aziende situate al di fuori dell'Europa se trattano dati raccolti in Europa. La mancata osservanza del GDPR può comportare multe salate, fino al 4% del fatturato globale dell'azienda inadempiente (art. 87 GDPR).

GDPR

Come si sceglie la certificazione GDPR?

come si può ottenere la certificazione GDPR?

Vantaggi della certificazione GDPR

Che cos'è la certificazione GDPR e il sigillo europeo per la protezione dei dati?

GDPR Compliance Il GDPR contiene più di 70 riferimenti alla certificazione. Come indicato nel considerando 100 e nell'articolo 42, la certificazione ha lo scopo di promuovere la conformità e di rendere più facile valutare se un servizio o un prodotto è conforme al regolamento. Si applica a qualsiasi attività di trattamento dei dati personali svolta da un titolare o da un responsabile del trattamento. Le aziende possono richiedere la certificazione GDPR indipendentemente dalla loro ubicazione. Tuttavia, nei Paesi che non tutelano e rispettano la privacy dei propri cittadini, la certificazione potrebbe non essere possibile.
Il GDPR stabilisce tre condizioni principali affinché una certificazione GDPR sia riconosciuta e abbia validità ai sensi del GDPR:
  1. Il campo di applicazione della certificazione deve concentrarsi sulle attività di trattamento dei dati. Di conseguenza, le certificazioni dei sistemi di gestione come ISO/IEV 27001 e 27701 non sono ammissibili ai sensi del GDPR.
  2. I criteri devono essere stati approvati dal Comitato europeo per la protezione dei dati.
  3. La certificazione deve essere rilasciata da un organismo di certificazione che abbia ricevuto l'accreditamento ai sensi dell'articolo 43 del GDPR.

Il GDPR distingue due categorie di certificazione:
  • Criteri di certificazione nazionali applicabili solo in uno degli Stati membri dell'UE/SEE.
  • Il Sigillo europeo per la protezione dei dati, i cui criteri sono riconosciuti da tutti i 30 Stati membri dell'UE/SEE.

L'elenco dei criteri ufficialmente riconosciuti (criteri nazionali e marchio europeo) è pubblicato sul sito web dell'EDPB.

Perché prendere in considerazione la certificazione ufficiale GDPR?

La certificazione GDPR comporta una serie di vantaggi

Scopri i vantaggi

Come si sceglie la certificazione GDPR?

È necessario considerare i seguenti criteri:

1. Lo schema di certificazione è ufficialmente riconosciuto dall'EDPB?

In caso contrario, la vostra certificazione sarà puramente informativa, ma non avrà alcun valore legale ai sensi del GDPR.

2. Lo schema di certificazione è applicabile sia ai responsabili del trattamento che agli incaricati del trattamento?

Altrimenti, si rischia di utilizzare due schemi diversi quando si agisce come titolare del trattamento e quando si agisce come responsabile del trattamento.

3. Le vostre attività di trattamento dei dati sono limitate a un solo paese dell'UE/SEE?

In caso affermativo, potete optare per una certificazione nazionale. In caso contrario, dovreste optare per il sigillo europeo per la protezione dei dati.

4. È comprensivo degli obblighi del GDPR?

Se i criteri utilizzati valutano solo una parte degli obblighi (ad esempio, non valutano la liceità del trattamento o i trasferimenti transfrontalieri di dati), si rischia di ottenere una certificazione fuorviante con punti ciechi in termini di conformità.

5. Potete scegliere tra diversi fornitori di servizi?

In caso contrario, potreste ritrovarvi in una situazione di blocco dell'attività, con costi non competitivi e una qualità del servizio inferiore.

6. Qual è la portata geografica della certificazione in termini di riconoscimento?

È inoltre possibile utilizzare la metodologia formale di valutazione dello schema di certificazione GDPR presentata sul sito web del Centro europeo per la certificazione e la privacy: https://eccpcentre.com/csam

Come ottenere una certificazione GDPR?

In linea di principio, una certificazione GDPR si concentrerà sulla vostra conformità alla legge.

La prima cosa da fare, indipendentemente da qualsiasi certificazione, è assicurarsi di essere conformi al GDPR. Potete concentrare i vostri sforzi sulle attività prioritarie di trattamento dei dati.
Una volta selezionate le attività di trattamento dei dati che si desidera certificare, esistono due approcci principali:

  • Utilizzo di fornitori di servizi qualificati
  • Preparare da soli

In entrambi i casi, è necessario documentare la conformità del trattamento dei dati selezionato ai criteri. È possibile avvalersi di fornitori di soluzioni qualificati per accelerare e facilitare il processo di documentazione.
Una volta documentata la conformità, è necessario richiedere offerte e selezionare un organismo di certificazione qualificato per verificare la conformità.

Dopo aver effettuato l'audit e verificato la conformità dell'obiettivo di valutazione, l'organismo di certificazione deciderà di rilasciare un certificato di conformità valido per tre anni, rinnovabile.
Nel caso del Sigillo europeo per la protezione dei dati Europrivacy, i certificati sono pubblicati nel registro online dei certificati Europrivacy che consente di verificare la validità e l'autenticità dei certificati consegnati.

Quanto bisogna investire e qual è il ritorno sull'investimento?

L'impegno maggiore è assunto prima dell'inizio della certificazione, assicurando che il trattamento dei dati sia conforme al regolamento. L'investimento richiesto per la certificazione varia in base a diversi fattori:

  • Se la documentazione di conformità viene esternalizzata secondo i criteri ufficiali;
  • Se è possibile scegliere tra diversi fornitori di servizi;
  • La complessità del trattamento dei dati;
  • Il PIL pro capite del vostro Paese.

Se un'elaborazione dei dati è ben documentata con i criteri, il lavoro dell'organismo di certificazione può essere inferiore a una settimana per ogni certificato. L'approccio migliore è quello di richiedere offerte a fornitori di servizi qualificati.

Una certificazione consente di ridurre in modo sostanziale ed efficace i rischi legali, finanziari e di reputazione. Il sito web di Europrivacy fornisce uno strumento per valutare il risparmio e il ritorno sull'investimento della certificazione GDPR: https://europrivacy.com/en/resource/gdpr-estimator

Quanto investire?

Vantaggi di una certificazione GDPR

Documentare, dimostrare e comunicare la vostra conformità

Ridurre i rischi legali, finanziari e reputazionali

Valorizzare la conformità con un vantaggio competitivo

Contribuire a proteggere meglio i dati personali e i diritti degli interessati

Valutare l'adeguatezza delle misure tecniche e organizzative in atto

Facilitare il trasferimento dei dati (Art. 46 GDPR)

Rispettare la protezione dei dati fin dalla progettazione e della protezione per impostazione predefinita (Art. 25 GDPR)

Ridurre i rischi con i responsabili del trattamento (art. 28 GDPR)

Risorse online

GDPR Compliance

Schemi ufficiali di certificazione GDPR

→ Sito web ufficiale di Europrivacy: https://europrivacy.com

→ Accademia online Europrivacy: https://academy.europrivacy.com

→ Sito web della Comunità e delle risorse Europrivacy: https://community.europrivacy.com

→ Elenco dei partner ufficiali di Europrivacy (implementatori, organismi di certificazione e fornitori di soluzioni): https://europrivacy.com/en/partners/list

→ Registro ufficiale dei certificati Europrivacy: https://europrivacy.com/en/resource/registry

→ Regolamento GDPR: https://eur-lex.europa.eu/eli/reg/2016/679/oj

→ Sito web del Comitato europeo per la protezione dei dati: https://www.edpb.europa.eu/edpb_it

Domande frequenti

Si tratta di una certificazione che mira a dimostrare la conformità delle attività di trattamento dei dati personali al GDPR. Per essere valida e riconosciuta dalle autorità dell'UE/SEE, una certificazione GDPR deve essere rilasciata da un organismo di certificazione accreditato ai sensi dell'art. 43 del GDPR con criteri ufficialmente approvati dall'EDPB ai sensi dell'art. 42 del GDPR.

Principalmente per ridurre i rischi e dare valore alla conformità. Si tratta di un forte posizionamento a favore della protezione dei dati personali e della conformità normativa per tutte le parti interessate.

Potete rivolgervi a fornitori di servizi qualificati per aiutarvi a documentare la vostra conformità ai criteri della certificazione o direttamente a un organismo di certificazione qualificato se avete già completato la documentazione di conformità. Potete anche imparare e diventare esperti qualificati con il programma Accademia online di Europrivacy.

Sì, potete utilizzare i criteri ufficialmente approvati per documentare la vostra conformità alla normativa. Potrete poi decidere in un secondo momento di optare per una certificazione formale.