La Prassi UNI/PdR 43:2018 può essere utilizzata da qualunque tipo di organizzazione che tratta dati personali mediante strumenti elettronici (ICT) e aziende di qualsiasi dimensione e settore lavorativo, indipendentemente dalla loro forma giuridica.

A breve distanza dall'emanazione del D. Lgs 10 agosto 2018 n. 101, decreto di adeguamento della normativa nazionale al nuovo Regolamento Europeo sulla protezione dei dati (UE 2016/679 - del Parlamento Europeo e del Consiglio del 27 aprile 2016), UNI ha diffuso la nuova Prassi di riferimento UNI/PdR 43:2018 per la gestione e il monitoraggio dei dati personali in ambito ICT secondo tale Regolamento (GDPR). 

Lo standard definisce i principali processi da considerare, per permettere alle aziende la loro corretta implementazione, il conseguente controllo e l’eventuale certificazione del servizio a tutela del mercato. Inoltre, fornisce un insieme di requisiti che permettono di essere conformi a quanto previsto dal quadro normativo europeo e nazionale in modo efficace e gli indirizzi per la valutazione di conformità ai requisiti definiti.

L’obiettivo della Prassi, che è dedicata al trattamento automatizzato di dati personali, è quello di definire in modo obiettivo e ripetibile le azioni per il corretto trattamento dei dati personali, offrendo a titolari e responsabili una linea guida di riferimento e alle autorità di controllo un metro di giudizio, ponendo le basi per meccanismi di certificazione come auspicati dagli art. 42 e 43 del Regolamento Europeo n.679/2016.

I vantaggi della certificazione 

Nel panorama nazionale italiano questa prassi risulta attualmente l’unico modello di riferimento che le aziende possono utilizzare per dimostrare il rispetto degli obblighi sia del titolare sia del responsabile del trattamento (art. 24 c. 3 e 28 c. 5 GDPR), e in particolare degli obblighi di adozione di misure di sicurezza adeguate (art. 32 c. 3).

Inoltre, se è vero che nessuna certificazione può escludere in toto le responsabilità del titolare  e del responsabile del trattamento imposte dal GDPR, è anche vero che il possesso di una certificazione deve essere tenuto in positiva considerazione al momento della commisurazione delle sanzioni amministrative pecuniarie (art. 83, c. 2, lett. j), sanzioni che come noto sono particolarmente elevate (fino a 20 milioni di euro o al 4% del fatturato mondiale annuo, se superiore).