La certificazione in accordo alla Prassi UNI/PdR 43:2018 può essere richiesta da qualunque tipo di organizzazione (persone fisica e/o giuridica) che tratta dati personali mediante strumenti elettronici (ICT), aziende di qualsiasi dimensione e settore lavorativo, indipendentemente dalla loro forma giuridica. Permette alle organizzazioni, in particolare alle PMI, di essere conformi a quanto previsto dal quadro normativo europeo e nazionale in modo efficace, potendo dimostrare tale conformità ed efficacia anche attraverso un percorso di certificazione.
La certificazione in accordo alla Prassi UNI/PdR 43 fornisce il corretto trattamento dei dati personali, offrendo a titolari e responsabili una linea guida di riferimento e alle autorità di controllo un metro di giudizio, ponendo le basi per meccanismi di certificazione come auspicati dall’art. 42 del Regolamento Europeo n.679/2016.
Questo poiché la prassi ha lo scopo di definire in modo obiettivo e ripetibile le azioni corrette per garantire particolari trattamenti di dati nell’ambito ICT, in modo da offrire ai Titolari e Responsabili una guida di riferimento ed alle Autorità di controllo un metro di giudizio, ponendo le basi per i meccanismi di certificazione come auspicati dall’art. 42 e 43 del GDPR.
Nello specifico, lo standard fornisce le linee guida a supporto della gestione e monitoraggio dei processi e delle attività definite nel Regolamento Europeo 2016/679 in riferimento al trattamento dei dati personali. Tali attività si basano su infrastrutture e processi tipici dell’ambito informatico. Il documento mappa e definisce i principali processi al fine di permettere alle organizzazioni la corretta implementazione, il conseguente controllo e l’eventuale certificazione del servizio a tutela del mercato. Inoltre, fornisce un insieme di requisiti che permette di essere conformi a quanto previsto dal quadro normativo europeo e nazionale in modo efficace, definendo – tra le altre cose - gli indirizzi per la valutazione di conformità ai requisiti definiti.
I vantaggi della certificazione
Nel sistema del GDPR la certificazione può essere utilizzata come elemento per dimostrare il rispetto degli obblighi sia del titolare del trattamento sia del responsabile del trattamento (artt. 24 c. 3 e 28 c. 5 GDPR), ed in particolare degli obblighi di adozione di misure di sicurezza adeguate (art. 32 c. 3).
Inoltre, se è vero che nessuna certificazione può elidere in toto le responsabilità del titolare del trattamento e del responsabile del trattamento imposte dal GDPR, è anche vero tuttavia che il possesso di una certificazione deve essere tenuto in positiva considerazione al momento della commisurazione delle sanzioni amministrative pecuniarie (art. 83, c. 2, lett. j), sanzioni che come noto sono particolarmente elevate (fino a 20 milioni di euro o al 4% del fatturato mondiale annuo, se superiore).