La certificazione consente ai professionisti di comunicare il livello di protezione dei dati dei loro prodotti, servizi, processi o sistemi di dati. Per costruire un quadro adatto ai subappaltatori, la CNIL apre una consultazione pubblica fino al 28 febbraio 2025.
Facilitare la dimostrazione della conformità al GDPR in un contesto di outsourcing
Il subappaltatore e il titolare del trattamento sono vincolati da un certo numero di obblighi previsti dal GDPR.
Gli obblighi del subappaltatore riguardano tutte le organizzazioni che trattano dati personali per conto di un’altra organizzazione (il titolare del trattamento), nell’ambito di un servizio o di una fornitura. Questi includono:
- Fornitori di servizi IT (hosting, manutenzione, ecc.);
- integratori di software;
- società di sicurezza informatica;
- società di servizi digitali (ESN) o già società di servizi informatici e di ingegneria (SSII) che hanno accesso ai dati;
- agenzie di marketing o di comunicazione che trattano dati personali per conto dei propri clienti.
Da parte sua, il titolare del trattamento è tenuto ad avvalersi di subappaltatori di fiducia, che forniscano garanzie sufficienti a soddisfare i requisiti del GDPR (articolo 28 del GDPR), quando decide di affidare loro la cura di effettuare trattamenti di dati personali su per suo conto.
La certificazione aiuterà i titolari del trattamento a orientarsi nella scelta dei loro subappaltatori : garantisce che il trattamento effettuato dal subappaltatore è stato valutato conforme ai criteri di una norma riconosciuta dalla CNIL.
Chi potrà richiedere questa futura certificazione?
Una volta stabilita in Europa, qualsiasi organizzazione (pubblica o privata) che tratta dati personali per conto di un titolare del trattamento potrà richiedere questa certificazione.
Le piccole e medie imprese sono particolarmente invitate a rispondere a questa consultazione. Infatti, questo standard è stato concepito con l’obiettivo di offrire loro una certificazione che fissa un livello ambizioso pur rimanendo accessibile ai subappaltatori che accettano di impegnarsi in un processo di miglioramento della loro maturità in termini di protezione dei dati.
Inoltre, questo progetto segue un approccio generale per consentire la certificazione di un’ampia varietà di trattamenti di dati utilizzando lo stesso strumento di conformità. Il quadro di valutazione proposto, infatti, è aperto all’utilizzo di qualsiasi tecnologia e agli attori di tutti i settori.
È l’organismo di certificazione approvato che condurrà la sua valutazione in base al contesto del trattamento dei dati, basandosi su tutte le raccomandazioni e le risorse pubblicate dalla CNIL (per attore/settore o nei suoi temi principali ), per determinare se ciascun criterio di riferimento è soddisfatto o no.
In cosa consisterà la valutazione da superare per ottenere la certificazione?
Per ottenere la certificazione sarà necessario fornire prova del rispetto di ciascuno dei criteri della norma. La bozza del quadro di valutazione è composta da 90 punti di controllo organizzati secondo la cronologia di attuazione del trattamento dei dati personali effettuato per conto di un titolare del trattamento:
- parte 1: contrattualizzazione;
- parte 2: predisposizione dell’ambiente di trattamento, comprese le misure di sicurezza richieste nell’allegato alla normativa;
- parte 3: esecuzione del trattamento;
- parte 4: fine del trattamento.
Una quinta parte del quadro integra criteri relativi ai piani d’azione che devono essere realizzati dal subappaltatore durante il periodo di certificazione, che sarà di 3 anni e rinnovabile.
Il subappaltatore è libero di determinare il servizio o il servizio che desidera far certificare per soddisfare la sua esigenza di riconoscimento. Con l’aiuto dell’ente di certificazione verrà definito l’ambito della valutazione sulla base di questo desiderio e tutti i trattamenti di dati interessati verranno poi esaminati sulla base dei criteri di riferimento.
Poiché la valutazione si concentra sulla realizzazione operativa delle lavorazioni, la certificazione è più adatta ai servizi “chiavi in mano” e ai servizi offerti dai subappaltatori. Tuttavia, i servizi “su misura” o i nuovi servizi delle startup possono essere oggetto di una richiesta di certificazione anche alcuni mesi dopo l’effettivo inizio del trattamento dei dati affidato al subappaltatore, anche nell’ambito di un proof of concept.
Qual è il calendario della consultazione e chi può contribuirvi?
La consultazione pubblica su questo progetto di quadro terminerà il 28 febbraio 2025.
La CNIL desidera consentire al maggior numero possibile di persone (persone fisiche o giuridiche, pubbliche o private, committenti o prestatori di servizi, delegato alla protezione dei dati, ecc.) di partecipare a questa consultazione pubblica.
Si intende mobilitare in particolare le piccole e medie imprese che utilizzeranno la certificazione per rafforzare il legame di fiducia con i propri clienti quando lo scopo della loro fornitura o servizio comporta il trattamento di dati personali.
Le risposte alla consultazione pubblica possono essere collettive e fatte attraverso federazioni, associazioni, ecc.