GDPR, l'equivoco delle certificazioni di conformità

Pochi giorni dopo l'entrata in vigore del GDPR, IPVM ha reso noto (leggi) che Dahua Technology, uno dei principali produttori mondiali di prodotti video IP, aveva diffuso il 24 maggio un comunicato (leggi) nel quale è stato testualmente affermato che "i prodotti IP di Dahua sarebbero i primi a livello mondiale ad aver ottenuto la certificazione di conformità al GDPR rilasciata dal TÜV Rheinland".

Dopo aver osservato che anche Uniview, un altro produttore cinese di video IP, aveva pubblicato un'analoga notizia il giorno prima di Dahua (leggi), IPVM sottolinea che lo stesso ente di certificazione tedesco nella propria comunicazione opportunamente non parla di "schema di certificazione di conformità al GDPR" ma di "parametri derivati dal GDPR" (leggi), rispettando in tal modo le indicazioni del GDPR (art. 42) che non impone e nemmeno indica alcuno standard o schema di certificazione di conformità.

Oltre a non prevedere direttamente schemi di certificazione, il GDPR esplicita che l'onere, per il titolare o il responsabile del trattamento dei dati, di  disporre di misure di sicurezza adeguate non viene ridotto da certificazioni, anche laddove esistano, pur considerandole un criterio attendibile per valutare l'adeguatezza dei dispositivi utilizzati, come puntualizza l'avv. Maria Cupolo, privacy officer e docente di securindex formazione:

“Il Considerando n. 100 del Regolamento UE 2016/679 (GDPR) recita: "al fine di migliorare la trasparenza e il rispetto del presente Regolamento dovrebbe essere incoraggiata l’istituzione di meccanismi di certificazione e sigilli nonché marchi di protezione dei dati che consentano agli interessati di valutare rapidamente il livello di protezione dei dati dei relativi prodotti e servizi".
L’adesione ai codici di condotta di cui all’articolo 40 o a un meccanismo di certificazione di cui all’articolo 42 del GDPR, può pertanto essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento e, dunque, confermare la propria "accountability", senza tuttavia dimenticare che, come indica lo stesso art. 42, la certificazione non riduce la responsabilità del titolare o del responsabile del trattamento rispetto alla compliance alla norma e non rileva ai fini dell’esercizio di compiti e poteri dell’Autorità di controllo.
Il meccanismo di certificazione consente pertanto di dimostrare la conformità al Regolamento dei trattamenti effettuati, ovvero di dare evidenza di garanzie appropriate, ma non certo di potersi esimere dalle responsabilità che derivano dalla norma stessa, ivi incluso l'utilizzo di "prodotti" che devono garantire "adeguate" misure di sicurezza.”

 

A cura della Redazione - in caso di riproduzione citare la fonte

 

#IPVM #GDPR #Maria Cupolo #Dahua Technology #Uniview