In sintesi
- L'art. 42 GDPR introduce meccanismi di certificazione della protezione dei dati.
- Volontaria ma con vantaggi: prova di conformità, marketing, riduzione audit.
- Tiene conto delle PMI (par. 1): schemi adattati.
- Non riduce la responsabilità del titolare (par. 4).
- Rilasciata da organismi accreditati (art. 43) o dall'Autorità.
- Validità massima 3 anni, rinnovabile (par. 7).
Testo dell'articoloVigente
Articolo 42 del Regolamento (UE) 2016/679 (GDPR) — Certificazione.
Vedi sotto per sintesi, commento e FAQ. Testo ufficiale consultabile su EUR-Lex.
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Commento
Logica della certificazione
L'art. 42 GDPR introduce meccanismi di certificazione della protezione dei dati, sigilli e marchi destinati a dimostrare la conformità al Regolamento. La certificazione è strumento di accountability volontario ma di crescente importanza: offre alle imprese una via per dimostrare conformità con valore probatorio riconosciuto. Gli Stati membri, le Autorità di controllo, l'EDPB e la Commissione incoraggiano l'istituzione di meccanismi di certificazione (par. 1). Il considerando 100 spiega la ratio: trasparenza, fiducia, riduzione costi di compliance.
Meccanismi di certificazione (par. 1-2)
Il par. 1 chiarisce che la certificazione tiene specificamente conto delle esigenze specifiche delle micro, piccole e medie imprese. È principio di accessibilità: le certificazioni non devono essere riservate alle grandi corporation ma adattate a PMI. Schemi rilevanti: Europrivacy (sviluppato con UE, focus europeo), ISO 27701 (privacy information management), schemi nazionali approvati. I Garanti pubblicano elenchi degli schemi approvati.
Carattere volontario (par. 3)
Il par. 3 prevede esplicitamente il carattere volontario della certificazione e l'accesso attraverso un processo trasparente. Il par. 4 prevede che la certificazione non riduca la responsabilità del titolare o del responsabile per il rispetto del Regolamento. È principio anti-illusione: la certificazione è elemento di prova ma non scudo assoluto. Il titolare certificato resta responsabile e sanzionabile per violazioni effettive. La certificazione facilita ma non sostituisce.
Procedura di certificazione (par. 5-6)
Il par. 5-6 disciplina la procedura: la certificazione è rilasciata da organismi di certificazione (art. 43) accreditati o, ove appropriato, dall'Autorità di controllo competente. Il rilascio segue una valutazione formale: audit documentale, esame on-site, verifica delle misure tecniche e organizzative. Lo schema definisce criteri specifici (es. ISO 27701 ha ~100 controlli). La validità è limitata nel tempo (max 3 anni) e rinnovabile.
Marchi e sigilli
I marchi e sigilli sono il volto visibile della certificazione. La Commissione e l'EDPB lavorano allo sviluppo di sigillo europeo (European Data Protection Seal) per facilitare il riconoscimento e la circolazione delle certificazioni transfrontaliere. I marchi facilitano la comunicazione al pubblico e ai clienti del livello di conformità raggiunto. Sul piano competitivo, la certificazione è leva di marketing: consente di evidenziare l'investimento in privacy management.
Validità e revisione (par. 7)
Il par. 7 prevede che la certificazione sia rilasciata per un periodo massimo di tre anni e possa essere rinnovata, alle stesse condizioni, purché continuino a essere soddisfatti i requisiti. La certificazione può essere revocata, se necessario, dagli organismi di certificazione o dall'Autorità di controllo competente, qualora i requisiti non siano più soddisfatti. La revisione periodica garantisce che la certificazione resti attuale rispetto all'evoluzione delle minacce e delle prassi.
Regola pratica e checklist operativa
Compliance art. 42: (i) valutare schemi rilevanti per settore e dimensione; (ii) gap analysis rispetto ai requisiti; (iii) preparazione documentale e operativa; (iv) audit di certificazione; (v) implementazione di misure correttive; (vi) rinnovo periodico; (vii) uso del marchio in comunicazione. È investimento di posizionamento.
Accountability e documentazione
Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.
Coordinamento con il Codice Privacy italiano
L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.
Casi pratici
Caso 1: Tizio: PMI e Europrivacy
Tizio, PMI italiana, ottiene certificazione Europrivacy. Prova di conformità in audit, attenuante sanzioni, comunicazione ai clienti.
Caso 2: Caio: multinazionale e ISO 27701
Caio, gruppo finanziario, ottiene ISO 27701 per tutte le entità. Standard internazionale, riconoscimento globale, facilitazione audit transfrontalieri.
Caso 3: Sempronio: certificazione settoriale
Sempronio, cloud provider, ottiene certificazione specifica per cloud (es. CISPE Code). Strumento competitivo: clienti pubblici e regolati richiedono certificazione.
Caso 4: Commento applicativo
L'art. 42 è leva di mercato. Le certificazioni mature (ISO 27701, Europrivacy) sono ora standard B2B. L'investimento iniziale è significativo ma il ROI in audit, trust, marketing è elevato.
Domande frequenti
La certificazione è obbligatoria?
No, è volontaria (par. 3). Ma offre vantaggi: prova di conformità (art. 24, par. 3), attenuante sanzioni, riduzione audit di clienti.
Quali schemi sono riconosciuti?
Schemi approvati dal Garante (nazionali), Europrivacy (europeo), ISO 27701 (internazionale), schemi settoriali (cloud, sanità). Elenchi pubblici.
Chi rilascia la certificazione?
Organismi di certificazione accreditati ex art. 43 o, ove appropriato, l'Autorità di controllo competente. L'accreditamento è rilasciato dall'organismo nazionale di accreditamento.
Quanto dura?
Massimo 3 anni, rinnovabile alle stesse condizioni se i requisiti continuano ad essere soddisfatti (par. 7).
Se sono certificato, sono al sicuro?
No. La certificazione non riduce la responsabilità del titolare (par. 4). È elemento di prova ma non scudo. Il titolare resta sanzionabile per violazioni effettive.
Vedi anche