“Prassi di riferimento” e simili come «meccanismi di certificazione della protezione dei dati»

Come noto il Regolamento (UE) 2016/679 (“GDPR”) riconosce ai «meccanismi di certificazione di cui all’articolo 42» (o «meccanismi di certificazione della protezione dei dati») specifiche funzioni all’interno del quadro regolatorio introdotto dalla riforma. 

I «meccanismi di certificazione della protezione dei dati» sono un valido strumento di regolamentazione volontaria da cui si fanno discendere importanti effetti di accountability e di affidabilità che non possono essere compromessi da iniziative collaterali che non soddisfano le prescrizioni normative e, quindi, non possono sortire i medesimi effetti dei «meccanismi di certificazione della protezione dei dati». Sul mercato si è assistito ad un fiorire di certificazioni in ambito GDPR che, tuttavia, non potevano considerarsi «meccanismi di certificazione della protezione dei dati» per le ragioni anzidette, creando una pericolosa confusione proprio in danno dei profili di accountability e affidabilità citati in precedenza.

Questa puntata si sofferma sulle distinzioni che intercorrono tra i «meccanismi di certificazione della protezione dei dati» ed il collaterale fenomeno di accordi e prassi che non costituiscono “norme tecniche”.

Sintesi

Fig. 1 – Il ruolo dei meccanismi di certificazione della protezione dei dati in ambito GDPR.

Considerate le numerose e delicate funzioni svolte dai «meccanismi di certificazione della protezione dei dati» – importante strumento di soft law – il legislatore ha disciplinato con prescrizioni tassative, l’intero procedimento dall’ideazione, vaglio e accreditamento dei pertinenti schemi di certificazione, sino all’individuazione dei soggetti titolati ed alla conseguente procedura di accreditamento degli organismi di certificazione.

Sistemi di certificazione che indirizzano il tema del GDPR, ma che non rispondono esattamente alle prescrizioni in esso previste – così come altri modelli analoghi ma non rispondenti alle caratteristiche dettate dal regolamento per tali strumenti – non possono qualificarsi come  «meccanismi di certificazione della protezione dei dati» e, di conseguenza, non possono produrre i medesimi effetti che il GDPR ricollega a questi ultimi. Questa conclusione vale anche per prassi o accordi e simili che si vorrebbe far rientrare tra i «meccanismi di certificazione della protezione dei dati», considerata la maggiore semplicità del relativo procedimento di realizzazione.