Lo Schema ISDP 10003:2020 ha tradotto i 99 articoli e i 173 considerando del Gdpr in controlli operativi.

Con questo nuovo schema non si certifica il sistema di gestione (come nel caso della ISO 27701), bensì il processo, il prodotto, il servizio.

Intanto, lo Schema è stato redatto e sviluppato dall’organismo di certificazione Inveo, accreditato a tal fine da Accredia, che è l’ente italiano di accreditamento.

Lo Schema è gratuito ed è arricchito da una check list che può essere utilizzata per una verifica del gap dell’organizzazione rispetto ai requisiti in esso ordinati.

Il suo ambito di applicazione concerne tanto i titolari quanto i responsabili trattamento in virtù del rapporto che intercorre tra loro ed i titolari (cfr. art. 28 del GDPR) L’obiettivo è dimostrare il livello di protezione dei dati personali in relazione ai processi, esterni e interni, ai prodotti e ai servizi, forniti o erogati.

Lo Schema è utilizzabile per diverse finalità:

  • per la dimostrazione della conformità generale dell’organizzazione
  • per la dimostrazione della conformità di un prodotto, di un processo o di un servizio.

Con esso non si certifica dunque il sistema di gestione, cioè l’infrastruttura di governo delle attività di trattamento orientata al miglioramento continuo.

È importante notare che lo Schema ricerca numerosi punti di contatto con la struttura HLS (Hight Level Structure, cioè la struttura comune degli standard relativi ai sistemi di gestione), ben nota a chi ha dimestichezza con i sistemi di gestione

L’operazione concettualmente compiuta dallo sviluppatore dello Schema è stata quella di tradurre i 99 articoli e i 173 considerando del Regolamento, con acribia e completezza, in una sequenza coerente di controlli operativi, cioè di cose da verificare e/o da fare. Le disposizioni di legge sono state analizzate, inventariate e sistemate in modo tale da trasformarsi in domande che il titolare si può/deve porre e in requisiti cui l’organizzazione, i relativi processi, prodotti o servizi debbono attenersi nella misura in cui siano candidati alla certificazione. L’allegato B, che chiude lo schema, è la sintesi ultima di questo lavoro.

L’ISDP 10003 sia gratuitamente scaricabile (dal sito dell’organismo di certificazione), cosa che favorisce la massima diffusione della cultura della certificazione e dello Schema, nonché il suo utilizzo ai fini di una eventuale certificazione. Inoltre, l’allegato A allo Schema (“Obiettivi di controllo”) è una check list di verifica del gap che separa lo stato di fatto della propria organizzazione dai requisiti dello Schema.

Resta inteso che il titolare che ottiene la certificazione in base allo Schema ISDP 10003 non potrà presumere di avere acquisito una patente di intoccabilità o una sorta di immunità; tuttavia lo Schema rappresenta un indubbio strumento di verifica e di controllo.

Se è vero come è vero che il target del Regolamento UE 2016/679 è costituito dai diritti e dalle libertà delle persone fisiche quando sono trattati dati personali, la decisione di certificarsi può rientrare, per esempio, nel piano degli investimenti di una impresa (soprattutto se impegnata in attività dal notevole impatto sugli interessati clienti/utenti) ed essere quindi opportunamente preordinato anche allo sviluppo o al potenziamento del business.

La certificazione è un generatore di fiducia attorno all’organizzazione ma resta sempre l’ultimo passo di un percorso che non necessariamente deve concludersi con l’ottenimento del “bollino”: moltissime aziende scelgono di adottare schemi certificativi per mettere ordine nelle proprie attività e nei propri processi.