articoli, Security

Il tema delle certificazioni è alquanto critico. Allo stesso tempo non si tratta di una condizione indispensabile da adottare in ambito aziendale. Con le numerose novità introdotte soprattutto in materia privacy si rende necessario proporre all’individuo, all’Ente o alla Società un meccanismo per attestare la propria conformità alla normativa vigente.

Ciò che invece è necessario soprattutto in ambito aziendale è l’adozione di tutte quelle misure che contribuiscono ad implementare e rafforzare la sicurezza.Con quest’ultimo termine intendiamo una situazione priva di rischi o per certi versi definita anche conoscenza che l’evoluzione di un sistema non produrrà stati indesiderati, principio che viene sviluppato non solo a livello nazionale ma anche europeo.

I campi di applicazione di questo concetto sono davvero molto vasti. Si può far riferimento alla sicurezza ambientale, stradale, del lavoro, alimentare, delle informazioni, informatica. In quest’ultimo campo, così come negli altri del resto, è difficile ipotizzare un livello di sicurezza assoluto e senza un margine di rischio. Indispensabile è verificare la resilienza dei sistemi informativi e cioè la capacità di un sistema di resistere  ai possibili attacchi esterni (o addirittura anche interni) e far fronte alle minacce che potrebbero presentarsi. Se l’evoluzione tecnologica ha permesso il miglioramento delle procedure e ha semplificato la gestione interna di un’azienda, dall’altro bisogna riconoscere che l’aumento dei nuovi dispositivi e delle “armi” a disposizione del singolo sono un forte segnale di rischio.

Inoltre per far fronte ai possibili eventi negativi si necessita anche di un’adeguata informazione sui possibili fenomeni che possono verificarsi e compromettere il buon funzionamento delle attività.

Interessante è il nodo che stringe il campo della sicurezza con la nuova disciplina della privacy. Se fino a qualche tempo fa si potevano considerare due concetti distinti e su binari paralleli, oggi è necessario che le due materie trovino un punto d’incontro sia sulla base della normativa vigente che sugli strumenti di soft law che nel corso degli anni hanno ottenuto sempre più importanza e si rivelano uno strumento fondamentale per la ricerca delle risposte. In effetti il problema è più vasto di quel che sembra.

Non si tratta più solo di riconoscere una minaccia e affrontarla bensì di proteggersi a 360° in un mondo che è diventato il bersaglio perfetto da attaccare dal punto di vista informatico. Vicenda che in realtà non coinvolge esclusivamente le realtà aziendali ma proprio i singoli: cittadini, consumatori, visitatori della Rete. Quest’ultima è di fatti diventata un mondo virtuale parallelo a quello umano a tutti gli effetti. I cosiddetti white hats si trovano al giorno d’oggi a dover scovare soluzioni e metodi di sicurezza che fino al secolo scorso non erano nemmeno immaginabili.

Spionaggio, trattamento illecito dei dati personali, phishing, ransomware, furto dell’identità digitale e diffamazione via Web sono solo alcuni degli eventi che possono avere rilevanza penale a cui si deve porre attenzione. Il legislatore italiano ha deciso, proprio per l’ampia portata di questi fenomeni in crescente evoluzione, di ragionare secondo un principio di prevenzione e precauzione. Motivo per cui in alcuni casi punisce anche il semplice “procurarsi” apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico, così come disciplinato dall’art. 615 quinquies del codice penale.

Al fine di spingere e invogliare i soggetti suindicati ad attivare meccanismi di certificazione, proprio il Regolamento Generale per la Protezione dei Dati Personali 2016, di seguito GDPR, sensibilizza e incoraggia l’adozione dei meccanismi di certificazione, i sigilli e i marchi di protezione dei dati personali così come si evince nel Considerando 100.

Esistono diversi tipi di certificazioni al giorno d’oggi che si differenziano in base all’obiettivo che si vuole raggiungere.                                                                    

Nel dettaglio una prima categoria è formata dalle certificazioni dei sistemi di gestione che si occupano di verificare l’organizzazione della struttura e le capacità della stessa. In questo caso si valutano le strutture interne, le competenze e la gestione generale della struttura stessa. Ovviamente non si esaurisce il tutto in questi punti ma si considera l’ampio raggio che comprende anche il rapporto con i clienti e con i fornitori. È da considerarsi un ottimo punto di partenza soprattutto per quelle realtà che intendono partecipare alle gare di appalto pubbliche che tra i vari requisiti essenziali richiedono il possesso della certificazione in uno specifico ambito. Per non guardare troppo lontano è possibile affermare che una sorta di attestazione di questo tipo rende più affidabile e sicuro anche il rapporto stesso con i fornitori e clienti, oltre alla buona pubblicità che offre sul mercato.

La seconda categoria riguarda le certificazioni di prodotti e servizi che trattano per l’appunto un prodotto, un servizio o un processo produttivo ma solo in riferimento a determinate caratteristiche (norma o specifica). Il vantaggio maggiore scaturisce dal fatto di proporre un elemento che è stato sottoposto al vaglio di un organismo di certificazione che attesta la sua validità. Questo comporta notevoli vantaggi soprattutto per il mercato.

La terza categoria riguarda la certificazione delle figure professionali. Essere certificati nel settore di interesse comporta vantaggi non di poco conto. Attraverso questo meccanismo di certificazione è possibile dimostrare di essere aggiornati ai nuovi standard, di avere una preparazione completa ed efficiente e di avere tutte le competenze necessarie per ricoprire il ruolo scelto. In tal modo si dimostra infatti di possedere oltre che il bagaglio culturale giusto per ricoprire un certo ruolo anche tutte le abilità e competenze necessarie.

La “conquista” o l’ottenimento di una certificazione in qualsiasi categoria non garantisce la sua piena affidabilità nel tempo: ciò significa che è necessario aggiornarsi sulle novità e sui cambiamenti della materia in esame. Così come i prodotti o i servizi, anche le certificazioni nel corso degli anni si rinnovano e si aggiornano.

Uno sguardo all’ambito europeo

A livello europeo le certificazioni assumono un ruolo importante in chiave GDPR.          Il nuovo quadro europeo, grazie all’introduzione del Regolamento per la Protezione dei Dati Personali 2016/679 ma anche con le precedenti normative, offre un approccio decisivo in ambito di certificazioni, così come delineato dagli artt. 42-43.

La certificazione può essere utile a dimostrare che il Titolare rispetti le giuste misure che vengono periodicamente sottoposte a controllo e revisione. Sono tante le domande che possono sorgere in relazione a ciò, come ad esempio quali misure comuni e minime potrebbero soddisfare il principio di responsabilità  e in che modo adattare queste misure alle varie circostanze specifiche.

Il Gruppo di lavoro articolo 29 ritiene inoltre che il concetto di responsabilità in capo a determinati soggetti attivi nei confronti del trattamento dei dati personali sia rafforzato ancor di più nel momento in cui ci si rende conto che la realtà in cui viviamo ci “costringe”, a volte anche inconsapevolmente, a fornire questi dati per le ragioni più diverse: stipulazione di contratti, servizi, registrazioni su portali o piattaforme digitali.

La certificazione non è una prova di conformità bensì un elemento che può essere utilizzato per dimostrarla.Accanto ad essa ci possono essere anche i marchi e i sigilli che vengono utilizzati per comunicare che la procedura di certificazione si è conclusa con esito positivo. Ovviamente tutte queste attestazioni non sono scontate anzi vengono rilasciate solo nel momento in cui l’organismo di certificazione accreditato, o l’autorità di controllo competente, dichiari che i criteri previsti sono soddisfatti.

In linea con l’art.42 paragrafo 5 si riscontra che la certificazione può essere rilasciata da un organismo accreditato o da un’autorità di controllo competente, la quale però non è obbligata a farlo. In caso di scelta positiva essa può decidere di rilasciare la certificazione seguendo il proprio schema di certificazione e di seguire il processo per intero oppure di delegare a terzi in modo integrale o parziale la procedura di controllo e valutazione. In caso alternativo può predisporre lo schema di certificazione e affidare il resto della procedura agli organismi certificati.

A proposito di questi ultimi, il compito principale è quello di rilasciare, riesaminare, rinnovare e revocare le certificazioni. Il fulcro principale risiede nei criteri di certificazione che devono essere approvati dall’Autorità di controllo; l’approvazione dei criteri avviene se essi rispecchiano i requisiti generali previsti dal Regolamento UE. A tal proposito il 6 aprile 2021 è stato adottato l’allegato alle Linee Guida 1/2018 sulla certificazione e l’identificazione dei criteri di certificazione ai sensi degli articoli 42 e 43 del Regolamento Generale per la Protezione dei Dati Personali 2016/679.

In quest’ultimo documento una particolare attenzione ricade sul possibile scenario di una situazione di contitolarità del trattamento e la gestione della certificazione. Sul punto l’European Data ProtectionBoard evidenzia che sarebbe opportuno, per favorire al massimo la trasparenza, citare tutti i nomi dei contitolari che sono interessati. Si ribadisce il concetto secondo cui la certificazione non consiste nell’affermare che un’Organizzazione è conforme al 100% al Regolamento Ue. Si tratta piuttosto di accertare che quel determinato soggetto ha fatto tutto il possibile per soddisfare i criteri di certificazione previsti.

Cos’è Accredia?

Accredia è l’Ente Unico nazionale di accreditamento che attesta la competenza, l’imparzialità e l’indipendenza degli organismi di certificazione, ispezione e verifica e non solo. Nasce dalla fusione di Sinal, Sistema nazionale di accreditamento dei laboratori, Sit (Sistema di Taratura in Italia) e Sincert (Sistema di accreditamento degli organismi di certificazione). L’Ente è designato dal governo italiano il 22 dicembre 2009, in applicazione del Regolamento europeo 765/2008. Nello specifico è un’associazione riconosciuta che opera senza scopo di lucro, sotto la vigilanza del Ministero dello Sviluppo Economico.

Essa pone in primo piano la tutela della salute, della sicurezza e dell’ambiente.               I vantaggi principali sono sicuramente in termini di affidabilità, competitività e qualità. Un prodotto, un servizio, una persona accreditata avrà certamente qualche punto in più rispetto ad altri sul mercato.

Non si limita soltanto ai confini nazionali ma ha un ruolo anche nella rete internazionale. Infatti è parte di: EA – European co-operation for Accreditation ossia l’associazione europea degli Enti di accreditamento degli organismi di certificazione, ispezione e verifica e dei laboratori di prova e taratura, IAF – International Accreditation Forum cioè l’associazione mondiale degli Enti di accreditamento degli organismi di certificazione e ILAC – International Laboratory AccreditationCooperation che corrisponde all’associazione mondiale degli Enti di accreditamento degli organismi di ispezione e dei laboratori di prova e di taratura.

La crescita di questa prospettiva emerge anche dal bilancio del 2019. Rispetto all’anno precedente le attività svolte da Accredia sono cresciute dell’8%, raccogliendo circa 17.000 giornate di verifica totali, con un numero di accreditamenti decisivamente in salita (da 1.776 a 1.862).

L’attenzione di questo Ente è massima in tutte le caratteristiche. Oltre a partecipare a progetti di portata internazionale, si occupa di incontri formativi, da quelli base a quelli più avanzati. Oltre ai corsi di aggiornamento o di perfezionamento, si adopera notevolmente anche in campo universitario dove vengono offerte delle docenze in corsi di laurea o master, offrendo talvolta anche premi e borse di studio. Essenziali sono anche i rapporti con la Pubblica Amministrazione che sono caratterizzati principalmente da un supporto tecnico grazie al quale è possibile promuovere la trasparenza delle organizzazioni, garantire controlli e conformità nei confronti delle imprese evitando perciò un sovraccarico di lavoro alla Pubblica Amministrazione e sostenendo la competitività.

A tal proposito Accredia è chiamata a collaborare con  appositi Ministeri tra cui: Ministero dell’ambiente e della tutela del territorio e del mare, Ministero delle infrastrutture e dei trasporti, Ministero dell’interno, Ministero delle politiche agricole alimentari e forestali, Ministero dello sviluppo economico,  Ministeri dello sviluppo economico e del lavoro e delle politiche sociali, Ministeri dello sviluppo economico e dell’interno.

Benefici, sanzioni e ricorsi

I vantaggi principali della certificazione sono: qualità, affidabilità e competitività.

Nello specifico i benefici per i soggetti accreditati riguardano la reputazione e la performance. Due elementi che possono rivelarsi fondamentali nel rapporto con i clienti. I benefici per la Pubblica Amministrazione hanno, ovviamente, un taglio diverso. Essi riguardano la funzione di supporto alla legislazione, infatti in questo modo dovrà avere meno preoccupazioni riguardo ai numerosi controlli che saranno già in parte effettuati; sicurezza per quanto riguarda i nuovi acquisti dato che nel caso di prodotti o servizi certificati la loro conformità rappresenterà un tassello più che positivo. Per quel che riguarda le imprese emergono i potenti benefici legati alla competitività, dato che potranno vantare un’immagine che incide profondamente sulla loro reputazione ed è strettamente connessa alla relativa affidabilità dell’organizzazione stessa. Quest’ultima avrà modo di crearsi collegamenti e quindi ampliare la propria rete anche a livello internazionale. In quest’ultimo caso è chiaro comprendere come ci possano essere delle conseguenze più che positive dal punto di vista economico e di business.

Non  meno importanti sono i benefici connessi ai consumatori che di fronte ad un prodotto certificato saranno più spinti per gli acquisti e riporranno una fiducia superiore. Sapere che su un determinato prodotto o servizio è stato verificato da un organismo di certificazione, non solo con le solite procedure burocratiche e superficiali, lo rende più sicuro agli occhi esterni.

Non manca ovviamente una disciplina anche sulle sanzioni. Nel caso in cui Accredia si accorga di una qualsiasi inadempienza da parte di un laboratorio o di un organismo può intervenire a seconda della violazione o mancanza che è stata commessa (od omessa). Ma c’è un passaggio ancora più importante che è il caso inverso: se un organismo o un laboratorio si accorge di un’irregolarità da parte di Accredia stessa, nel dettaglio contro una decisione della Direzione o all’operato dei Comitati Settoriali di Accreditamento, si passa alla disciplina dei ricorsi.

Nel primo caso bisogna valutare volta per volta cosa è successo e i provvedimenti sono maggiori o minori in base all’entità della violazione. Nel caso dei ricorsi interviene la Commissione d’Appello, formata attualmente da sette membri,  e a tal proposito si seguono i requisiti emanati nel Regolamento generale RG-06 (Regolamento di funzionamento della Commissione d’Appello).

È possibile presentare un reclamo o una segnalazione ad Accredia.                                     Il primo consiste nel lamentare un’insoddisfazione rispetto al prodotto o servizio di cui si  è usufruito. Il secondo non riguarda una semplice lamentela bensì un’irregolarità con la normativa. I moduli e i format necessari per questo tipo di operazioni sono fruibili direttamente sul sito ufficiale.

L’importanza e l’imparzialità della certificazione

Certificarsi è davvero così tanto importante?

Sono ancora poche le aziende e le figure professionali che sono vicine a quell’attestato che conferma determinati requisiti previsti dallo schema di interesse.

L’imparzialità nell’ambito delle certificazioni assume sempre più un ruolo fondamentale. Senza la certezza che il giudizio dell’Organismo di Certificazione è davvero privo di interessi non avrebbe senso l’essenza della certificazione stessa.

Sulle certificazioni obbligatorie i dubbi sono certamente minori essendo imposte e non avendo possibilità di scelta a differenza di quelle volontarie che dipendono esclusivamente dalla volontà del singolo o dell’azienda.

A tal proposito è bene ricordare le parole del Garante per la Protezione dei Dati Personali nel Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati in ambito pubblico (documento allegato al provvedimento del 29 aprile 2021 n.186).

Al punto 5 del Documento si tratta l’aspetto “Qualità professionali e possesso titoli” per evidenziare come, nella questione emersa, il possesso di una certificazione «non equivale, di per sé, a un’abilitazione allo svolgimento del ruolo del RPD, né può sostituire in toto la valutazione del soggetto pubblico nell’analisi del possesso dei requisiti del RPD necessari per lo svolgimento dei suoi compiti».

Ciò significa che il Titolare nel momento in cui sceglie il Responsabile per la Protezione dei Dati non può prendere in considerazione soltanto il possesso di un particolare titolo (tipo una laurea) o la certificazione. La valutazione dovrebbe essere globale e includere molteplici aspetti come ad esempio l’esperienza del candidato.

Perché un soggetto dovrebbe essere escluso dalla selezione solo perché non possiede un certo titolo ma nel frattempo ha maturato esperienza giusta per ricoprire un certo ruolo? Si cerca, dunque, di eliminare qualsiasi tipo di azione che possa sfociare in un fenomeno di discriminazione. Ciò non significa sminuire l’importanza della certificazione che consente una buona base per approcciare meglio al campo scelto.

Le figure professionali non regolamentate generano da sempre qualche punto interrogativo a cui non è facile rispondere. Tra queste c’è anche il Wedding Planner ossia quel soggetto che organizza matrimoni che negli ultimi anni ha conquistato una buona fetta di persone nel mondo.L’Italia è stato il primo Paese in Europa a rilasciare l’accreditamento ad un Organismo per questo tipo di certificazione che è su base volontaria e ha durata di cinque anni. Passo importante nel 2019 per dimostrare che il mondo delle certificazioni arriva ad abbracciare davvero qualsiasi campo.

Si tratta di una realtà che ormai esiste ed è consolidata, questi strumenti sono in grado di genere benefici a diverse parti: aziende, clienti, fornitori. Uno dei problemi maggiori è che della certificazione se ne parla ancora troppo poco.

Non si tratta di certo di uno strumento che deve diventare “commerciale” anzi tutto il contrario. Una certificazione dovrebbe rimanere soltanto a disposizione di chi davvero si impegna per acquisirla e mantenerla a distanza di tempo. A proposito di quest’ultimo aspetto è evidente che non si tratta di un processo che deve diventare quasi scontato. Per utilizzare altre parole, una volta acquisita l’impegno deve rimanere costante anche a distanza di anni altrimenti si rischia la sospensione o la revoca. Se la certificazione attesta una determinata conformità è bene che vengano effettuati controlli periodici e in grado di mantenere lo standard elevato che si garantisce attraverso essa.

Il sistema delle certificazioni consente di mettere in discussione ogni aspetto relativo ad un prodotto, un processo o una figura professionale che pecca in alcuni punti. Si ha la possibilità di interrogarsi, in campo GDPR e dati personali, se tutta la parte riguardante la sicurezza informatica messa in atto sia davvero così efficiente o se esistano delle vulnerabilità da prendere in considerazione.              

Si ha la possibilità di verificare se effettivamente la preparazione di un soggetto che desidera certificarsi come DPO o Valutatore Privacy abbia tutte le competenze e le abilità previste. Una certificazione “fasulla” darà i suoi frutti negativi in futuro quando il soggetto non sarà in grado di fronteggiare le situazioni più critiche che gli verranno poste.

La certificazione diventa un vero e proprio bigliettino da visita sia a livello aziendale che personale. Essa diventa il motivo per cui un’Organizzazione dovrebbe scegliere quel soggetto piuttosto che un altro.

Consapevolezza e sensibilizzazione sono due concetti che vanno di pari passo.    

Un soggetto che intende certificarsi o certificare un prodotto o un processo della sua azienda deve essere, infatti, convinto dell’importanza della decisione. Bisogna trasmettere fiducia nei processi di certificazione. E questo lavoro può essere eseguito in primis dagli Organismi di Certificazioni, cercando di attirare il Cliente non solo per un fattore economico e per convincerlo a scegliere un Organismo piuttosto che un altro ma proprio per trasmettere l’importanza della certificazione stessa.

In secondo luogo dovrebbe emergere una maggiore spinta anche da parte dello Stato attraverso mezzi che consentano di arrivare più facilmente alle parti interessate. Volendo ampliare il discorso proprio sulla sensibilizzazione, e di conseguenza sulla formazione, è importante volgere uno sguardo particolare al nuovo mondo dei dati personali. In quest’ultimo caso le spinte principali dovrebbero arrivare già da una particolare istruzione nelle scuole medie.              

A differenza di tempi passati, i ragazzi di oggi entrano a contatto con i dispositivi elettronici in modo abbastanza precoce, specialmente per iscriversi sui vari social network. Tralasciando questi nuovi argomenti o trattandoli dalla maggior età è già troppo tardi e i danni sono, purtroppo, irreversibili nella maggior parte dei casi.              Si necessita di far capire ai giovani, già dai primi momenti in cui utilizzano un dispositivo dove girano dati personali, quanto è importante la loro protezione e cosa comporta anche la pubblicazione di una singola foto sul web. Questi processi non elimineranno del tutto il problema dalla radice ma sicuramente favoriranno una sensibilità precoce sull’argomento. Ancor prima dei giovani, si ricorda che arriva la preparazione professionale dei professori e di tutte quelle figure che interagiscono con i soggetti più deboli o vulnerabili. Studiando, aggiornandosi, interrogandosi, solo così si potrà avere una visione delle cose sempre più completa.

La fiducia in qualsiasi rapporto e in qualunque situazione non si genera da sola, è un processo che richiede tempo e pazienza ma soltanto lavorandoci su si possono ottenere grandi risultati a distanza di tempo. Quest’ultimo è un fattore decisivo.  

Le aziende che decidono di certificarsi non realizzano da subito, nella maggior parte dei casi, grandi obiettivi e neanche i risultati hanno dei tempi fissi per arrivare. L’impegno costante accelererà senza ombra di dubbio il percorso verso questi obiettivi. Certificarsi non significa di certo evitare i controlli ma semplificarli. Ed è già un grandissimo passo che si compie in sede di ispezione. Proprio per questo si ribadisce l’importanza di pesare tutte le fasi dell’iter e concedere la certificazione solo a chi, alla fine del percorso, ha raggiunto un standard che corrisponde all’effettiva realtà.

Ci si chiede se la rivoluzione tecnologica che è arrivata ormai tanti anni fa stia compromettendo o meno il modo di vivere delle persone. Sicuramente in un passato non molto lontano nessuno avrebbe mai pensato di fare i conti con diversi tipi di sicurezza, non soltanto quella fisica ma anche legata all’informatica.

I benefici che si possono trarre da questo settore sono davvero molteplici e continuano a crescere giorno dopo giorno. Si è arrivati ad un punto, grazie anche a fenomeni come l’intelligenza artificiale, dove le macchine riescono quasi a capire ciò che pensa l’essere umano. Nella medicina, nell’ingegneria, nella scienza e in tutte le materie che oggi vedono continui sviluppi ci sono innovazioni, come i robot, che riescono a facilitare i processi e mandare avanti intere attività produttive.

Attenzione però a non dimenticare l’importanza dell’intervento umano. Se molte attività vengono sostituite da “macchine” allo stesso tempo ci saranno diverse conseguenze: da una parte i posti di lavoro diminuiranno in determinate aree che non saranno soppresse ma gestite diversamente, dall’altra si richiederà sempre più facilmente una preparazione altamente avanzata dei professionisti che entrano in gioco.

Ogni strumento innovativo, se utilizzato con cura e diligenza, può portare a notevoli successi. In caso contrario si potrà tranquillamente ritorcere contro il soggetto e avere la meglio.

Non bisogna volgere lo sguardo verso il nuovo con diffidenza bensì con la voglia di scoprire e mettersi in gioco e in discussione. Questo accade anche nel mondo dell’informatica e dei dati personali dove ci sono costantemente scenari nuovi da affrontare con rigore.

Dott.ssa Simona Schena