Franco Ferrari mi ha segnalato il fatto che EDPB ha emesso l'Opinion 1/2022
sui "certification criteria" GDPR - CARPA e la decisione del Garante
lussemburghese:
-
https://edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-12022-draft-decision-luxembourg_en.
E' evidente che è molto importante perché è un ulteriore passo verso lo
schema di certificazione privacy "secondo il GDPR". Però EDPB ha chiesto "un
numero di cambiamenti" (vedere soprattutto quelli elencati dal punto 2.4 in
poi) e quindi dovremo aspettare ulteriormente.
Più semplice è la notizia:
-
https://edpb.europa.eu/news/news/2022/edpb-adopts-first-opinion-certification-criteria_it.
Non mi è chiaro perché "The present certification is not a certification
according to article 46(2)(f) of the GDPR meant for international
transfers".
Leggendo l'Opinion, poi, si vede che viene richiesto l'uso delle norme ISAE
3000 che non conosco. Però, curiosamente, il parere dice che non fanno parte
dei "certification criteria" e non mi convince. Infatti la certificazione
"secondo GDPR" dovrebbe basarsi sulla ISO/IEC 17065, che non parla mai di
"certification criteria", ma di "certification requirements" e questa è una
cosa che può creare confusione. Inoltre penso che si debba indagare anche il
funzionamento dello "schema di certificazione", se no si rischiano derive e interpretazioni non controllate.
Nessun commento:
Posta un commento