Da ottobre 2023 sono disponibili due norme EN sulla privacy che potranno essere usate per le "certificazioni GDPR (art. 42 e 43)". Non avevo dato la notizia perché avevo fatto confusione con la numerazione.
La prima è la EN 17799:2023 "Personal data protection requirements for processing operations": https://standards.cencenelec.eu/dyn/www/f?p=205:110:0::::FSP_PROJECT:72146&cs=1542894B837546009C6EA75EEF37A17FB.
Essa è, in poche e imprecise parole, l'erede della UNI/PdR 43. La EN 17799 ha un ambito più ampio della PdR 43, non riducendosi al solo ambito ICT. È più destinata alle PMI.
La seconda è l'EN 17926:2023 "Privacy Information Management System per ISO/IEC 27701 - Refinements in European context": https://standards.cencenelec.eu/dyn/www/f?p=205:110:0::::FSP_PROJECT:73645&cs=1E27CF456A53D1D12798EDA52ADB48A97.
Questa, in pochissime e imprecisissime parole, dice: "Prendi la ISO/IEC 27701 e cambia un paio di cosine, così potrai usare questa EN 17926 per certificarti secondo articoli 42 e 43 del GDPR usando la ISO/IEC 27701". È più destinata alle organizzazioni di dimensione medio-grande.
In tutti e due i casi non sono pronte le norme con le regole di accreditamento (a mio parere non lo saranno prima del 2025) e quindi non sono ancora utilizzabili. Qualche organismo di accreditamento potrebbe lanciare in autonomia uno schema di certificazione, ma dubito che avverrà, visto che l'obiettivo è quello di usarle per uno schema di sigillo europeo e quindi essere approvate dall'EDPB.
Ringrazio gli Idraulici della privacy per avermi forzato a ripensare su queste norme.