Metodologia di valutazione dei sistemi di certificazione della protezione dei dati

La Metodologia di valutazione degli schemi di certificazione (AMDPCS) è una metodologia efficace per valutare e confrontare la qualità e l’affidabilità di diversi schemi di certificazione sulla base di criteri concreti. È incentrata sugli schemi di certificazione relativi alla protezione dei dati e alla conformità normativa, ma può essere adattata ed estesa ad altre categorie di schemi di certificazione. Prende in considerazione diverse dimensioni:

Requisiti per uno schema di certificazione affidabile

Affinché uno schema di certificazione sia affidabile e attendibile, deve soddisfare diversi requisiti chiave:

1. Validità legale: è formalmente riconosciuto dalla legge? Esiste una differenza fondamentale tra: (1) criteri fatti in casa, (2) criteri sviluppati da organismi di standardizzazione e (3) criteri che sono stati formalmente e ufficialmente riconosciuti dalla legge o dall’autorità competente per la protezione dei dati come legalmente validi.
2. Completezza: copre tutti gli obblighi o presenta punti oscuri? Uno schema di certificazione può essere tentato di concentrarsi solo su una parte degli obblighi normativi. Questo può rendere la certificazione più leggera da implementare, ma può anche costituire una grave debolezza che espone le aziende a rischi legali, finanziari e di reputazione. Una buona indicazione è il numero di controlli: più sono completi, meglio è per ridurre efficacemente i rischi.
3. Ambito di applicazione: è applicabile a tutti o solo a specifici trattamenti di dati? Uno schema di certificazione può essere riconosciuto solo per ruoli specifici (ad esempio, solo per gli incaricati del trattamento dei dati) e/o per specifiche attività di trattamento dei dati. Più lo schema è limitato, meno è possibile utilizzarlo come riferimento comune per tutti i trattamenti di dati e più costoso sarà gestire requisiti eterogenei.
4. Ambito geografico: quanto è riconosciuto a livello globale lo schema? Uno schema di certificazione può essere riconosciuto: (1) solo in un singolo paese, (2) in un singolo continente o (3) in più continenti. Più ampio è il campo di applicazione geografico, meglio è, in quanto estende il riconoscimento della vostra certificazione da parte di un maggior numero di autorità.
5. Monitoraggio della conformità: è necessario avere un responsabile della conformità? Una certificazione fornisce l’informazione che un determinato obiettivo di valutazione era conforme ai criteri dello schema al momento dell’audit. Per garantire una conformità continua, è necessario avere almeno una persona che se ne occupi. Uno schema affidabile richiede che tale persona sia responsabile nell’organizzazione del richiedente.
6. Nessun blocco del cliente: consente di scegliere tra diversi fornitori di servizi? Uno schema di certificazione può essere sviluppato da una singola azienda che vende servizi basati sul suo schema. Può essere fornito da pochi fornitori di servizi o da un ampio ecosistema di fornitori di servizi. Una posizione monopolistica dell’organismo di certificazione costituisce un rischio per il richiedente in termini di qualità del servizio, costi e dipendenza.
7. Accesso alla documentazione: quanto è accessibile la documentazione? La preparazione alla certificazione richiede l’accesso alla formazione, alla documentazione e al supporto. La mancanza di supporto o di documentazione può ostacolare la capacità di preparare adeguatamente una certificazione e aumentare il rischio di interpretazioni divergenti tra i revisori e i loro clienti.
8. Supporto per l’implementazione: quanto supporto si può ottenere? La preparazione alla certificazione può richiedere un supporto esterno. La mancanza di un supporto esterno può ostacolare la capacità di preparare adeguatamente una certificazione.