Il contributo che si propone intende svolgere un’analisi di un settoriale strumento di “diritto mite”, ovvero la certificazione nell’ambito del trattamento dei dati personali.
Il Regolamento (UE) 2016/679 definisce la certificazione quale volontaria. Tuttavia, si tratta, più propriamente, di certificazione regolamentata, ciò in considerazione del fatto che la stessa è basata su norme emanate da componenti istituzionali: in particolare i criteri per il rilascio della certificazione sono approvati dall’autorità di controllo competente, oppure dal Comitato.
Alla luce della dettagliata disciplina relativa al meccanismo di certificazione si pone la questione relativa al rapporto tra la eventuale responsabilità del certificatore, per inadempimento oppure inesatto adempimento, rispetto alla responsabilità del titolare del trattamento dei dati.
Il contratto di certificazione di qualità è stato definito come un contratto con cui una parte, terza ed indipendente, assume l’obbligo di svolgere l’attività di certificazione di qualità verso un corrispettivo in denaro. Tale attività, che si articola in varie fasi, comprende una serie di atti e comportamenti diretti a verificare la conformità del prodotto, servizio, sistema o figura professionale agli standard previsti dalla normativa di riferimento. Si tratta di una figura contrattuale nata dalla prassi.
In forza del contratto di certificazione nascono in capo al certificatore una pluralità di obbligazioni. In particolare, si possono, essenzialmente, individuare due obbligazioni principali: la prima relativa alla c.d. fase istruttoria, consiste nell’espletamento di un’attività di ispezione e verifica della conformità; la seconda consiste nell’emissione di un giudizio scritto sulla conformità ovvero non conformità riscontrata, con conseguente rilascio (o non rilascio) della relativa certificazione. Emerge come il rilascio della certificazione non costituisce affatto obbligo del certificatore, essendo egli tenuto unicamente a garantire un giudizio circa la sussistenza o meno della conformità dell’oggetto della certificazione agli standard di riferimento. L’obbligo primario del certificatore consiste, pertanto, nel fornire una informazione completa ed attendibile circa l’esistenza di determinate qualità del prodotto o del sistema.
Agli obblighi principali del certificatore si aggiungono, inoltre, obblighi accessori ulteriori, in particolare: di imparzialità, di adeguata competenza tecnica, di trasparenza.
Per quanto riguarda l’impresa committente, oltre all’obbligo di pagare il corrispettivo pattuito, essa è tenuta ad una serie di comportamenti di “collaborazione” al fine di consentire lo svolgimento dell’attività di valutazione, che vanno dagli obblighi di informazione e comunicazione a quelli di consentire l’accesso in qualsiasi momento sia alle documentazioni ed ai registri aziendali, sia ai locali oggetto delle verifiche.
La scarna giurisprudenza in materia di responsabilità del soggetto certificatore, purtroppo, non è concorde in merito all’oggetto dell’obbligazione: una sentenza del Tribunale di Monza definisce la stessa quale obbligazione di mezzi. Al contrario, il Tribunale di Piacenza ritiene che l’attività di certificazione presenti inscindibili aspetti sia con le obbligazioni di mezzi che con quelle di risultato.
Ciò posto, un eventuale inadempimento o inesatto adempimento del certificatore può consistere nel mancato rilascio di una certificazione che doveva, invece, essere rilasciata, oppure concretizzarsi nella violazione di altri obblighi sullo stesso gravanti (obblighi di riservatezza, di segretezza, etc.). Sicuramente, tuttavia, il caso più frequente è rappresentato dall’inadempimento attraverso il rilascio di certificazione che non doveva essere rilasciata.
Diverse sono le tipologie di responsabilità nelle quali incorre il titolare del trattamento che utilizza una certificazione non veritiera.
In primo luogo, risultano evidenti le implicazioni pregiudizievoli di una certificazione non veritiera nei confronti delle imprese concorrenti. L’ipotesi potrebbe integrare un atto di concorrenza sleale poiché l’impresa che si fregia di una certificazione che in realtà non doveva spettargli, non fa altro che appropriarsi dei pregi effettivamente posseduti, dall’impresa concorrente al fine di stornare la clientela.
Indiscutibili, altresì, le conseguenze negative nei confronti dei consumatori: infatti, l’utilizzo di certificazione inesatta può assurgere al livello di pratica commerciale scorretta, come tale idonea a falsare la concorrenza, in quanto idonea a creare confusione nei consumatori.
Entrando nello specifico, invece, del trattamento dei dati personali, il Regolamento privacy, stabilisce all’art. 24 co 3 che l’adesione (ai codici di condotta) o a un meccanismo di certificazione può essere utilizzato come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento, salvo poi, all’art. 42 co 4 evidenziare che la certificazione “non riduce la responsabilità del titolare del trattamento o del responsabile del trattamento riguardo alla conformità” al Regolamento. Tale norma non pone distinzioni in merito ad una situazione nella quale vi sia il corretto adempimento da parte del certificatore, rispetto a quella nella quale si versi in ipotesi di inadempimento o inesatto adempimento dell’ente certificatore: tuttavia, risulta evidente che mentre la prima ipotesi può definirsi di scuola, la seconda risulta certamente di maggiore possibile verificazione.
Pertanto, permarrà, sebbene sia stata ottenuta la certificazione, un dovere da parte del titolare e responsabile del trattamento di effettuare il trattamento dei dati in conformità del Regolamento, non potendo, tali soggetti vedere elisa o ridotta la propria responsabilità in virtù dell’affidamento su quanto certificato.