Garante per la Privacy e Accredia, al lavoro sulla certificazione GDPR


Criteri e requisiti per la certificazione in materia di protezione di dati personali

Articolo 42

  1. Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento. Sono tenute in considerazione le esigenze specifiche delle micro, piccole e medie imprese.

 

In base al Regolamento Europeo in materia di protezione dei dati, le istituzioni sono incoraggiate ad attuare una serie misure allo scopo di dimostrare la propria conformità e attenzione sui trattamenti effettuati dai titolari e dai responsabili del trattamento. Ad oggi, però, mancano ancora alcune disposizioni fondamentali riguardo l’accreditamento degli organismi di certificazione (cfr. art. 43, paragrafo 1, lettera b) e i criteri di certificazione (cfr. art. 42 paragrafo 5).

In base al regolamento, gli organismi di certificazione possono essere accreditati dall’Autorità di controllo competente (il Garante per la privacy) o dall’Organismo nazionale di accreditamento (ACCREDIA, per l’Italia), o da entrambi secondo i requisiti previsti dalla norma UNI CEI EN ISO/IEC 17065:2012 (che stabilisce i requisiti per gli organismi di certificazione di prodotti, processi e servizi) integrata da “requisiti aggiuntivi” che devono essere stabiliti dall’Autorità di controllo competente.

Per questo motivo, Il Garante Privacy e ACCREDIA hanno ribadito che stanno lavorando congiuntamente alle altre Autorità Ue per la protezione dei dati allo scopo di delineare, entro l’anno, un quadro comune di criteri per accreditare gli organismi di certificazione e per la certificazione dei trattamenti nel rispetto del regolamento.

Pertanto entro l’anno si dovrebbero esserci tutti gli elementi affichè possano essere proposti sul mercato percorsi di certificazione pienamente conformi al GDPR.

E’ opportuno ricordare inoltre che:

  • La certificazione sarà sempre un atto volontario;
  • La certificazione aiuta a dimostrare la propria conformità al GDPR, ma non riduce la responsabilità di titolari e responsabili del trattamento;
  • La certificazione avrà una durata massima di 3 anni e potrà essere rinnovata o revocata.

Vai al comunicato stampa del Garante >