Nell’ambito della collaborazione tra il Garante per la protezione dei dati personali e Accredia, l’Ente nazionale di accreditamento, in rapporto alle attività di accreditamento e certificazione previste dal Regolamento (artt. 42 e 43), è stata sottoscritta nei giorni scorsi dal Presidente del Garante, Antonello Soro, e dal Presidente di Accredia, Giuseppe Rossi, la convenzione volta a favorire lo scambio di informazioni in merito a tali attività, nonché a valorizzare le reciproche competenze.
Le certificazioni secondo il GDPR
Secondo l’art. 43 comma 1 del Regolamento Europeo 679/2016:
“Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento. Sono tenute in considerazione le esigenze specifiche delle micro, piccole e medie imprese.”
In tale contesto Accredia avrà il compito di attestare, in base alla norma di accreditamento UNI CEI EN ISO/IEC 17065:2012, integrata da “requisiti aggiuntivi” che saranno individuati dal Garante sulla base delle linee-guida comuni elaborate in seno al Comitato europeo per la protezione dei dati – la competenza e l’adeguatezza degli Organismi che ne faranno richiesta per certificare con maggiori garanzie i servizi di tutela della privacy.
In base all’accordo, Accredia comunicherà all’Autorità gli accreditamenti rilasciati, i ricorsi degli Organismi accreditati e le decisioni assunte, le scadenze dei certificati, i provvedimenti sanzionatori, l’elenco delle certificazioni e le relative revoche e sospensioni rilasciate dagli Organismi. Il Garante comunicherà ad Accredia gli aggiornamenti della normativa, le novità sugli schemi di certificazione approvati a livello nazionale ed europeo, nonché le informazioni su problematiche che potrebbero emergere da reclami pervenuti all’Autorità.
ACCREDIA è l’Ente unico nazionale di accreditamento designato dal Governo italiano, con il compito di attestare la competenza, l´ imparzialità e l´ indipendenza dei laboratori e degli organismi che verificano la conformità di prodotti, servizi e professionisti agli standard di riferimento, facilitandone la circolazione a livello internazionale.
Condizione essenziale per l’accreditamento degli organismi di certificazione è il possesso del livello adeguato di competenze riguardo alla protezione dei dati personali.
L’accreditamento degli organismi di certificazione
La Prassi di Riferimento UNI/PdR 43:2018 “Linee guida per la gestione dei dati personali in ambito ICT secondo il Regolamento UE 679/2016 (GDPR)” è stata elaborata dal Tavolo “Processi di gestione privacy in ambito digitale”, sotto il coordinamento di UNINFO, Ente Federato all’UNI, che lavora nell’ambito delle tecnologie informatiche e delle loro applicazioni.
Si compone di due sezioni: la prima (UNI/Pdr 43.1) fornisce le linee guida per la definizione e attuazione dei processi afferenti al trattamento dei dati personali, mediante strumenti elettronici (ICT); la seconda (UNI/Pdr 43.2) fornisce un insieme di requisiti che permette alle organizzazioni, in particolare alle PMI, di essere conformi a quanto previsto dal quadro normativo europeo e nazionale in modo efficace, potendo dimostrare tale conformità ed efficacia anche attraverso un percorso di certificazione.
Solo la UNI/PdR 43.2 può essere usata per l’attività di certificazione.
Fino a quando non escono le linee guide europee e nazionali, la certificazione rimane tuttavia volontaria, e non è valida per dimostrare la propria conformità agli artt. 42 e 43 del GDPR, benché il Garante per la protezione dei dati personali abbia riconosciuto che può costituire una garanzia dell’adozione di un sistema di analisi e controllo dei principi e delle norme di riferimento.