Le FAQ del Garante ed Accredia sull’accreditamento e sulla certificazione ai sensi del GDPR

Le FAQ del Garante ed Accredia sull’accreditamento e sulla certificazione ai sensi del GDPR
Il 14 luglio scorso il Garante in materia di protezione dei dati personali ed Accredia hanno le FAQ “Generali” in tema di accreditamento e certificazione ai sensi del GDPR con l'obiettivo di pubblicare delucidazioni riguardanti i principali aspetti dell'accreditamento e delle certificazioni volontarie in materia di trattamento dei dati personali.
Il contesto di riferimento

Il Regolamento UE n. 679/2016 (GDPR) promuove, agli articoli 42 e 43, la certificazione accreditata della protezione dei dati personali di sigilli e marchi, al fine di attestarne la conformità dei trattamenti effettuati dai titolari e dai responsabili del trattamento.

Il D.lgs n. 101/2018, di adeguamento del Codice della Privacy al GDPR, ha stabilito che i soggetti legittimati a rilasciare tali certificazioni sono esclusivamente gli organismi accreditati da Accredia – l'ente unico nazionale di accreditamento – istituito ai sensi del Regolamento (CE) n. 765/2008 – su schemi di certificazione approvati dal Garante.

Le domande frequenti più rilevanti

Dopo un breve cenno alla definizione ed alle funzioni delle certificazioni, vengono enucleati i requisiti essenziali affinché i soggetti interessati possano essere accreditati. Specificatamente sarà necessaria l'attestazione di una parte terza (organismo di certificazione – OdC) indipendente ed autorevole che garantisca imparzialità, competenza ed adeguatezza degli organismi di valutazione della conformità.

Tra i principali vantaggi derivanti da una certificazione accreditata rientrano non soltanto la possibilità di esibire sul mercato un'attestazione autorevole ed accettata a livello internazionale ma, soprattutto, un valido ed utile strumento per titolari e responsabili del trattamento atto a dimostrare rispetto il degli obblighi e la conformità ai principi posti a tutela dei dati personali, primo fra tutti quello concernente l'accountability .

Oggetto di certificazione è il trattamento dei dati personali e, dal momento che si tratta di una definizione molto ampia, sarà possibile certificare sia una singola che più operazioni di trattamento svolte dal titolare o dal responsabile.

Qualora venga rilevata una non conformità (NC) rispetto agli originali requisiti in base ai quali era stata ottenuta la certificazione, l'organismo di certificazione deve decidere le azioni appropriate al caso di specie, che possono sostanziarsi anche nella revoca della certificazione stessa.

Conclusioni

In conclusione si può affermare che il Garante ed Accredia hanno collaborato alla realizzazione di un breve vademecum con l'obiettivo di fornire utili chiarimenti ai titolari o responsabili del trattamento dei dati in relazione al meccanismo di certificazione di conformità dei trattamenti ai requisiti previsti dal GDPR.

 

Avv. Rossella Bucca e Dott. Lorenzo Pinci

Newsletter

Iscriviti per ricevere i nostri aggiornamenti

* campi obbligatori