Accredia / Privacy / Privacy, i requisiti di accreditamento “aggiuntivi” approvati dal Garante

Privacy, i requisiti di accreditamento “aggiuntivi” approvati dal Garante

Notizia
01 novembre 2020

Il Garante per la protezione dei dati personali ha approvato i requisiti aggiuntivi per gli organismi di certificazione che attestano il rispetto del GDPR e Accredia ha definito il processo per il loro accreditamento secondo la norma ISO/IEC 17065.

Con il provvedimento del 29 luglio scorso (GU n. 201/2020), il Garante per la protezione dei dati personali ha approvato i requisiti aggiuntivi per l’accreditamento degli organismi di certificazione da parte di Accredia, in base alla norma tecnica internazionale ISO/IEC 17065:2012 e in conformità all’art. 43 del GDPR. L’Autorità nazionale per la Privacy ha anche sottolineato l’importanza della certificazione accreditata come elemento chiave per la responsabilizzazione e l’impegno dell’impresa o dell’Ente che la ottengono al rispetto del Regolamento europeo, e come strumento per rafforzare la fiducia degli utenti riguardo alla gestione dei loro dati personali.

In questo nuovo contesto, gli organismi di certificazione potranno quindi attestare il rispetto delle norme del Regolamento UE 679/2016 in materia di protezione dei dati personali (GDPR – General Data Protection Regulation) da parte di organizzazioni e istituzioni che trattano i dati personali per fornire specifici prodotti o servizi, e Accredia, in base al compito affidatole dal legislatore, verificherà la loro competenza, imparzialità e adeguatezza.

In particolare, la valutazione di conformità verrà condotta da Accredia secondo la norma UNI CEI EN ISO/IEC 17065, per il rilascio delle certificazioni di prodotti e servizi, e i requisiti aggiuntivi fissati dall’Autorità nazionale per la Privacy (in Italia il Garante) sulla base del modello comune definito dal Comitato europeo per la protezione dei dati (European Data Protection Board – EDPB).

Nello specifico, i requisiti aggiuntivi sono riportati nell’allegato del provvedimento del Garante e comprendono, tra gli altri, l’assenza di conflitti di interesse, l’adeguata formazione e aggiornamento delle risorse umane, la gestione ottimale dei reclami, le verifiche periodiche sui prodotti, processi e servizi certificati. Ulteriori specifici requisiti possono inoltre riguardare gli accordi definiti dagli organismi con i propri clienti, che dovranno, ad esempio, contenere clausole che garantiscano la piena trasparenza sull’attività svolta dal titolare o responsabile del trattamento certificato.

Con la pubblicazione dei requisiti aggiuntivi, è stato compiuto un ulteriore passo per gli organismi che intendono rilasciare le certificazioni per la privacy, che potranno richiedere l’accreditamento per gli schemi approvati dal Garante o dal Comitato europeo per la protezione dei dati (EU Seal), una volta disponibili sul Registro europeo dei meccanismi di certificazione, sigilli e marchi dell’EDPB.

Lo chiarisce la nuova Circolare informativa del Dipartimento Certificazione e Ispezione di Accredia (DC N° 18/2020).