Accredia / Certificazioni – privacy

Certificazioni

GDPR e certificazione accreditata

Il GDPR ha sancito l’obbligo per il titolare di predisporre le misure opportune per garantire la conformità del trattamento dei dati effettuato. Accountability, trasparenza e formazione sono i capisaldi della nuova normativa.

Il Regolamento europeo 679/2016 in materia di protezione dei dati personali (GDPR) punta sul principio di accountability, che richiama i concetti di responsabilità, affidabilità e competenza. Il GDPR ha introdotto un concreto rafforzamento degli obblighi di dimostrazione in capo al titolare e alle persone addette al trattamento dei dati. I titolari e le altre figure coinvolte nel trattamento dei dati devono garantire trasparenza, indipendenza e un’adeguata professionalità.

Principi, questi, che caratterizzano da sempre il mondo delle valutazioni della conformità accreditate, dalle certificazioni alle ispezioni, dalle prove alle tarature, rilasciate dagli organismi e laboratori qualificati da Accredia, l’Ente Unico di accreditamento.

Il GDPR prevede l’istituzione di meccanismi per la certificazione della protezione dei dati personali, nonché di sigilli e marchi, allo scopo di dimostrare la conformità dei trattamenti effettuati dai titolari e dai responsabili del trattamento. In base al Regolamento, l’adesione a un “meccanismo di certificazione” ai sensi dell’articolo 42, ha lo scopo di dimostrare la conformità alle prescrizioni europee dei trattamenti effettuati dai titolari e dai responsabili del trattamento.

GDPR - ARTICOLO 42 - CERTIFICAZIONE

1. Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento. Sono tenute in considerazione le esigenze specifiche delle micro, piccole e medie imprese.

2. Oltre all’adesione dei titolari del trattamento o dei responsabili del trattamento soggetti al presente regolamento, i meccanismi, i sigilli o i marchi approvati ai sensi del paragrafo 5 del presente articolo, possono essere istituiti al fine di dimostrare la previsione di garanzie appropriate da parte dei titolari del trattamento o responsabili del trattamento non soggetti al presente regolamento ai sensi dell’articolo 3, nel quadro dei trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali alle condizioni di cui all’articolo 46, paragrafo 2, lettera f). Detti titolari del trattamento o responsabili del trattamento assumono l’impegno vincolante e azionabile, mediante strumenti contrattuali o di altro tipo giuridicamente vincolanti, di applicare le stesse adeguate garanzie anche per quanto riguarda i diritti degli interessati.

3. La certificazione è volontaria e accessibile tramite una procedura trasparente.

4. La certificazione ai sensi del presente articolo non riduce la responsabilità del titolare del trattamento o del responsabile del trattamento riguardo alla conformità al presente regolamento e lascia impregiudicati i compiti e i poteri delle autorità di controllo competenti a norma degli articoli 55 o 56.

5. La certificazione ai sensi del presente articolo è rilasciata dagli organismi di certificazione di cui all’articolo 43 o dall’autorità di controllo competente in base ai criteri approvati da tale autorità di controllo competente ai sensi dell’articolo 58, paragrafo 3, o dal comitato, ai sensi dell’articolo 63. Ove i criteri siano approvati dal comitato, ciò può risultare in una certificazione comune, il sigillo europeo per la protezione dei dati.

6. Il titolare del trattamento o il responsabile del trattamento che sottopone il trattamento effettuato al meccanismo di certificazione fornisce all’organismo di certificazione di cui all’articolo 43 o, ove applicabile, all’autorità di controllo competente tutte le informazioni e l’accesso alle attività di trattamento necessarie a espletare la procedura di certificazione.

7. La certificazione è rilasciata al titolare del trattamento o responsabile del trattamento per un periodo massimo di tre anni e può essere rinnovata alle stesse condizioni purché continuino a essere soddisfatti i requisiti pertinenti. La certificazione è revocata, se del caso, dagli organismi di certificazione di cui all’articolo 43 o dall’autorità di controllo competente, a seconda dei casi, qualora non siano o non siano più soddisfatti i requisiti per la certificazione.

8. Il comitato raccoglie in un registro tutti i meccanismi di certificazione e i sigilli e i marchi di protezione dei dati e li rende pubblici con qualsiasi mezzo appropriato.

L'accreditamento delle certificazioni

Al momento, le certificazioni emesse in materia di privacy o data protection rilasciate in Italia, sono riconosciute come una garanzia e un atto di diligenza verso le parti interessate dell’adozione volontaria di un sistema di analisi e controllo dei principi e delle norme del GDPR.

Non sono ancora valutate conformi agli articoli 42 e 43 del GDPR, poiché devono essere determinati i “requisiti aggiuntivi” per l’accreditamento degli organismi di certificazione secondo la norma ISO/IEC 17065, e i criteri specifici di certificazione.

Il percorso di riconoscimento degli schemi di certificazione prevede infatti la valutazione da parte del Garante della Privacy, sulla base dei requisiti aggiuntivi individuati su base nazionale ed elaborati a partire dalle Linee guida emesse dal Comitato europeo per la protezione dei dati (EDPB) in materia di certificazione “Linee guida 1/2018 relative alla certificazione e all’identificazione di criteri di certificazione in conformità degli articoli 42 e 43 del regolamento (UE) 2016/679)”.

Il processo di accreditamento delle certificazioni riguarda gli schemi approvati e pubblicati nel “Registro europeo delle certificazioni, dei sigilli e dei marchi” e viene svolto in conformità alla norma ISO/IEC 17065 per gli organismi di certificazione di prodotti e servizi, e in base alle “Linee-guida 4/2018 relative all’accreditamento degli organismi di certificazione ai sensi dell’articolo 43 del regolamento generale sulla protezione dei dati (2016/679)”.

GDPR - ARTICOLO 43 - ORGANISMI DI CERTIFICAZIONE

1. Fatti salvi i compiti e i poteri dell’autorità di controllo competente di cui agli articoli 57 e 58, gli organismi di certificazione in possesso del livello adeguato di competenze riguardo alla protezione dei dati, rilasciano e rinnovano la certificazione, dopo averne informato l’autorità di controllo al fine di consentire alla stessa di esercitare i suoi poteri a norma dell’articolo 58, paragrafo 2, lettera h), ove necessario. Gli Stati membri garantiscono che tali organismi di certificazione siano accreditati da uno o entrambi dei seguenti organismi:

a) dall’autorità di controllo competente ai sensi degli articoli 55 o 56;
b) dall’organismo nazionale di accreditamento designato in virtù del regolamento (CE) n. 765/2008 del Parlamento europeo e del Consiglio (20) conformemente alla norma EN-ISO/IEC 17065/2012 e ai requisiti aggiuntivi stabiliti dall’autorità di controllo competente ai sensi degli articoli 55 o 56.

2. Gli organismi di certificazione di cui al paragrafo 1 sono accreditati in conformità di tale paragrafo solo se:

a) hanno dimostrato in modo convincente all’autorità di controllo competente di essere indipendenti e competenti riguardo al contenuto della certificazione;
b) si sono impegnati a rispettare i criteri di cui all’articolo 42, paragrafo 5, e approvati dall’autorità di controllo competente ai sensi degli articoli 55 o 56 o dal comitato, ai sensi dell’articolo 63;
c) hanno istituito procedure per il rilascio, il riesame periodico e il ritiro delle certificazioni, dei sigilli e dei marchi di protezione dei dati;
d) hanno istituito procedure e strutture atte a gestire i reclami relativi a violazioni della certificazione o il modo in cui la certificazione è stata o è attuata dal titolare del trattamento o dal responsabile del trattamento e a rendere dette procedure e strutture trasparenti per gli interessati e il pubblico; e
e) hanno dimostrato in modo convincente all’autorità di controllo competente che i compiti e le funzioni da loro svolti non danno adito a conflitto di interessi.

3. L’accreditamento degli organi di certificazione di cui ai paragrafi 1 e 2 del presente articolo ha luogo in base ai criteri approvati dall’autorità di controllo competente ai sensi degli articoli 55 o 56 o dal comitato, ai sensi dell’articolo 63. In caso di accreditamento ai sensi del paragrafo 1, lettera b), del presente articolo, tali requisiti integrano quelli previsti dal regolamento (CE) n. 765/2008 nonché le norme tecniche che definiscono i metodi e le procedure degli organismi di certificazione.

4. Gli organismi di certificazione di cui al paragrafo 1 sono responsabili della corretta valutazione che comporta la certificazione o la revoca di quest’ultima, fatta salva la responsabilità del titolare del trattamento o del responsabile del trattamento riguardo alla conformità al presente regolamento. L’accreditamento è rilasciato per un periodo massimo di cinque anni e può essere rinnovato alle stesse condizioni purché l’organismo di certificazione soddisfi i requisiti.

5. L’organismo di certificazione di cui al paragrafo 1 trasmette all’autorità di controllo competente i motivi del rilascio o della revoca della certificazione richiesta.

6. I requisiti di cui al paragrafo 3 del presente articolo e i criteri di cui all’articolo 42, paragrafo 5, sono resi pubblici dall’autorità di controllo in forma facilmente accessibile. Le autorità di controllo provvedono a trasmetterli anche al comitato. Il comitato raccoglie in un registro tutti i meccanismi di certificazione e i sigilli di protezione dei dati e li rende pubblici con qualsiasi mezzo appropriato.

7. Fatto salvo il capo VIII, l’autorità di controllo competente o l’organismo nazionale di accreditamento revoca l’accreditamento di un organismo di certificazione di cui al paragrafo 1 del presente articolo, se le condizioni per l’accreditamento non sono, o non sono più, rispettate o se le misure adottate da un organismo di certificazione violano il presente regolamento.

8. Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 92 al fine di precisare i requisiti di cui tenere conto per i meccanismi di certificazione della protezione dei dati di cui all’articolo 42, paragrafo 1.9. La Commissione può adottare atti di esecuzione per stabilire norme tecniche riguardanti i meccanismi di certificazione e i sigilli e marchi di protezione dei dati e le modalità per promuovere e riconoscere tali meccanismi di certificazione, i sigilli e marchi di protezione dei dati. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 93, paragrafo 2.

Le certificazioni volontarie

Pur non essendo previsto alcun obbligo, i soggetti pubblici o privati che svolgono determinati tipi di attività vengono fortemente incoraggiati a ricorrere alla certificazione accreditata, quale strumento riconosciuto per attestare che i prodotti e i servizi immessi sul mercato siano conformi alle norme volontarie e obbligatorie.

Attraverso la certificazione accreditata, aziende e professionisti non possono dimostrare la conformità al GDPR del trattamento dei dati, ma possono esibire l’attestazione indipendente di un organismo di parte terza e ottenere notevoli vantaggi in termini di sicurezza, efficacia e competitività.

Per questo il settore delle valutazioni della conformità ha attivato una serie di certificazioni volontarie in materia di privacy che aziende pubbliche e private e professionisti possono richiedere a:

  • Organismi accreditati secondo la norma ISO/IEC 17065 per la certificazione di prodotti e servizi
  • Organismi accreditati secondo la norma ISO/IEC 17021-1 per la certificazione dei sistemi di gestione
  • Organismi accreditati secondo la norma ISO/IEC 17024 per la certificazione delle persone

Gli ambiti: volontario e obbligatorio

Per le imprese, la scelta di avvalersi dei servizi degli organismi e dei laboratori accreditati è generalmente volontaria, ma è in continuo aumento il numero dei settori per i quali è la normativa nazionale ed europea a richiedere la verifica della conformità dei propri prodotti o servizi per poter accedere a bandi di gara per l’assegnazione di forniture, lavori e servizi in ambito pubblico e privato.

AMBITO VOLONTARIO

Le certificazioni, le ispezioni, le verifiche, le prove e le tarature accreditate sono scelte volontariamente da imprese private, organizzazioni pubbliche e professionisti per distinguersi dai competitor, accrescere la propria visibilità e reputazione, valorizzare la propria offerta di beni e servizi e cercare nuove opportunità di business anche sui mercati esteri.

AMBITO OBBLIGATORIO

Determinate categorie di prodotti e servizi possono circolare sul mercato solo dopo aver superato la verifica di conformità di un organismo o un laboratorio accreditato, come nel caso di prodotti marcati CE, prodotti agroalimentari, servizi ambientali e per l’efficienza energetica. Un numero crescente di bandi di gara prevede come requisito di partecipazione il possesso di una valutazione della conformità rilasciata sotto accreditamento.