Accredia / Certificazioni volontarie

Certificazioni volontarie

Le certificazioni per la privacy

Accredia rilascia l'accreditamento agli organismi che rilasciano le certificazioni volontarie nell’ambito della privacy. Aziende e professionisti certificati possono dimostrare il loro impegno per la protezione dei dati personali.

In ambito privacy vengono rilasciate diverse tipologie di certificazione, sviluppate dal mercato per rispondere alle esigenze di organizzazioni pubbliche e private e professionisti di allinearsi, in modo volontario, alle prescrizioni del Regolamento UE 679/2016 in materia di protezione dei dati personali (GDPR – General Data Protection Regulation).

Gli schemi attivi, ovvero i requisiti per la certificazione, sono definiti dagli Enti di normazione (UNI e CEI in Italia, EN, ISO e IEC a livello europeo e internazionale) attraverso le norme tecniche o Prassi di Riferimento (PdR) o dagli scheme owners appartenenti a categorie private.

Le certificazioni rilasciate dagli organismi accreditati non sono ancora validate ai sensi del GDPR, ma sono riconosciute dal mercato come una garanzia e un atto di diligenza dell’adozione volontaria di un sistema di analisi e controllo dei principi e delle norme del Regolamento. Non esiste pertanto alcuna “esimenza” giuridica rispetto alle possibili sanzioni e imputazioni di colpevolezza che possono derivare da illeciti come, per esempio, un data breach o la mancata liceità di un trattamento.

Certificazione di prodotti e servizi

Tipologie di certificazione volontaria rilasciate da organismi accreditati secondo la norma ISO/IEC 17065.


Protezione dei dati personali - ISDP 10003

Lo schema privato ISDP©10003 “Criteri e regole di controllo per la certificazione dei processi per la tutela delle persone fisiche con riguardo al trattamento dei dati personali – Reg. UE 679/2016” è stato sviluppato da uno scheme owner e può essere certificato sotto accreditamento.

La certificazione riguarda tutte le tipologie di organizzazioni che vogliano dimostrare la propria accountability attraverso l’adozione volontaria di un sistema di analisi e controllo dei principi e delle norme di riferimento in tema di data protection.

Sono specificati i requisiti per la gestione in correttezza, sicurezza e conformità dei dati personali delle persone fisiche, con particolare riguardo ai dati personali, e vengono forniti i principi e gli elementi di controllo per una completa valutazione della conformità dei processi interni in merito alla protezione dei dati personali, con specifico riferimento alla corretta gestione dei rischi.


Archivi degli operatori sanitari - SGCMF 10002

Lo schema privato SGCMF©10002 riguarda la certificazione dei processi di trattamento dei dati personali degli operatori sanitari delle aziende farmaceutiche, ai sensi del combinato disposto delle norme vigenti in merito di protezione dei dati personali e delle norme che regolano la pubblicità di medicinali.

Attraverso lo strumento della certificazione accreditata, l’azienda farmaceutica può tenere sotto controllo le variabili strategiche interne, razionalizzare i processi e operare secondo le norme di legge.


Gestione dei dati in ambito ICT - UNI/PdR 43

La certificazione accreditata viene rilasciata ai sensi della Prassi di Riferimento UNI 43:2018 “Linee guida per la gestione dei dati personali in ambito ICT secondo il Regolamento UE 679/2016 (GDPR)”.

L’obiettivo è dimostrare una gestione dei dati personali in ambito ICT in linea con le prescrizioni del GDPR, attestando la sicurezza e la correttezza della gestione del processo di trattamento dei dati personali da parte dei titolari e dei responsabili.

Si compone di due sezioni: la prima (UNI/Pdr 43.1) fornisce le linee guida per la definizione e attuazione dei processi afferenti al trattamento dei dati personali, mediante strumenti elettronici (ICT); la seconda (UNI/Pdr 43.2) fornisce un insieme di requisiti che permette alle organizzazioni, in particolare alle PMI, di essere conformi a quanto previsto dal quadro normativo europeo e nazionale in modo efficace, e può essere usata per l’attività di certificazione.

Si rivolge a tutte le organizzazioni che trattano dati con strumenti elettronici, in particolare alle piccole e medie imprese.


Certificazione di sistemi di gestione

Tipologie di certificazione volontaria rilasciate da organismi accreditati secondo la norma ISO/IEC 17021-1.


Servizi Cloud - ISO/IEC 27018 e ISO/IEC 27017

La certificazione accreditata è rilasciata secondo le linee guida internazionali ISO/IEC 27018 “Information technology – Security techniques – Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors” integrate con la norma tecnica ISO/IEC 27017 “Information technology – Security techniques – Code of practice for information security controls based on ISO/IEC 27002 for cloud services”.

L’obiettivo è attestare la capacità dei fornitori di servizi cloud di garantire la sicurezza e la protezione dei dati, inclusi quelli personali soggetti alle normative privacy.

E’ uno strumento utile per le organizzazioni che agiscono come controllori delle informazioni di identificazione personale, poiché garantisce la qualità e l’efficacia degli obiettivi di controllo, dei controlli stessi comunemente accettati per l’implementazione di misure volte a proteggere le informazioni personali identificabili.


Certificazione di persone

Tipologie di certificazione volontaria rilasciate da organismi accreditati secondo la norma ISO/IEC 17024.


Data Protection Officer - UNI 11697

La figura professionale del Data Protection Officer (DPO) ovvero del responsabile della protezione dati, introdotta dal GDPR, può ottenere la certificazione accreditata ai sensi della norma UNI 11697 “Attività professionali non regolamentate – Profili professionali relativi al trattamento e alla protezione dei dati personali – Requisiti di conoscenza, abilità e competenza”.

La norma definisce i profili professionali relativi al trattamento e alla protezione dei dati personali coerentemente con le definizioni fornite dall’EQF (European Qualifications Framework) e prevede una serie di figure specializzate per la gestione aziendale di tutti gli aspetti relativi alla privacy.