È sempre più determinante, soprattutto in materia di protezione dei dati personali, operare in un contesto di conformità alle norme europee e nazionali. In questa direzione, Accredia ha appena rinnovato la Convenzione con il Garante per la Protezione dei Dati Personali (GPDP) che rafforza l’impegno allo scambio di informazioni e alla collaborazione per garantire l’affidabilità delle certificazioni accreditate in base al Regolamento UE 2016/679 in materia di protezione dei dati personali (GDPR – General Data Protection Regulation).
Il primo schema conforme al GDPR UE
Di recente, il ruolo affidato all’accreditamento e alla certificazione accreditata è stato attestato a livello europeo con l’approvazione dello schema Europrivacy™/® quale European Data Protection Seal da parte dell’European Data Protection Board (EDPB) e con il successivo riconoscimento da parte di European co-operation for Accreditation (EA).
In particolare, lo schema è stato riconosciuto idoneo ai fini dell’accreditamento degli organismi di certificazione in conformità del Regolamento (UE) 2016/679.
Come spiega il Vice Direttore Generale di Accredia e Presidente IAF Emanuele Riva: “Oggi, a distanza di otto anni dalla pubblicazione del Regolamento (UE) 2016/679, possiamo finalmente dare piena applicazione all’art. 43 di questo Regolamento”.
Il GDPR promuove infatti la certificazione accreditata della protezione dei dati personali, di sigilli e marchi, al fine di attestare la conformità dei trattamenti effettuati dai titolari e dai responsabili del trattamento e all’art. 43 stabilisce che gli organismi di certificazione devono essere accreditati dall’Autorità di controllo competente o dall’organismo nazionale di accreditamento – in Italia, Accredia – oppure da entrambi.
Questo formale riconoscimento, come spiega nel dettaglio la Circolare tecnica DC N° 12/2024 “Disposizioni in merito all’avvio dell’accreditamento, in ambito PRD, dello schema di certificazione Europrivacy™/®”, avvia il percorso della certificazione che deve essere rilasciata da organismi accreditati secondo la norma UNI EN ISO/IEC 17065:2012.
La certificazione accreditata delle aziende
Approvato dall’European Data Protection Board (EDPB) per valutare e certificare la conformità di tutti i tipi di trattamento dei dati ai sensi del GDPR e delle normative nazionali complementari sulla protezione dei dati, lo schema Europrivacy™/®consente agli organismi accreditati di certificare aziende e organizzazioni che lo richiedono per renderle idonee a identificare e ridurre i rischi in questo ambito.
E valorizzarne la conformità attraverso l’unica certificazione GDPR ufficialmente riconosciuta in tutti gli Stati membri UE.
Nei confronti delle aziende, questo processo può determinare la creazione di fiducia con conseguenti vantaggi competitivi in termini reputazionali e di accesso al mercato.
A beneficio dei cittadini, inoltre, gli organismi accreditati possono contribuire a garantire un percorso di riduzione dei rischi per i loro dati personali.
L’iter di accreditamento degli organismi
Come spiega la Circolare tecnica DC N° 12/2024, le certificazioni in accordo allo schema Europrivacy™/® devono essere rilasciate da organismi accreditati secondo i requisiti della norma UNI EN ISO/IEC 17065:2012 e in base a requisiti aggiuntivi applicabili.
L’organismo interessato deve essere conforme a:
- Regolamenti Generali Accredia RG-01 e RG-01-03.
A seconda degli accreditamenti posseduti, l’organismo affronterà un diverso numero di giornate di verifica secondo tre casistiche.
Organismo accreditato secondo la UNI CEI EN ISO/IEC 17065:2012:
- 1 giornata di esame documentale da svolgersi almeno in parte in modalità sincrona in remoto
- 2 giornate di verifica in sede più 1 di rapportazione
- 1 verifica in accompagnamento di durata adeguata a coprire l’analisi degli elementi salienti del processo di audit condotto dall’organismo.
Organismo accreditato per schemi diversi dalla UNI CEI EN ISO/IEC 17065:2012:
- 1 giornata di esame documentale da svolgersi almeno in parte in modalità sincrona in remoto
- 3 giornate di verifica in sede più 1 di rapportazione
- 1 verifica in accompagnamento di durata adeguata a coprire l’analisi degli elementi salienti del processo di audit condotto dall’organismo.
Organismo non accreditato in nessuno schema:
- 1 giornata di esame documentale da svolgersi almeno in parte in modalità sincrona in remoto;
- 4 giornate di verifica in sede più 1 di rapportazione
- 1 verifica in accompagnamento di durata adeguata a coprire l’analisi degli elementi salienti del processo di audit condotto dall’organismo.
Vista l’alta complessità dello schema, per il mantenimento dell’accreditamento il numero delle giornate di verifica varia in funzione del numero di certificati emessi dall’organismo, secondo le indicazioni di dettaglio della Circolare tecnica.