Il Garante pubblica le nuove FAQ sulle certificazioni ai sensi del GDPR

Il Garante per la protezione dei dati personali ha pubblicato le nuove FAQ sulle certificazioni ai sensi del GDPR con l’Ente unico nazionale di accreditamento degli organismi di certificazione (“Accredia”).

Il Garante per la protezione dei dati personali ha pubblicato, di concerto con Accredia, le nuove FAQ al fine di fornire spunti e chiarimenti su questioni di carattere generale relative ai meccanismi per le certificazioni introdotti dagli articoli 42 e 43 del Regolamento EU 2016/679 (“GDPR”).

Il GDPR istituisce meccanismi di certificazione e sigilli e marchi di protezione dei dati e richiede agli Stati membri di garantire che gli organismi di certificazione che rilasciano la certificazione ai sensi dell’articolo 42, paragrafo 1, GDPR siano accreditati dall’autorità di controllo competente o dall’organismo nazionale di accreditamento o da entrambi. Inoltre, ove l’accreditamento sia effettuato dall’organismo nazionale di accreditamento in conformità alla norma tecnica ISO/IEC 17065/2012, devono essere applicati anche i requisiti aggiuntivi stabiliti dall’autorità di controllo competente.

Attraverso lo schema di certificazione, titolari e responsabili del trattamento beneficiano dell’attestazione di una terza parte indipendente (i.e., l’organismo di certificazione) al fine di dimostrare il rispetto degli obblighi, le garanzie sufficienti e la conformità̀ imposti dal GDPR. La certificazione, in aggiunta, costituisce  un’attestazione di qualità tecnica ed organizzativa mutualmente riconosciuta, nonché uno strumento funzionale, per imprese ed enti, al soddisfacimento di eventuali requisiti per l’adesione a bandi di gara o lo svolgimento di attività̀ in settori cogenti e regolamentati gestiti attraverso autorizzazioni, abilitazioni e notifiche dalla Pubblica Amministrazione.

Queste prime FAQ, preordinate al chiarimento di questioni di portata generale, sono state elaborate nell’ambito di una convenzione finalizzata allo scambio di informazioni riguardanti le attività di certificazione e accreditamento previste dal GDPR. Ad esempio, le FAQ forniscono una risposta a domande ricorrenti in materia di accreditamento e certificazione quali: “Che cos’è la certificazione a fini privacy?”, “Quali garanzie fornisce l’accreditamento?”, “Chi può rilasciare certificazioni sul trattamento dei dati e chi può richiederle?”. Nel comunicato di presentazione, il Garante sottolinea come queste FAQ costituiscano un primo chiarimento a cui seguiranno approfondimenti più specifici.

Il documento fornisce chiarimenti utili a tutti i titolari o responsabili del trattamento dei dati, sia del settore imprenditoriale che di quello della P.A., che desiderano ricorrere a una certificazione per dimostrare il loro impegno nel rispettare gli obblighi di protezione dei dati e la conformità dei trattamenti ai requisiti previsti dal GDPR.

Su un simile argomento può essere interessante l’articolo “Cosa cambia con le nuove linee guida del Garante privacy sui cookie”.