La rubrica “Digital & Law” è curata da D&L Net e offre una lettura delle materie dell’innovazione digitale da una prospettiva che sia in grado di offrire piena padronanza degli strumenti e dei diritti digitali, anche ai non addetti ai lavori. Per consultare tutti gli articoli clicca qui.
Negli ultimi tempi il richiamo alle certificazioni e agli accreditamenti è all’ordine del giorno ma spesso la scarsa conoscenza porta estrema confusione e incertezza.
L’Autorità Garante per la Protezione dei Dati Personali e Accredia hanno pubblicato delle FAQ dedicate agli aspetti generali, una guida per i Titolari e i Responsabili del trattamento dei dati, in ambito pubblico e privato, che desiderano una certificazione per dimostrare il loro impegno nel rispetto degli obblighi di protezione dei dati personali in conformità con la normativa europea.
L’Art. 42, paragrafo 1, del GDPR prevede che siano accreditati dall’autorità di controllo competente o dall’organismo nazionale di accreditamento. Ove l’accreditamento fosse effettuato dall’organismo nazionale in conformità alla norma ISO/IEC 17065/2012 vi devono essere applicati anche i requisiti aggiuntivi definiti dall’Autorità di controllo.
L’Autorità Garante e Accredia hanno sintetizzato in 12 punti gli aspetti fondamentali:
- Che cos’è la certificazione?
La certificazione è una attestazione rilasciata da un organismo di certificazione relativa a un oggetto (prodotto, processo, servizio, persona o sistema) sottoposto a valutazione della conformità rispetto a requisiti contenuti in una norma tecnica (standard) o in un disciplinare specifico.
- Che cos’è l’accreditamento?
L’attività di accreditamento è disciplinata a livello europeo e internazionale, rispettivamente, dal Regolamento (CE) n. 765/2008 e dalla norma tecnica ISO/IEC 17011, e in Italia è svolta da Accredia, l’ente unico nazionale designato dal Governo. Si tratta di un’attestazione di conformità.
- I vantaggi della certificazione
La certificazione consente di distinguersi nel mercato su tre aspetti:
- ambito organizzativo relativamente alle proprie risorse;
- capacità di ottenere e mantenere la conformità del servizio o prodotto relativamente agli standard specificati;
- possesso delle conoscenze e competenze.
L’accreditamento può dare l’opportunità, altresì, di soddisfare i requisiti previsti in bandi di gara predisposti dalle stazioni appaltanti.
- Quali sono i vantaggi della certificazione ai sensi del GDPR?
La certificazione rappresenta uno strumento utile per i titolari e i responsabili del trattamento a dimostrare il rispetto degli obblighi, le garanzie sufficienti e la conformità ai requisiti di protezione dei dati.
- Quali i soggetti coinvolti?
I soggetti coinvolti possono essere:
– l’azienda il soggetto pubblico che richiede la certificazione;
– l’organismo di certificazione (OdC) accreditato che rilascia i certificati sulla base dei risultati di verifiche, e vigila sulla corretta gestione dei certificati;
- l’ente di accreditamento che accredita gli enti di certificazione e controlla periodicamente il mantenimento dei requisiti.
- Cosa posso certificare in materia di protezione dei dati personali?
In base a quanto previsto dal Regolamento Generale per la Protezione dei Dati Personali (GDPR), e alla luce delle linee-guida 1/2018 dell’EDPB (European Data Protection Board) in materia, l’oggetto della certificazione è un trattamento di dati personali. Tuttavia, la definizione di “trattamento” di dati personali è abbastanza ampia, anche l’oggetto della certificazione può variare in misura considerevole e può comprendere una sola operazione di trattamento (es. la conservazione di dati personali) ovvero più operazioni di trattamento (es. raccolta, conservazione, messa a disposizione) svolte dal titolare o dal responsabile del trattamento.
Ove il trattamento comporti un servizio o un prodotto, la certificazione può avere come oggetto il servizio e/o il prodotto (es. il servizio di gestione del personale di un’azienda). È importante sottolineare che la certificazione non può avere ad oggetto il solo prodotto (es. software), ma quest’ultimo deve essere parte integrante di un trattamento unitario svolto dal Titolare o dal responsabile (es. il trattamento dei dati dei dipendenti svolto dal datore di lavoro in quanto titolare attraverso il suddetto software, che quindi diviene oggetto della certificazione).
- Cos’è un sigillo europeo?
Un sigillo europeo è uno schema sviluppato per essere utilizzato in tutti gli Stati membri dell’Unione europea e per poter fare ciò deve essere adattabile in modo da tenere conto delle diverse normative nazionali di settore.
- Il Garante può rilasciare certificazioni secondo il GDPR?
Seppur il Regolamento Generale per la Protezione dei Dati Personali (GDPR) prevede questa possibilità, ad oggi, il Garante per la Protezione dei Dati Personali (GPDP) non rilascia certificazioni.
- Chi può richiedere una certificazione ai sensi del GDPR?
Qualsiasi ente o azienda, o soggetto interessato, in qualità di titolare e/o responsabile del trattamento di dati personali può richiedere una certificazione al fine di dimostrare la conformità dei trattamenti ai sensi del GDPR.
- A chi bisogna rivolgersi?
Per ottenere una certificazione approvata dall’autorità di controllo italiana occorre rivolgersi agli organismi di certificazione (OdC) accreditati da Accredia.
- La certificazione può essere sospesa o revocata?
Può essere revocata o sospesa nel momento in cui vengono a mancare i requisiti e le condizioni specificate. La sospensione può essere applicata anche nel caso in cui devono essere messe in atto misure correttive. La revoca della certificazione o riduzione del campo di applicazione della certificazione avviene qualora l’organizzazione certificata non ottemperi alla pianificazione delle azioni necessarie a ripristinare la conformità dei trattamenti.
Anche il Garante per la protezione dei dati personali può revocare o ingiungere gli enti di accreditamento di non rilasciare la certificazione qualora non siano rispettati i requisiti previsti dalla norma.
- La certificazione secondo la norma tecnica UNI 11697:2017 può essere definita una certificazione al GDPR?
La norma UNI 11697:2017 “Attività professionali non regolamentate – Profili professionali relativi al trattamento e alla protezione dei dati personali – Requisiti di conoscenza, abilità e competenza”, prevede rispettivamente, i requisiti di competenza e le regole per la valutazione della conformità di alcune figure professionali che operano nel settore del trattamento e della protezione dei dati personali, quali Responsabile della protezione dei dati, Manager Privacy, Specialista Privacy e Valutatore Privacy.
Di conseguenza non può certificare un servizio o un prodotto e non rientra nelle certificazioni annoverate dall’art. 42 del GDPR; può rappresentare, tuttavia, un titolo ulteriore.
