Speciale Pubblicato il 22/07/2017

Tempo di lettura: 5 minuti

Gli organismi di certificazione dei dati personali accreditati

di Modesti dott. Giovanni

Gli organismi di certificazione accreditati ai sensi dell’art. 43 Regolamento UE 2016/679. Le precisazioni del Garante Privacy



Il regolamento comunitario in materia di protezione dei dati personali, che entrerà in vigore il prossimo 25 maggio 2018, disciplina l’operato che gli organismi di certificazione accreditati dovranno svolgere per attestare la conformità dei sistemi di protezione dei dati personali dei Titolari o dei Responsabili del trattamento.
L’art. 42 del regolamento UE stabilisce che l’attestato comprovante l’accreditamento dell’Organismo di certificazione sia rilasciato dall’Ente unico nazionale di accreditamento (in Italia è l’Ente nazionale di Accreditamento – ACCREDIA) o dall’Autorità Garante per la protezione dei dati personali.
La norma internazionale ISOIEC 17065:2012 è quella che disciplina il rilascio della certificazione di prodotto, di cui il Titolare o il Responsabile del trattamento potranno dimostrare il possesso previa presentazione di “sigilli o marchi”.
I criteri che saranno oggetto di valutazione al fine di rilasciare l’attestato di organismo accreditato verranno, quindi, codificati dall’Autorità di controllo competente oppure da un Comitato.

L'articolo continua dopo la pubblicità

Segui tutti gli aggiornamenti nel dossier dedicato alla Privacy

Tutta la normativa aggiornata sulla Privacy nel Commento breve al Regolamento europeo per la privacy

La certificazione come dimostrazione di correttezza delle procedure

A regime, la certificazione costituirà uno strumento fondamentale per distinguere tra coloro che potranno dimostrare la correttezza della gestione dei processi di data protection e coloro che, invece, non avranno la possibilità di farlo.
A tal  fine, il Regolamento UE 2016/679 prevede e incoraggia l'istituzione di meccanismi per la certificazione della protezione dei dati personali, nonché di sigilli e marchi, allo scopo di dimostrare la conformità dei trattamenti effettuati dai titolari e dai responsabili del trattamento alla normativa di settore.
Il Garante unitamente ad ACCREDIA ha licenziato in data 18 luglio 2017 un comunicato per “evidenziare che in Italia non è ancora stato stabilito dal Legislatore nazionale a chi spetti il ruolo di ente di accreditamento ai fini del regolamento, né sono stati definiti i "requisiti aggiuntivi" per l'accreditamento degli organismi di certificazione (cfr. art. 43, paragrafo 1, lettera b)) e i criteri di certificazione (cfr. art. 42 paragrafo 5).”
Pertanto, ad oggi le certificazioni emesse in materia di privacy o di data protection già rilasciate non sono da considerarsi conformi ai dettami di cui agli articoli 42 e 43 del Regolamento 2016/679 ma possono “costituire una garanzia e atto di diligenza verso le parti interessate dell'adozione volontaria di un sistema di analisi e controllo dei principi e delle norme di riferimento”.
Per chiudere il cerchio e per dissipare eventuali dubbi in proposito, a questo punto, sarebbe opportuno che ACCREDIA spiegasse che le nuove attività di accreditamento degli Organismi che certificano i processi con cui le organizzazioni garantiscono la tutela delle persone fisiche nelle operazioni di trattamento dei dati personali già illustrate sul proprio sito sono da considerarsi non operative!

Ecco il testo del Comunicato Stampa

COMUNICATO STAMPA

REGOLAMENTO UE E CERTIFICAZIONE IN MATERIA DI DATI PERSONALI

Il Garante Privacy e ACCREDIA richiamano l’attenzione sulla necessità di attendere la definizione di criteri e requisiti comuni per la conformità delle certificazioni in materia privacy al Regolamento UE 2016/679.

Il recente regolamento europeo in materia di protezione dei dati personali (Regolamento UE 2016/679) prevede e incoraggia l'istituzione di meccanismi per la certificazione della protezione dei dati personali, nonché di sigilli e marchi, allo scopo di dimostrare la conformità dei trattamenti effettuati dai titolari e dai responsabili del trattamento.

In tale contesto, i soggetti legittimati al rilascio della certificazione sono l’Autorità di controllo competente (per l’Italia, il Garante per la protezione dei dati personali) oppure gli organismi di certificazione.

Tali organismi, in base al regolamento, possono essere accreditati dall’Autorità di controllo competente o dall'Organismo nazionale di accreditamento (per l’Italia, ACCREDIA), o da entrambi (cfr. art. 43, paragrafo 1, del regolamento), secondo i requisiti previsti dalla norma UNI CEI EN ISO/IEC 17065:2012 (che stabilisce i requisiti per gli organismi di certificazione di prodotti, processi e servizi) integrata da “requisiti aggiuntivi” che devono essere stabiliti dall’Autorità di controllo competente.

Al riguardo, è opportuno evidenziare che in Italia non è ancora stato stabilito dal Legislatore nazionale a chi spetti il ruolo di ente di accreditamento ai fini del regolamento, né sono stati definiti i “requisiti aggiuntivi” per l’accreditamento degli organismi di certificazione (cfr. art. 43, paragrafo 1, lettera b)) e i criteri di certificazione (cfr. art. 42 paragrafo 5).

Su tali temi il Garante sta lavorando congiuntamente alle altre Autorità Ue per la protezione dei dati allo scopo di delineare, entro l’anno, un quadro comune di criteri per accreditare gli organismi di certificazione e per la certificazione dei trattamenti nel rispetto del regolamento.

Il Garante e ACCREDIA stanno inoltre collaborando per poter garantire l’avvio delle attività di accreditamento e certificazione nel rispetto delle scadenze previste dal regolamento, che diventerà definitivamente applicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018.

ACCREDIA e il Garante per la protezione dei dati personali ritengono necessario sottolineare - al fine di indirizzare correttamente le attività svolte dai soggetti a vario titolo interessati in questo ambito - che al momento le certificazioni di persone, nonché quelle emesse in materia di privacy o data protection eventualmente rilasciate in Italia, sebbene possano costituire una garanzia e atto di diligenza verso le parti interessate dell’adozione volontaria di un sistema di analisi e controllo dei principi e delle norme di riferimento, a legislazione vigente non possono definirsi “conformi agli artt. 42 e 43 del regolamento 2016/679”, poiché devono ancora essere determinati i “requisiti aggiuntivi” ai fini dell’accreditamento degli organismi di certificazione e i criteri specifici di certificazione.

Il Garante per la protezione dei dati personali è l’Autorità indipendente che ha il compito di garantire l’attuazione della normativa italiana in materia di protezione dei dati personali e rispetto della vita privata.

ACCREDIA è l’Ente unico nazionale di accreditamento designato dal Governo italiano, con il compito di attestare la competenza, l’imparzialità e l’indipendenza dei laboratori e degli organismi che verificano la conformità di prodotti, servizi e professionisti agli standard di riferimento, facilitandone la circolazione a livello internazionale.

Roma, 18 luglio 2017



TAG: Privacy 2024