Accreditamento e certificazione dei trattamenti dei dati personali. Le FAQ del garante.
21/07/2021 2021-07-21 7:33Accreditamento e certificazione dei trattamenti dei dati personali. Le FAQ del garante.
Il Garante Privacy chiarisce una serie di dubbi recentemente sorti in merito alla certificazione in materia di protezione dei dati previsti dal GDPR.
Lo fa mediante la pubblicazione sul proprio portale di apposite FAQche spiegano come opereranno i meccanismi di accreditamento degli Organismi di Certificazione (OdC) e di rilascio della certificazione stessa.
Il Regolamento, infatti, nel prevedere la possibilità per titolari e responsabili di certificare i trattamenti dei dati personali dagli stessi realizzati (art. 42), impone agli Stati membri di garantire che gli organismi abilitati al rilascio del certificato siano accreditati dall’autorità di controllo competente o dall’organismo nazionale di accreditamento, o da entrambi.
Nel presentare le FAQ il Garante, innanzi tutto, chiarisce che “Attraverso la certificazione, titolari e responsabili del trattamento beneficiano dell’attestazione di una terza parte indipendente allo scopo di dimostrare la conformità delle loro operazioni di trattamento”.
Le FAQ, dal canto loro, forniscono chiarimenti utili a tutti i soggetti operanti in ambito pubblico o privato che vorranno ricorrere ad una certificazione che dia atto della conformità dei sistemi di gestione da essi adottati ai requisiti previsti dal GDPR in funzione di protezione dei dati personali.
Di seguito si riportano brevemente alcune questioni affrontate nel documento dell’Autorità, rimandando alla lettura delle singole FAQ per un approfondimento più organico della questione affrontata.
Innanzi tutto, cos’è la certificazione: trattasi di “una attestazione rilasciata da una parte terza (organismo di certificazione – OdC) relativa a un oggetto (prodotto, processo, servizio, persona o sistema) sottoposto a valutazione della conformità rispetto a requisiti contenuti in una norma tecnica (standard) o in un disciplinare specifico”.
In secondo luogo, chi potrà rilasciare la certificazione in materia di protezione dei dati personali: gli organismi nei confronti dei quali “l’ente unico nazionale di accreditamento istituito ai sensi del Regolamento (CE) n. 765/2008, in Italia Accredia” avrà accertato,all’esito del percorso di accreditamento, i requisiti di “terzietà, competenza, imparzialità e adeguatezza”. L’attività di accreditamento è disciplinata dal Regolamento (CE) n. 765/2008 appena citato e dalla norma tecnica ISO/IEC 17011.
Qual è l’oggetto della certificazione: da questo punto di vista il Garante non esita a rimarcare il concetto, espresso dal GDPR e dalle linee-guida 1/2018 dell’EDPB (European Data Protection Board), per cui oggetto della certificazione è il trattamento dei dati personali, la cui nozione ha un campo di applicazione abbastanza esteso. La certificazione, pertanto, potrà avere un oggetto ed un contenuto variabili, come “una sola operazione di trattamento (es. la conservazione di dati personali) ovvero più operazioni di trattamento (es. raccolta, conservazione, messa a disposizione) svolte dal titolare o dal responsabile del trattamento.”
Da quel che risulta, allo stato non esiste ancora uno schema di certificazione approvato dal Garante (https://www.accredia.it/certificazioni-4/).
Tuttavia, la proattività dimostrata dall’Autorità sul tema ed il fatto che ci si stia preparando per l’accreditamento degli organismi di certificazione rappresentano circostanze che lasciano ben sperare nell’approvazione, quanto prima, di uno schema che potrà fungere da base per l’attesa certificazione in materia di trattamenti dei dati personali.
Per approfondimenti Leggi qui le FAQ