Con un comunicato stampa congiunto, Garante Privacy e Accredia hanno richiamato l’attenzione sulla necessità di attendere la definizione di criteri e requisiti comuni per la conformità delle certificazioni in materia privacy al Regolamento UE 2016/679.
Il recente regolamento europeo in materia di protezione dei dati personali prevede e incoraggia l’istituzione di meccanismi per la certificazione della protezione dei dati personali, nonché di sigilli e marchi, allo scopo di dimostrare la conformità dei trattamenti effettuati dai titolari e dai responsabili del trattamento.
In tale contesto, i soggetti legittimati al rilascio della certificazione sono l’Autorità di controllo competente (per l’Italia, il Garante per la protezione dei dati personali) oppure gli organismi di certificazione.
Tali organismi, in base al regolamento, possono essere accreditati dall’Autorità di controllo competente o dall’Organismo nazionale di accreditamento (per l’Italia, Accredia), o da entrambi (art. 43, paragrafo 1, del regolamento) secondo i requisiti previsti dalla norma UNI CEI EN ISO/IEC 17065:2012 (che stabilisce i requisiti per gli organismi di certificazione di prodotti, processi e servizi) integrata da “requisiti aggiuntivi” che devono essere stabiliti dall’Autorità di controllo competente.
Al riguardo, è opportuno evidenziare che in Italia non è ancora stato stabilito dal Legislatore nazionale a chi spetti il ruolo di Ente di accreditamento ai fini del regolamento, né sono stati definiti i “requisiti aggiuntivi” per l’accreditamento degli organismi di certificazione (art. 43, paragrafo 1, lettera b)) e i criteri di certificazione (art. 42 paragrafo 5).
Su tali temi il Garante sta lavorando congiuntamente alle altre Autorità dell’Unione europea per la protezione dei dati allo scopo di delineare, entro l’anno, un quadro comune di criteri per accreditare gli organismi di certificazione e per la certificazione dei trattamenti nel rispetto del Regolamento.
Il Garante e Accredia stanno inoltre collaborando per poter garantire l’avvio delle attività di accreditamento e certificazione nel rispetto delle scadenze previste dal Regolamento, che diventerà definitivamente applicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018.
Al fine di indirizzare correttamente le attività svolte dai soggetti a vario titolo interessati in questo ambito, Accredia e il Garante per la protezione dei dati personali ritengono necessario sottolineare che al momento le certificazioni di persone, nonché quelle emesse in materia di privacy o data protection eventualmente rilasciate in Italia, sebbene possano costituire una garanzia e atto di diligenza verso le parti interessate dell’adozione volontaria di un sistema di analisi e controllo dei principi e delle norme di riferimento, a legislazione vigente non possono definirsi “conformi agli artt. 42 e 43 del Regolamento 2016/679”, poiché devono ancora essere determinati i “requisiti aggiuntivi” ai fini dell’accreditamento degli organismi di certificazione e i criteri specifici di certificazione.