Cambiano le regole per la privacy e cambiano anche quelle per la certificazione accreditata in questo ambito. Con il nuovo Decreto Legislativo 101/2018 (G.U. n. 205) in vigore dal 19 settembre 2018, il Codice in materia di protezione dei dati personali (D.Lgs. 196/2013) è stato adeguato alle disposizioni del Regolamento UE 679/2016, il GDPR (General Data Protection Regulation) applicato nell’Unione europea dal 25 maggio scorso, volto ad assicurare la protezione dei dati delle persone fisiche e le regole per il loro trattamento da parte di soggetti terzi.
Condizione essenziale per l’accreditamento degli organismi di certificazione in questo ambito, è il possesso del livello adeguato di competenze riguardo alla protezione dei dati personali. Ma non solo.
La certificazione accreditata
La Prassi di Riferimento UNI/PdR 43:2018 “Linee guida per la gestione dei dati personali in ambito ICT secondo il Regolamento UE 679/2016 (GDPR)” è stata elaborata dal Tavolo “Processi di gestione privacy in ambito digitale”, sotto il coordinamento di UNINFO, Ente Federato all’UNI, che lavora nell’ambito delle tecnologie informatiche e delle loro applicazioni.
Si compone di due sezioni: la prima (UNI/Pdr 43.1) fornisce le linee guida per la definizione e attuazione dei processi afferenti al trattamento dei dati personali, mediante strumenti elettronici (ICT); la seconda (UNI/Pdr 43.2) fornisce un insieme di requisiti che permette alle organizzazioni, in particolare alle PMI, di essere conformi a quanto previsto dal quadro normativo europeo e nazionale in modo efficace, potendo dimostrare tale conformità ed efficacia anche attraverso un percorso di certificazione.
Solo la UNI/PdR 43.2 può essere usata per l’attività di certificazione. Fino a quando non escono le linee guide europee e nazionali, la certificazione rimane tuttavia volontaria, e non è valida per dimostrare la propria conformità agli artt. 42 e 43 del GDPR, benché il Garante per la protezione dei dati personali abbia riconosciuto che può costituire una garanzia dell’adozione di un sistema di analisi e controllo dei principi e delle norme di riferimento.
Il processo di accreditamento
Per gli organismi già accreditati per certificare prodotti e/o servizi secondo la norma ISO/IEC 17065, che vogliano estendere l’accreditamento in questo ambito, non è necessario aver già rilasciato certificati secondo la UNI/PdR 43:2018. Nel caso, invece, in cui l’organismo possegga accreditamenti rilasciati da Enti di accreditamento stranieri, dovrà essere eseguita una valutazione caso per caso, in base agli Accordi Internazionali di Mutuo Riconoscimento EA /IAF applicabili. Variano poi le procedure di accreditamento nel caso di organismi accreditati per rilasciare certificazioni di prodotto/servizio in ambito GDPR e non, o nel caso di organismi accreditati per norme diverse dalla ISO/IEC 17065, come riportato nella Circolare del Dipartimento Certificazione e Ispezione di Accredia 21/ 2018 pubblicata nella sezione Documenti del sito istituzionale www.accredia.it/documenti.
La domanda di accreditamento
Un aspetto molto importante riguarda anche i documenti che devono essere presentati ad Accredia per l’esame documentale. Tra questi vanno menzionati: i criteri di qualifica di chi svolge il riesame del contratto, degli auditor e dei Decision Maker; i curricula degli ispettori e dei Decision Maker e giustificazione per la loro singola qualifica; la procedura per la costituzione e gestione dei gruppi di audit; l’attestato/certificato rilasciato dall’organismo e la lista dei certificati già emessi e delle prossime attività di verifica.
Il mantenimento dell’accreditamento
Per mantenere l’accreditamento durante l’intero ciclo quadriennale di accreditamento, l’organismo sarà sottoposto ad alcune verifiche in base alla sua operatività. Se ha rilasciato meno di 50 certificati in conformità alla UNI/PdR 43:2018, devono essere effettuate una verifica in accompagnamento e una verifica in sede. Nel caso in cui l’organismo accreditato abbia rilasciato tra 51 e 200 certificati, devono essere effettuate due verifiche in accompagnamento e una verifica in sede, mentre se ha emesso più di 201 certificati di questo tipo, devono essere effettuate due verifiche in accompagnamento e due in sede.
Per saperne di più: