Il nuovo Regolamento 679 del 2016 sulla Privacy (GDPR), entrato in vigore nel maggio del 2018, ha riconosciuto nella certificazione rilasciata dagli organismi accreditati uno strumento essenziale per la protezione dei dati personali. La convenzione firmata lo scorso 20 marzo tra Accredia e il Garante Privacy lo ribadisce, e impegna entrambi in uno scambio di informazioni sulle attività di accreditamento e sulle certificazioni previste proprio dal Regolamento UE 679/2016.
Nello specifico, ad Accredia è affidato il compito di attestare la competenza degli organismi in conformità alla norma UNI CEI EN ISO/IEC 17065, per la certificazione dei prodotti e servizi, e in base ai “requisiti aggiuntivi” che saranno individuati dal Garante a partire dalle Linee guida comuni elaborate dal Comitato europeo per la protezione dei dati.
L’accordo, della durata di un anno, prevede infatti che Accredia comunichi al Garante le informazioni relative all’andamento degli accreditamenti concessi (rinnovi, estensioni, scadenze), ai ricorsi presentati dagli organismi accreditati, alle scadenze dei certificati di accreditamento, a eventuali provvedimenti sanzionatori, e fornisca l’elenco delle certificazioni con le relative revoche, sospensioni e riduzioni rilasciate dagli organismi accreditati.
Il Garante, dall’altra parte, dovrà fornire all’Ente tutte le informazioni riguardanti l’evoluzione normativa (Linee guida, pareri e decisioni del Comitato europeo), eventuali problematiche connesse alle certificazioni (come i reclami) e gli aggiornamenti sugli schemi di certificazione approvati a livello nazionale ed europeo.
“L’accordo stipulato tra Accredia e il Garante per la protezione dei dati personali è espressione di un consolidato rapporto di collaborazione finalizzato a dare efficacia alle disposizioni relative all’accreditamento e alla certificazione contenute nel Regolamento UE 679/2016 – afferma il Presidente di Accredia Giuseppe Rossi -. La fiducia dimostrata dal Garante nell’affidabilità delle valutazioni di conformità accreditate dimostra la rilevanza del supporto tecnico dell’Ente nella tutela del diritto fondamentale del cittadino alla sicurezza e alla protezione dei dati personali.”
Come già evidenziato dal Regolamento europeo, in particolare agli articoli 42 e 43, per valutare l’adeguatezza dei sistemi di protezione dei dati attivati dai titolari, o dai responsabili del trattamento soggetti al Regolamento stesso, è fondamentale il coinvolgimento degli organismi di certificazione accreditati.
Accredia ha avviato da tempo le attività di accreditamento degli organismi che rilasciano certificazioni in questo ambito, come quelle emesse in conformità agli schemi proprietari SGCMF©10002:2018, sulla conformità degli archivi medici, e ISDP©10003:2018, sui processi per la tutela delle persone fisiche con riguardo al trattamento dei dati personali secondo il GDPR, o relative alla qualifica del Data Protection Officer in base alla norma UNI 11697:2017, fino alle certificazioni rilasciate in conformità alla Prassi di riferimento UNI 43:2018, che riguarda la gestione dei dati personali in ambito ICT.
Per saperne di più: