E’ in vigore dal 24 maggio scorso il Regolamento europeo n. 679 del 27 aprile 2016 in materia di protezione dei dati personali, pubblicato sulla Gazzetta Ufficiale dell’Unione Europea del 4 maggio 2016 (L 119) insieme alla Direttiva che regola i trattamenti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini, cd “pacchetto protezione dati”.
Il Regolamento, che dovrà essere applicato in tutti i Paesi UE dal 25 maggio 2018, prevede il coinvolgimento di Organismi di certificazione accreditati per valutare la conformità dei sistemi di protezione dei dati attivati dai titolari o dai responsabili del trattamento soggetti al Regolamento (Articoli 42 e 43). La norma indicata come riferimento per l’accreditamento degli Organismi è la EN ISO/IEC 17065:2012 che disciplina il rilascio della certificazione di prodotto, di cui il titolare o il responsabile del trattamento dei dati potranno dimostrare il possesso con “sigilli o marchi”.
L’adesione al sistema dei controlli di conformità è volontaria e la certificazione, che è valida per un massimo di tre anni – rinnovabile alle stesse condizioni – non sottrae il titolare o il responsabile del trattamento dei dati dalle responsabilità che sono loro attribuite dalla legge.
Il Regolamento, all’art. 43 in particolare, prevede che l’accreditamento possa essere rilasciato agli Organismi di certificazione dall’Ente unico nazionale di accreditamento, in Italia ACCREDIA, o dall’Autorità competente, per l’Italia l’Autorità Garante per la protezione dei dati personali. Sono gli Stati europei a garantire che l’accreditamento sia affidato a uno solo o a entrambi i soggetti indicati nel provvedimento.
Dalla lettura dell’art. 58 si desume inoltre che la certificazione potrà essere rilasciata sia dagli Organismi di certificazione sia dall’Autorità competente, e dovrà rispondere a criteri approvati dall’Autorità di controllo oppure dal Comitato europeo per la protezione dei dati istituito dal Regolamento stesso.
Il Regolamento fissa alcuni requisiti a cui l’Organismo di certificazione dovrà dimostrare all’Autorità di controllo la propria conformità, quali l’indipendenza e la competenza, e il rispetto dei criteri di accreditamento imposti dall’Autorità stessa, che ha il potere di verificare il rispetto delle regole nell’emissione dei certificati.
L’Autorità di controllo ha inoltre la funzione esclusiva di accreditare, in base alla valutazione di requisiti specificati nel Regolamento, i soggetti che verificano la conformità dei titolari o dei responsabili del trattamento che aderiscono a codici di condotta proposti da associazioni o altri organismi delle proprie categorie. L’adesione a tali codici di condotta o la certificazione può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare o del responsabile del trattamento.
Il Regolamento, infine, prevede cha la Commissione europea potrà adottare atti di esecuzione per stabilire norme tecniche riguardanti i meccanismi di certificazione e i sigilli e marchi di protezione dei dati, nonché le modalità per promuoverli e riconoscerli (Art. 43, comma 9).
Il Regolamento presenta indubbiamente alcuni aspetti che dovranno essere oggetto di chiarimento: