A seguito del comunicato congiunto di ACCREDIA e del Garante della Privacy in merito alla definizione di criteri e requisiti comuni per la conformità delle certificazioni al Regolamento Privacy UE 2016/679, ACCREDIA ha emesso una nuova circolare per gli Organismi che certificano i processi con cui le organizzazioni garantiscono la tutela delle persone fisiche nelle operazioni di trattamento dei dati personali.
Lo schema di certificazione proprietario ISDP©10003:2015 “Criteri e regole di controllo per la certificazione dei processi per la tutela delle persone fisiche con riguardo al trattamento dei dati personali – Reg. UE 679/2016” è stato sviluppato da INVEO, Organismo già accreditato per la certificazione dei dati in ambito sanitario e farmaceutico, con l’obiettivo di permettere alle organizzazioni la dimostrazione verso le parti interessate di diligenza per l’adozione volontaria di un sistema di analisi e controllo dei principi e delle norme di riferimento in tema di data protection.
La certificazione può essere implementata da ogni tipo di organizzazione, pubblica o privata, operante in qualsiasi settore merceologico, soggetta alle norme vigenti in tema di tutela delle persone con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati.
Attraverso il certificato, rilasciato da un organismo di parte terza indipendente, l’organizzazione può valutare l’adeguatezza del suo sistema di gestione per il trattamento dei dati personali, con particolare riferimento alla corretta gestione dei rischi.
Accredia e il Garante per la protezione dei dati personali ritengono necessario sottolineare – al fine di indirizzare correttamente le attività svolte dai soggetti a vario titolo interessati in questo ambito – che al momento le certificazioni di persone, nonché quelle emesse in materia di privacy o data protection eventualmente rilasciate in Italia, sebbene possano costituire una garanzia e atto di diligenza verso le parti interessate dell’adozione volontaria di un sistema di analisi e controllo dei principi e delle norme di riferimento, a legislazione vigente non possono definirsi “conformi agli artt. 42 e 43 del regolamento 2016/679”, poiché devono ancora essere determinati i “requisiti aggiuntivi” ai fini dell’accreditamento degli organismi di certificazione e i criteri specifici di certificazione.