Torna indietro
Accreditamento
Collaborazione GPDP
Certificazioni
Pubblicazioni

Privacy

Accreditamento e protezione dei dati

L’accreditamento è uno strumento tecnico sempre più utilizzato nell’area regolamentata della gestione dei dati. Il Data Protection Officer offre valore alle aziende pubbliche e a quelle che trattano “dati sensibili”.

L’accreditamento è un supporto tecnico indispensabile per molte attività di verifica, in particolare nei settori all’avanguardia. Sempre più spesso il Legislatore lo richiama come strumento di controllo nell’ambito della gestione regolamentata dei dati.

Un esempio significativo è il Data Protection Officer (DPO) certificato sotto accreditamento, che offre un valore aggiunto alle aziende obbligate per legge a disporre di questa figura, come le aziende pubbliche o quelle che trattano dati sensibili. Questa certificazione garantisce competenze verificate e conformità agli standard richiesti, assicurando alle organizzazioni una gestione sicura ed efficiente dei dati.

Il Regolamento GDPR

I dati digitali sono il petrolio della “quarta rivoluzione industriale”. Il Regolamento generale sulla protezione dei dati (GDPR) rafforza la tutela dei dati personali a livello europeo, a garanzia di un diritto fondamentale.

Oggi viviamo sotto l’impulso di un “umanesimo digitale”, che affonda le sue radici nei grandi pensatori del Rinascimento, e che, con un approccio multidisciplinare ai nuovi paradigmi disegnati dalle reti e dalle tecnologie, si propone di garantire che l’uso delle macchine intelligenti non pregiudichi i valori umani e i diritti fondamentali degli individui.

Su questi temi, e sulle sfide etiche poste dalla tecnologia, si è sviluppato un ampio dibattito all’interno dell’Unione europea, che ha portato alla definizione di regole condivise e applicate in modo uniforme dagli Stati membri.

Frutto di questi lavori, il Regolamento UE 679/2016 in materia di protezione dei dati personali (GDPR – General Data Protection Regulation) ha posto l’accento sulla dimensione etica e sulla necessità di riportare l’uomo al centro della rivoluzione tecnologica che stiamo vivendo, affermando e tutelando in maniera più efficace il fondamentale diritto alla privacy.

L’obiettivo è assicurare, nel quadro europeo della libera circolazione, la protezione dei dati delle persone fisiche e le regole per il trattamento da parte di soggetti terzi.

GDPR – General Data Protection Regulation

Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE.

Il ruolo dell’accreditamento

Il GDPR riconosce nella certificazione accreditata uno strumento per la protezione dei dati personali. L’Ente di accreditamento collabora con il Garante per la Protezione dei Dati Personali (GPDP), a vantaggio di imprese, istituzioni e cittadini.

Il Regolamento UE 679/2016 promuove la certificazione accreditata della protezione dei dati personali, di sigilli e marchi, al fine di attestare la conformità dei trattamenti effettuati dai titolari e dai responsabili del trattamento.

  • Articolo 42: il GDPR stabilisce che i soggetti legittimati a rilasciare la certificazione sono l’Autorità di controllo competente per lo Stato (in Italia, il Garante per la Protezione dei Dati Personali – GPDP) oppure gli organismi di certificazione.
  • Articolo 43: gli organismi di certificazione devono essere accreditati dall’Autorità di controllo competente o dall’organismo nazionale di accreditamento – in Italia, Accredia – oppure da entrambi.

La collaborazione con il GPDP

Il D.Lgs. 101/2018 ha allineato la normativa nazionale italiana al GDPR. Le certificazioni privacy sono rilasciate da organismi accreditati da Accredia, con approvazione del Garante e del Comitato europeo (EDPB).

Il D.Lgs. 101/2018 ha adeguato la normativa nazionale al GDPR. In Italia i soggetti legittimati a rilasciare la certificazione sono gli organismi di certificazione accreditati da Accredia su schemi di certificazione approvati dal Garante per la Protezione dei Dati Personali (GPDP).

Ad Accredia è stato affidato il compito di attestare la competenza, imparzialità e adeguatezza degli organismi sulla base dei requisiti aggiuntivi fissati dal Garante in conformità alla norma UNI CEI EN ISO/IEC 17065, per la certificazione dei prodotti e servizi.

Il meccanismo prevede l’approvazione del Garante sulla base del parere del Comitato europeo per la protezione dei dati (European Data Protection Board – EDPB), ovvero, per schemi di certificazione europei (EU Seal), la valutazione positiva dell’Autorità di protezione dei dati competente e l’approvazione dell’EDPB.

Convenzione Accredia e Garante per la Protezione dei Dati Personali (GPDP)

L’accordo firmato il 25 marzo 2021 promuove lo scambio di informazioni tra l’Ente di accreditamento e il Garante per la Protezione dei Dati Personali sulle attività di accreditamento e sulle certificazioni previste dal Regolamento UE 679/2016, a vantaggio di imprese, istituzioni e cittadini.

Le certificazioni volontarie

Le certificazioni privacy, pur non riconosciute dal Garante ai sensi del GDPR, sono accettate dal mercato come garanzia di conformità volontaria alle norme europee.

In ambito privacy vengono rilasciate diverse tipologie di certificazione, sviluppate dal mercato per rispondere alle esigenze di organizzazioni pubbliche e private e professionisti di allinearsi, in modo volontario, alle prescrizioni del GDPR.

Le certificazioni rilasciate dagli organismi accreditati non sono ancora riconosciute dal GPDP ai sensi del GDPR, ma sono accettate dal mercato come una garanzia e un atto di diligenza dell’adozione volontaria di un sistema di analisi e controllo dei principi e delle norme del Regolamento europeo.

Certificazione di prodotti e servizi

Tipologie di certificazione rilasciate da organismi accreditati secondo la norma ISO/IEC 17065.

ISDP 10003 – Protezione dei dati personali

Rilasciata in base allo schema privato ISDP©10003 “Criteri e regole di controllo per la certificazione dei processi per la tutela delle persone fisiche con riguardo al trattamento dei dati personali – Reg. UE 679/2016”, specifica i requisiti per la gestione in correttezza, sicurezza e conformità dei dati personali delle persone fisiche, con particolare riguardo ai dati personali, e fornisce i principi e gli elementi di controllo per una completa valutazione della conformità dei processi interni in merito alla protezione dei dati personali, con specifico riferimento alla corretta gestione dei rischi.

SGCMF 10002 – Conformità degli archivi degli operatori sanitari

Viene rilasciata in base allo schema privato SGCMF©10002 che riguarda i processi di trattamento dei dati personali degli operatori sanitari delle aziende farmaceutiche, ai sensi del combinato disposto delle norme vigenti in merito di protezione dei dati personali e delle norme che regolano la pubblicità di medicinali. Attraverso la certificazione, l’azienda farmaceutica può tenere sotto controllo le variabili strategiche interne, razionalizzare i processi e operare secondo le norme di legge.

UNI/PdR 43 – Gestione dei dati personali in ambito ICT

La certificazione accreditata è rilasciata in conformità alla Prassi di Riferimento UNI 43:2018 “Linee guida per la gestione dei dati personali in ambito ICT secondo il Regolamento UE 679/2016 (GDPR)”, studiata per tutte le organizzazioni che trattano dati con strumenti elettronici, in particolare alle piccole e medie imprese. Attraverso la certificazione, l’organizzazione ha l’obiettivo di dimostrare una gestione dei dati personali in ambito ICT in linea con le prescrizioni del GDPR, in termini di sicurezza e correttezza della gestione del processo di trattamento dei dati personali da parte dei titolari e dei responsabili.

Certificazione di sistemi di gestione

Tipologie di certificazione rilasciate da organismi accreditati secondo la norma ISO/IEC 17021-1.

ISO/IEC 27018 – Servizi cloud per la gestione dei dati personali

La certificazione accreditata è rilasciata secondo le linee guida internazionali ISO/IEC 27018 “Information technology – Security techniques – Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors” integrate con la norma ISO/IEC 27017 “Information technology – Security techniques – Code of practice for information security controls based on ISO/IEC 27002 for cloud services”. L’obiettivo è attestare la capacità dei fornitori di servizi cloud di garantire la sicurezza e la protezione dei dati, inclusi quelli personali soggetti alle normative privacy.

ISO 27701 – Sistemi di gestione delle informazioni sulla privacy

La certificazione accreditata è rilasciata secondo la norma ISO 27701 “Security techniques – Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management – Requirements and guidelines” che fornisce i requisiti per integrare la norma ISO/IEC 27001 estendendone lo scopo di applicazione al perimetro della gestione della privacy. E’ uno strumento utile per l’organizzazione, che vuole dimostrare a clienti e stakeholder di utilizzare sistemi efficaci per supportare la conformità al GDPR e ad altre normative sulla privacy correlate e ridurre i rischi legati alla violazione della privacy delle persone e dell’organizzazione.

Certificazione di persone

Tipologie di certificazione rilasciate da organismi accreditati secondo la norma ISO/IEC 17024.

UNI CEI EN 17740 e UNI/TS 11945:2024 – Professionisti del trattamento e protezione dei dati

La certificazione accreditata è rilasciata secondo le norme UNI CEI EN 17740:2024 “Requisiti per i profili professionali relativi al trattamento e protezione dei dati personali” e UNI/TS 11945:2024 “Valutazione di conformità ai requisiti definiti dalla UNI EN 17740 “Requisiti per i profili professionali relativi al trattamento e protezione dei dati personali”. I profili professionali certificabili sono: Responsabile della protezione dei dati - Data Protection Officer, Manager della protezione dei dati - Data Protection Manager, Specialista nella protezione dei dati - Data Protection Specialist, Tecnico della protezione dei dati - Data Protection Engineer, Valutatore della protezione dei dati - Data Protection Auditor.

FAQ Privacy – Accreditamento e certificazione ai sensi del GDPR – 2021

Le FAQ “Generali” in tema di accreditamento e certificazione ai sensi del GDPR nascono dalla collaborazione tra il Garante e Accredia, per spiegare gli aspetti principali dell’accreditamento e delle certificazioni volontarie in materia di trattamento dei dati personali. Dai riferimenti legislativi agli schemi di accreditamento e certificazione, un agile booklet per le organizzazioni pubbliche e private che affrontano la conformità al GDPR attraverso la certificazione accreditata.

Leggi le FAQ

Resta sempre aggiornato

Iscriviti alla nostra newsletter
La tua iscrizione non può essere convalidata.
La tua iscrizione è avvenuta correttamente.