Il Garante Privacy, in collaborazione con Accredia, ha fornito chiarimenti riguardo all’ottenimento della certificazione accreditata della protezione dei dati personali.
Si tratta di un’attestazione di conformità rispetto specifici servizi erogati in materia di protezione dei dati personali, che qualsiasi ente che operi in qualità di titolare e responsabile, può richiedere ed ottenere.
In termini di privacy, la certificazione attesta nello specifico l’adeguatezza di:
-
Una singola operazione di trattamento (es. conservazione di dati personali)
-
Più operazioni di trattamento (es. raccolta, conservazione e trasmissione dei dati a soggetti terzi)
- Il trattamento da parte di titolare e responsabile attraverso strumenti specifici (es. trattamento dati dei dipendenti da parte del datore di lavoro attraverso un software acquistato da una società esterna)
I requisiti oggetto della certificazione vengono valutati in conformità al GDPR o a specifiche norme tecniche (ISO/IEC) in materia di protezione dei dati personali e sicurezza delle informazioni.
In Italia la certificazione viene rilasciata sulla base del seguente schema:
-
Il Garante Privacy, in qualità di Autorità di controllo e in ottemperanza a quanto richiesto dal Regolamento 679/2016 (GDPR) agli artt. 42 43 promuove il rilascio di certificazioni accreditate attestanti la conformità dei trattamenti effettuati da enti titolari e/o responsabili presenti sul mercato
-
Con D.Lgs 101/2018 (adeguamento del precedente Codice Privacy nazionale, D.Lgs 196/2003) è stata istituita la collaborazione tra il Garante Privacy ed Accredia in qualità di Ente nazionale per l’accreditamento
- La certificazione viene rilasciata da OdC (organismi di certificazione) di cui Accredia accerta preventivamente l’imparzialità, la competenza e l’adeguatezza ai sensi del Regolamento (CE) n. 765/2008 e della norma tecnica ISO/IEC 17000:2020.
La richiesta di certificazione dell’ente titolare/responsabile va quindi presentata direttamente agli OdC di competenza (Ricerca OdC accreditati).
È possibile infine avvalorare ulteriormente la certificazione a mezzo del sigillo europeo. Si tratta di uno schema di certificazione a livello comunitario, sviluppato per essere utilizzato in tutti gli Stati membri dell’Unione Europea.
La procedura è già stata definita dal Comitato Europeo per la protezione dei dati (EDPB) valutando l’adattabilità di singoli criteri nazionali alla circolazione dei dati in altri Paesi dell’UE.
Documento del Comitato Europeo per la protezione dei dati sul sigillo europeo