Garante Privacy. Organismi di certificazione con nuovi requisiti

---

Condividi l'articolo:

---

Con comunicato stampa del 4 settembre 2020, il Garante per la protezione dei dati personali fa sapere della pubblicazione, in “Gazzetta Ufficiale” n. 201 del 12 agosto 2020, del provvedimento n. 148/2020 con il quale vengono fissati i requisiti aggiuntivi per accreditare gli organismi di certificazione.

La previsione è contenuta nella normativa sulla protezione dei dati personali (Regolamento Ue n. 2016/679, Gdpr, come modificato dal Dlgs n. 101 del 10 agosto 2018), che ha individuato in ACCREDIA, quale Ente unico nazionale di accreditamento, quell’organismo nazionale deputato all’accreditamento degli organismi di certificazione secondo quanto previsto nell'articolo 43, par. 1, lettera b), del Regolamento 2016/679.

Secondo il citato Regolamento, l'accreditamento deve avvenire sulla base dei requisiti contenuti nella norma tecnica internazionale EN-ISO/IEC 17065:2012 e di ulteriori requisiti “aggiuntivi” stabiliti dal Garante della Privacy, sulla base di un modello comune definito dal Comitato europeo per la protezione di dati (Edpb).

Il provvedimento del Garante privacy definisce, quindi, gli ulteriori requisiti di onorabilità, indipendenza e imparzialità che ACCREDIA deve verificare in capo agli organismi di certificazione, che a loro volta sono deputati a rilasciare ad aziende ed enti gli attestati di conformità rispetto alle normativa sulla protezione dei dati personali per fornire specifici prodotti o servizi.

Quindi, per l’accreditamento dei certificatori, ACCREDIA deve appurare che questi ultimi soddisfino criteri di onorabilità, indipendenza e imparzialità, attestando l'assenza di conflitti di interesse con i soggetti che desiderano certificarsi.

In particolare, i requisiti aggiuntivi richiesti per l'accreditamento dei certificatori, oltre all’assenza di conflitti di interesse sono:

• l’adeguata formazione delle risorse umane;

• la gestione ottimale dei reclami;

• le verifiche periodiche sui servizi e sui prodotti certificati.

Inoltre, i certificatori dovranno essere dotati di personale qualificato e costantemente aggiornato, dovranno adottare adeguati processi di gestione di eventuali reclami e implementare periodiche procedure di sorveglianza sui prodotti, processi e servizi certificati.

Infine, gli accordi di certificazione tra organismi e loro clienti dovranno garantire la piena trasparenza sull'attività svolta dall'impresa/ente certificati.

Tuttavia, ricorda l’Autorità che la certificazione non esaurisce gli obblighi di osservanza del Gdpr e, in ogni caso, lascia impregiudicati i compiti e i poteri di controllo del Garante.