----

GDPR E CERTIFICAZIONE DEI TRATTAMENTI DI DATI

28 Lug 2021

Che cos’è la certificazione a fini privacy? Quali garanzie fornisce l’accreditamento? Chi può rilasciare certificazioni sul trattamento dei dati e chi può richiederle? Un singolo prodotto, come un software per la gestione dei dati dei dipendenti, può essere certificato ai sensi del GDPR?
A queste e ad altre domande rispondono le FAQ pubblicate dal Garante per la protezione dei dati personali e da Accredia, l’ente unico nazionale di accreditamento degli organismi di certificazione (OdC). Queste prime FAQ, dedicate ad aspetti generali e a cui seguiranno altre più specifiche, sono state elaborate nell’ambito di una convenzione finalizzata allo scambio di informazioni riguardanti le attività di certificazione e accreditamento previste dal Regolamento Ue sul trattamento dei dati.
Il documento fornisce chiarimenti utili a tutti i titolari o responsabili del trattamento dei dati, sia del settore imprenditoriale che di quello della pubblica amministrazione, che desiderano ricorrere a una certificazione per dimostrare il loro impegno nel rispettare gli obblighi di protezione dei dati e la conformità dei trattamenti ai requisiti previsti dal GDPR.

Che cos’è la certificazione?
La certificazione è una attestazione rilasciata da una parte terza (organismo di certificazione – OdC) relativa a un oggetto (prodotto, processo, servizio, persona o sistema) sottoposto a valutazione della conformità rispetto a requisiti contenuti in una norma tecnica (standard) o in un disciplinare specifico.
La certificazione si dice “accreditata” quando viene data dimostrazione, da parte dell’ente unico nazionale di accreditamento istituito ai sensi del Regolamento (CE) n. 765/2008, in Italia Accredia, della terzietà, competenza, imparzialità e adeguatezza dell’OdC.

Che cosa è l’accreditamento?
L’accreditamento è una forma indipendente e autorevole di attestazione dell’imparzialità, competenza e adeguatezza degli organismi di valutazione della conformità (organismi di certificazione, ispezione e verifica e laboratori di prova e taratura).
L’attività di accreditamento è disciplinata a livello europeo e internazionale, rispettivamente, dal Regolamento (CE) n. 765/2008 e dalla norma tecnica ISO/IEC 17011, e in Italia è svolta da Accredia, l’ente unico nazionale designato dal Governo.

Quali sono i vantaggi della certificazione?
La certificazione consente all’azienda, all’ente o alla persona che si certifica di dimostrare al mercato, rispettivamente:
a) la capacità di strutturarsi e gestire le proprie risorse e i propri processi produttivi in modo tale da riconoscere e soddisfare i bisogni dei clienti, inclusi quelli relativi al rispetto dei requisiti cogenti, nonché l’impegno a migliorare continuativamente tale capacità (certificazione di sistemi di gestione);
b) la capacità di ottenere e mantenere la conformità dei prodotti realizzati o dei servizi erogati. A tal fine, il marchio della conformità può essere apposto sulla confezione del prodotto o altri supporti afferenti al servizio oggetto della certificazione (certificazione di prodotto, processo o servizio);
c) il possesso, e il mantenimento nel tempo, delle abilità, delle conoscenze e delle competenze (es. autonomia e responsabilità) richieste per lo svolgimento di determinate attività professionali (certificazione di persone). Tale certificazione è uno strumento primario alla base dei processi di costruzione della qualità e motiva il professionista ad acquisire, mantenere e migliorare con continuità, nel tempo, le competenze professionali.

Ottenere la certificazione attraverso un organismo accreditato da Accredia (c.d. certificazione accreditata) permette, inoltre, di:
• esibire sul mercato un’attestazione autorevole, di terza parte, accettata a livello internazionale in virtù degli Accordi di mutuo riconoscimento;
• soddisfare i requisiti di bandi di gara predisposti dalle stazioni appaltanti pubbliche e private;
• svolgere specifiche attività in settori cogenti e regolamentati, gestiti dalla PA attraverso autorizzazioni, abilitazioni e notifiche.

Quali sono i vantaggi della certificazione ai sensi del GDPR?
Il Regolamento prevede e incoraggia l’istituzione di meccanismi di certificazione della protezione dei dati personali allo scopo di dimostrare la conformità, al Regolamento Generale per la Protezione dei Dati Personali (GDPR), dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento.

La certificazione rappresenta uno strumento utile per i titolari e i responsabili del trattamento a dimostrare il rispetto degli obblighi, le garanzie sufficienti e la conformità ai requisiti di protezione dei dati.

Cosa posso certificare in ambito protezione dati?
In base a quanto previsto dal Regolamento Generale per la Protezione dei Dati Personali (GDPR), e alla luce delle linee-guida 1/2018 dell’EDPB (European Data Protection Board) in materia, l’oggetto della certificazione è un trattamento di dati personali. Poiché la definizione di “trattamento” di dati personali è molto ampia, anche l’oggetto della certificazione può variare in misura considerevole e può comprendere una sola operazione di trattamento (es. la conservazione di dati personali) ovvero più operazioni di trattamento (es. raccolta, conservazione, messa a disposizione) svolte dal titolare o dal responsabile del trattamento.

Nella misura in cui uno o più trattamenti configurino un “servizio” o un “prodotto”, la certificazione può avere come oggetto tale servizio o prodotto (es. il servizio di gestione del personale di un’azienda).

Una certificazione ai sensi del GDPR non può, tuttavia, riguardare un singolo prodotto in quanto tale (es. un software per la gestione dei dati dei dipendenti, a prescindere dal suo utilizzo concreto) bensì in quanto parte integrante di un trattamento di dati personali svolto da un titolare o responsabile (es. il trattamento dei dati dei dipendenti svolto dal datore di lavoro in quanto titolare attraverso il suddetto software, che quindi diviene oggetto della certificazione).

È essenziale (vedi linee guida 1/2018 dell’EDPB) che l’oggetto specifico della certificazione richiesta dal singolo titolare o responsabile sia indicato con chiarezza nel certificato rilasciato dall’organismo di certificazione (vedi FAQ n. 5).

Riferimenti normativi: artt. 42(5), 43 GDPR

Chi può richiedere una certificazione ai sensi del GDPR?
Qualsiasi ente o azienda, o comunque soggetto a vario titolo interessato, che operi in qualità di titolare e/o responsabile del trattamento di dati personali può richiedere una certificazione al fine di dimostrare la conformità dei trattamenti (o di parte di questi) ad alcune disposizioni o ad alcuni principi del Regolamento Generale per la Protezione dei Dati Personali (GDPR), o al GDPR nel suo insieme.

I titolari e/o responsabili del trattamento, infatti, possono aderire a meccanismi di certificazione al fine di dimostrare di aver improntato la propria attività ai principi del GDPR, e tale adesione può costituire un valido elemento di responsabilizzazione.

La certificazione ai sensi del GDPR può essere sospesa/revocata e perché?
Qualora si rilevi una non conformità (NC), rispetto ai requisiti di certificazione, come risultato della sorveglianza o per un qualsiasi altro motivo, l’organismo di certificazione (OdC) deve esaminare la NC e decidere le azioni appropriate, che possono consistere nel:

• mantenimento della certificazione sotto condizioni specificate dall’OdC;
• sospensione della certificazione in attesa di azioni correttive da parte dell’organizzazione certificata;
• revoca della certificazione o riduzione del campo di applicazione della certificazione.
Anche il Garante per la Protezione dei Dati Personali (GPDP) ha il potere di ingiungere a un OdC di revocare o non rilasciare una determinata certificazione, qualora non siano o non siano più soddisfatti i relativi requisiti.

Iscrivi alla Newsletter