L’articolo 42 del Regolamento n. 679/2016 incoraggia l’istituzione di meccanismi di certificazione per la protezione dei dati personali nonché di sigilli e marchi di protezione dei dati al fine di dimostrare la conformità al Regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento.
Il successivo articolo 43 stabilisce che gli organismi di certificazione siano accreditati dall’Autorità di controllo competente, dall’organismo di accreditamento nazionale o da entrambi.
Attraverso l’accreditamento, titolari e responsabili del trattamento possono dimostrare la conformità al Regolamento n. 679/2016 mediante un’attestazione rilasciata da un ente terzo e indipendente.
Recentemente, su tale argomento, sul sito del Garante per la protezione dei dati personali è stato pubblicato un utile vademecum nella forma di risposte alle FAQ più frequenti redatto dal Garante in collaborazione con Accredia, l’ente unico nazionale di accreditamento degli organismi di certificazione (OdC). Il documento offre spiegazioni utili ai titolari o responsabili del trattamento dei dati, che operano sia in ambito pubblico che privato e che hanno interesse a fare riferimento ad una certificazione per provare la conformità dei trattamenti da essi compiuti in relazione ai requisiti previsti dal GDPR e il rispetto dei principi in materia di trattamento dati personali.
Prima di entrare nel merito dell’iter di certificazione, occorre chiarire che certificazione e accreditamento sono due cose ben distinte e questo viene anche precisato nella prima FAQ sul tema della certificazione pubblicata sul sito del Garante.
Certificarsi, infatti, significa ricevere una attestazione da parte di un soggetto terzo (organismo di certificazione - OdC) su un elemento che può essere un prodotto, un processo, un servizio, rispetto al quale viene verificata la conformità in relazione ai requisiti indicati in una norma o in un disciplinare tecnico.
L’accreditamento viene compiuto da parte dell’ente unico nazionale di accreditamento istituito ai sensi del Regolamento (CE) n. 765/2008 - in Italia Accredia - il quale attesta la terzietà, competenza, imparzialità e adeguatezza dell’OdC sulla certificazione.
I soggetti coinvolti nel processo di certificazione in ambito GDPR sono:
- chi richiede la certificazione che può essere un soggetto pubblico o privato;
- l’organismo di certificazione (OdC) accreditato che rilascia i certificati con riferimento alle verifiche e controlla che i certificati siano correttamente gestiti;
- l’ente di accreditamento, il quale periodicamente controlla che i requisiti richiesti per mantenere la certificazione siano mantenuti.
Il Regolamento Generale per la Protezione dei Dati Personali (GDPR) richiede che l’OdC debba essere accreditato dall’autorità di controllo competente (per noi il Garante per la protezione dei dati personali) o dall’ente nazionale di accreditamento designato, in base al Regolamento (CE) n. 765/2008 o da entrambi.
In Italia è Accredia l’ente che si occupa di accreditare gli Organismi di Certificazione che possono rilasciare le certificazioni in ambito GDPR e opera quale ente unico nazionale di accreditamento istituito ai sensi del Regolamento (CE) n. 765/2008, sebbene anche il Garante per la Protezione dei Dati Personali (GPDP) possa svolgere direttamente tali funzioni rispetto ad una o più categorie di trattamenti.
La certificazione, ai sensi del GDPR, deve essere rilasciata sulla base di schemi di certificazione che sono approvati dall’autorità di controllo competente.
Secondo quanto disposto dal Regolamento Generale per la Protezione dei Dati Personali (GDPR) e con riferimento alle linee-guida 1/2018 dello EDPB (European Data Protection Board) sull’argomento, ciò che può essere certificato è un trattamento di dati personali; questo significa che un titolare o un responsabile del trattamento può certificare, ad esempio, solo la raccolta del dato, piuttosto che la conservazione, la profilazione o diverse attività di trattamento insieme combinate.
Non è possibile, tuttavia, come chiarito dal Garante nelle sue FAQ, certificare un singolo prodotto in quanto tale, ma è possibile certificare un prodotto solo se lo stesso è parte di un trattamento di dati personali compiuto da un titolare o responsabile (così ad esempio non si può chiedere di certificare un’applicazione per la gestione del servizio di email marketing, ma è possibile certificare il trattamento dei dati dei clienti compiuto da un’agenzia di marketing, in quanto responsabile del trattamento, mediante il software usato dai suoi clienti).
Occorre, dunque, fare molta attenzione sull’oggetto della certificazione che deve essere indicato con esattezza nel certificato rilasciato dall’organismo di certificazione, come è stato anche precisato nelle linee guida 1/2018 dello EDPB.
Cosa è un sigillo europeo in ambito dati personali
Di sigillo europeo per la protezione dei dati parla l’articolo 42 del Regolamento UE n. 679/2016 e per esso si intende uno schema di certificazione valido in tutti gli Stati membri dell’Unione Europea.
Il 28 gennaio 2020, il Comitato europeo per la protezione dei dati personali (EDPB) ha pubblicato i criteri di certificazione riferiti ad una certificazione comune valida a livello europeo, stabilendo che i titolari di schemi di certificazione (che possono essere organizzazioni o imprese private non preposte al rilascio di certificazioni) o gli organismi di certificazione possono presentare allo EDPB formalmente criteri di certificazione validi nell’intera UE, nell’ordine:
- all'autorità di controllo competente per il luogo ove si colloca la sede principale del titolare dello schema;
- all'autorità di controllo competente per il luogo ove si colloca la sede principale dell'organismo di certificazione che gestisce lo schema di certificazione, tenuto conto dello Stato membro in cui è presumibile che sia rilasciato il maggior numero di certificazioni.
Anche le autorità di controllo (per noi, il Garante per la protezione dei dati personali) possono elaborare autonomamente criteri di certificazione validi nell’intera UE.
In merito, il nostro Garante ha predisposto il provvedimento n. 148 del 20 luglio 2020 in cui ha indicato i Requisiti di accreditamento "aggiuntivi" dell’Autorità di controllo italiana con
riguardo alla norma ISO/IEC 17065:2012 e in conformità dell'articolo 43, paragrafi 1, lettera b) e 3, del Regolamento Generale sulla Protezione dei Dati. Tali requisiti aggiuntivi, che in larga parte riprendono quelli di cui alla norma ISO/IEC 17065/2012, se soddisfatti dall’Organismo di Certificazione, possono ritenersi validi a livello europeo ai fini dell’utilizzo di un sigillo europeo per la protezione dei dati personali.
Ad ogni modo, l’OdC, prima di cominciare a utilizzare in un nuovo Stato membro, attraverso una sede distaccata, un sigillo europeo di protezione dei dati che deve essere stato precedentemente approvato da Accredia, è tenuto ad informare le autorità di
controllo dello Stato membro interessato.