Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

Meccanismi del regolamento

Certificazioni GDPR, pronto lo studio della Commissione Europea

La Commissione Europea ha pubblicato lo studio sui meccanismi delle certificazioni GDPR, un documento che sottolinea l’importanza delle certificazioni dei trattamenti per il regolamento europeo. Focus sugli articoli 42 e 43, ma anche sui criteri e sui processi di certificazione

12 Apr 2019
P

Nicoletta Pisanu


Un documento che sottolinea l’importanza delle certificazioni alla luce del GDPR: tale è lo studio pubblicato dalla Commissione Europea per delineare i meccanismi di questi atti volontari, ma strategici. Il GDPR raccomanda infatti la certificazione dei trattamenti, agli articoli 42 e 43.

Da sottolineare questo aspetto, cioè che a essere certificati sono i trattamenti, non le aziende che li propongono, le quali però possono avere vantaggi dal certificare un proprio trattamento, come una garanzia.

L’importanza delle certificazioni nel GDPR

Il lavoro era attesissimo, da più di un anno: la Commissione aveva annunciato di voler approfondire la tematica delle certificazioni già nel 2018. Fulcro del documento, gli articolo 42 e 43 del GDPR. Il regolamento europeo spinge per l’istituzione di meccanismi per la certificazione della protezione dei dati personali, con l’obiettivo di accertare la conformità dei trattamenti da parte dei titolari e dei responsabili.

Lo studio della Commissione ha l’obiettivo di normare la tecnica delle certificazioni in materia di protezione dei dati, oltre a spiegare quali sono i requisiti per l’accreditamento degli enti di certificazione, le norme per i sigilli e le garanzie per trasferire i dati.

“Il valore di questo studio a livello nazionale non è particolarmente significativo, ma il documento dimostra l’importanza che hanno le certificazioni nel GDPR“, ha precisato a Cybersecurity360.it Francesco Pizzetti, professore di Diritto costituzionale all’Università di Torino. L’esperto ha ricordato che le certificazioni sono “volontarie, non obbligatorie, e riguardano i trattamenti, non i titolari”.

I capitoli dello studio della Commissione

Il lavoro della Commissione è suddivisa in nove capitoli oltre quello introduttivo:

  • Capitolo 2: analizza i meccanismi di certificazione alla luce degli articoli 42 e 43 del GDPR;
  • Capitolo 3: fotografa la situazione attuale delle certificazioni in materia di privacy e sicurezza dell’informazione;
  • Capitolo 4: criteri e processi di certificazione;
  • Capitolo 5: l’accreditamento, in particolare i requisiti di accreditamento per gli organismi di certificazione che forniscono servizi in linea con i meccanismi di certificazione GDPR. Sul tema, per presentare i dati nello studio, sono stati sentiti gli organismi nazionali di accreditamento e anche le autorità di vigilanza;
  • Capitolo 6: approfondimento sulle norme tecniche per la conformità al GDPR, con i dati raccolti in un’indagine tra mondo dell’industria e organismi di certificazione;
  • Capitolo 7: approfondimento sui meccanismi per promuovere e riconoscere le certificazioni sulla protezione dei dati;
  • Capitolo 8 – 9: l’analisi approfondita dei messianismi di certificazione presentati come base normativa per il trasferimento dei dati;
  • Capitolo 10: conclusioni.

La convenzione tra Accredia e il Garante

Da settembre 2018, con il codice novellato, Accredia è stato individuato come organismo nazionale di accreditamento. Il Garante della privacy a marzo 2019 ha firmato una convenzione con l’ente proprio sulle attività di accreditamento in relazione al GDPR. La convenzione prevede il confronto sulle reciproche competenze e favorisce il lavoro in sinergia tra i due enti.

In seguito alla convenzione, Accredia avrà il compito “di attestare in base alla norma di accreditamento UNI CEI EN ISO/IEC 17065:2012, integrata da requisiti aggiuntivi che saranno individuati dal Garante sulla base delle linee guida comuni elaborate in seno al Comitato europeo per la protezione dei dati, la competenza  e l’adeguatezza degli Organismi che ne faranno richiesta per certificare con maggiori garanzie i servizi di tutela della privacy”, si legge in una nota ufficiale del Garante della privacy.

L’accordo prevede che Accredia comunichi al Garante:

  • gli accreditamenti rilasciati;
  • i ricorsi degli organismi accreditati;
  • scadenze delle certificazioni;
  • sanzioni;
  • elenco delle certificazioni.

D’altro canto, il Garante comunicherà ad Accredia gli aggiornamenti sulla normativa, eventuali problemi che possono sorgere da reclami, novità sugli schemi di certificazione anche a livello europeo.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5