L'analisi

Certificatori GDPR, il Garante Privacy detta i requisiti: ecco tutte le regole

Indipendenza, capacità di gestione, disponibilità: le indicazioni fornite dal Garante della privacy per i certificatori GDPR toccano numerosi aspetti dell’organizzazione del lavoro e della normativa. Vediamo nel dettaglio quali sono i requisiti necessari per affrontare il compito

04 Set 2020
C
Marina Rita Carbone

Consulente privacy

Il Garante della privacy ha dettato le indicazioni necessarie ai certificatori GDPR per svolgere il compito. Infatti, con il decreto legislativo 196/03, in applicazione dei principi dettati dal regolamento, è stato affidato ad Accredia il compito di provvedere all’accreditamento degli organismi che, in Italia, saranno deputati a rilasciare certificazioni attestanti la conformità alla normativa europea sulla data protection da parte delle imprese e degli enti che trattano dati personali al fine di fornire determinati beni o servizi. Analizziamo, nel seguito, le ultime novità relative ai requisiti richiesti a tali organismi.

Certificatori, le regole del GDPR

Ai sensi dell’art. 43 GDPR, gli organismi di certificazione sono gli unici soggetti cui può demandarsi il compito di rilasciare certificazioni. Gli stessi dovranno essere in possesso di un livello “adeguato di competenze riguardo alla protezione dei dati”. Ma come può interpretarsi tale competenza? In aiuto viene, in primis, il paragrafo 2 della medesima norma, il quale afferma che “sono accreditati in conformità di tale paragrafo solo se:

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati
  • hanno dimostrato in modo convincente all’autorità di controllo competente di essere indipendenti e competenti riguardo al contenuto della certificazione;
  • si sono impegnati a rispettare i criteri di cui all’articolo 42, paragrafo 5 (n.d.a. dettati dall’autorità di controllo o da Edpb, il Comitato europeo per la protezione dei dati), e approvati dall’autorità di controllo competente ai sensi degli articoli 55 o 56 o dal comitato, ai sensi dell’articolo 63;
  • hanno istituito procedure per il rilascio, il riesame periodico e il ritiro delle certificazioni, dei sigilli e dei marchi di protezione dei dati;
  • hanno istituito procedure e strutture atte a gestire i reclami relativi a violazioni della certificazione o il modo in cui la certificazione è stata o è attuata dal titolare del trattamento o dal responsabile del trattamento e a rendere dette procedure e strutture trasparenti per gli interessati e il pubblico; e
  • hanno dimostrato in modo convincente all’autorità di controllo competente che i compiti e le funzioni da loro svolti non danno adito a conflitto di interessi”.

Da quanto sinora esposto, quindi, emerge che i principali criteri richiesti all’organismo siano così riassumibili:

  • indipendenza;
  • possesso delle conoscenze in merito al contenuto della certificazione, ossia in materia di trattamenti dei dati personali;
  • rispetto di eventuali criteri aggiuntivi dettati dalle Autorità nazionali ed europee;
  • organizzazione interna ed esterna per la gestione delle richieste e per l’esame delle stesse;
  • possesso di adeguate procedure di gestione dei reclami;
  • trasparenza nei confronti dei richiedenti e dei terzi;
  • assenza di conflitto di interessi.

Il GDPR fa altresì espressa menzione, quale norma di riferimento per la enucleazione di eventuali criteri aggiuntivi da parte delle Autorità Nazionali, alla norma EN-ISO/IEC 17065/2012, avente ad oggetto proprio i requisiti che un organismo di certificazione, indipendentemente dal settore in cui opera, deve soddisfare per dimostrare di operare in modo “competente, coerente e imparziale”.

Il provvedimento del Garante

Proprio alla norma ISO/IEC 17065/2012 ha fatto riferimento il Garante Italiano per la protezione dei dati personali nel provvedimento n. 148 del 29 luglio 2020, tramite il quale detta i requisiti di accreditamento “aggiuntivi” richiesti ai soggetti che desiderino ottenere la qualifica di organismo di certificazione da parte della società convenzionata Accredia, individuata quale Ente unico nazionale di accreditamento. Il contenuto del provvedimento fa propri anche i principi dettati dal Comitato europeo nelle Linee Guida aventi ad oggetto proprio l’analisi degli artt. 42 e 43 e i requisiti richiesti agli OdC (rispettivamente, Guidelines 4/2018 on the accreditation of certification bodies under Article 43 of the General Data Protection Regulation (2016/679) e Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation).

Non solo: l’avvenuto ottenimento, da parte del Garante, dell’approvazione del Comitato, consentirà agli OdC di emanare certificazioni “europee”, ai sensi di quanto stabilito espressamente dall’art. 42 paragrafo 5 GDPR, nel quale si introduce per la prima volta il concetto di “sigillo europeo per la protezione dei dati”. Il provvedimento si snoda secondo numerose aree operative, che ricalcano quanto enunciato, in linea di principio, dal GDPR:

  • Aspetti generali (con particolare riferimento agli aspetti giuridici e contrattuali e ai requisiti di indipendenza e imparzialità);
  • Requisiti strutturali;
  • Requisiti per le risorse umane;
  • Requisiti di processo;
  • Requisiti del sistema di gestione;
  • Ulteriori requisiti aggiuntivi.

Negli allegati si elencano, inoltre, i requisiti per l’accesso ai profili professionali che andranno a comporre l’Organismo di certificazione: Responsabile protezione dati (RPD o DPO), Manager Privacy, Specialista privacy, Valutatore Privacy. Nel seguito una sintesi dei principali requisiti “aggiuntivi” richiesti dal Garante:

  • La capacità di dimostrare il possesso di procedure e misure conformi al Regolamento finalizzate al controllo e alla gestione dei dati personali dallo stesso trattati, con eventuale designazione di un RPD;
  • La redazione di accordi di certificazione che non solo siano pienamente conformi al contenuto della ISO/IEC 17065/2012 ma che impongano al cliente di rispettare i principi di collaborazione, trasparenza e diligenza propri della normativa in tema di certificazione;
  • La capacità di fornire chiara e specifica prova della propria indipendenza, in particolare per quanto riguarda le modalità di finanziamento dell’organismo, ove tale fattore possa incidere sulla sua imparzialità: tale requisito può essere assolto tramite produzione di statuto e atto costitutivo; policies di composizione, nomina, remunerazione e durata del mandato dei componenti dell’odc aventi capacità decisionale in merito alle attività di certificazione; documenti comprovanti i rapporti commerciali, finanziari, contrattuali o di altro genere che intercorrono con i clienti;
  • L’assenza di conflitti di interesse, anch’essa da provare da parte dell’organismo richiedente (per tale requisito il Garante fa espresso riferimento alla Guida EA-2/20 Consultancy, and the Independence of Conformity Assessment Bodies, consultabile al sito https://european-accreditation.org/wp-content/uploads/2020/04/EA-2-20_Consultancy_rev00_April-2020.pdf);
  • L’assenza di collegamenti rilevanti con il cliente che provvede a valutare;
  • L’assenza di procedure concorsuali o fallimentari pendenti e la regolarità contributiva nei confronti degli enti previdenziali e delle Autorità Tributari;
  • Il mantenimento della riservatezza su ogni informazione raccolta o utilizzata nel corso delle attività di valutazione e rilascio della certificazione;
  • La pubblicazione delle informazioni sulle procedure di certificazione e di gestione dei reclami e ricorsi;
  • Il possesso, da parte del personale dell’OdC, di stringenti requisiti di competenza, onorabilità, conoscenza, esperienza, formazione, sia in ambito tecnico che giuridico (con rimando anche ai requisiti di cui al citato Allegato 1)
  • L’accurata descrizione, nella domanda predisposta, dell’oggetto e di eventuali situazioni di contitolarità del trattamento e/o il ricorso a responsabili del trattamento;
  • L’istituzione di metodi di valutazioni vincolanti con riguardo all’oggetto della valutazione, che tengano conto delle competenze tecniche e di quelle giuridiche;
  • L’istituzione di processi di certificazione standardizzati che valutino: la necessità e la proporzionalità del trattamento rispetto al loro scopo e agli interessati, la valutazione dei rischi presi in considerazione dal titolare del trattamento e dal suo responsabile del trattamento, ove presente; la valutazione delle misure di sicurezza adottate in relazione ai summenzionati rischi; il possesso di adeguata documentazione che comprovi quali metodi siano stati utilizzati dal cliente e le relative risultanze;
  • La previsione di adeguate procedure di riesame periodico, monitoraggio e revoca delle certificazioni;
  • La verifica, con il cliente, della pendenza di eventuali procedimenti dinanzi al Garante;
  • La costante disponibilità, nei confronti del proprio personale e del pubblico, di informazioni in merito ai prodotti, ai processi ed ai servizi certificati;
  • L’adeguamento delle procedure di certificazione alle eventuali modifiche normative e l’aggiornamento dei relativi metodi di valutazione;
  • La definizione di adeguate procedure di gestione dei reclami, con specifica definizione dei soggetti che possono presentarli, dei soggetti che si occupano di trattare tali reclami, delle verifiche effettuate, dei diritti garantiti agli interessati, dei relativi termini e comunicazione;
  • La pubblicazione delle certificazioni rilasciate e dei meccanismi e schemi di certificazione adottati, oltre che del quadro di riferimento e delle condizioni cui la certificazione è subordinata;
  • La trasparenza e la verificabilità dell’attuazione dei requisiti di accreditamento da parte dell’OdC, nonché la conformità permanente agli stessi;
  • La formazione del proprio personale;
  • L’istituzione di procedure adeguate per consentire di comunicare in modo semplice con il cliente, sia per richieste di informazione, sia per la comunicazione di eventuali reclami o di decisioni dell’Autorità Garante.

Conclusioni

L’avvenuta definitiva enunciazione dei criteri di accreditamento degli OdC rappresenta una svolta per tutti i titolari del trattamento e per i loro responsabili, in quanto l’ottenimento delle relative certificazioni potrà rappresentare, al pari di quanto già avviene in altri settori, un ulteriore elemento di fiducia sul mercato, specialmente nei settori fortemente caratterizzati dal trattamento dei dati personali dei propri utenti (ad esempio: società operanti nel settore dell’e-commerce).

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr