• Home
  • News
  • Concluso lo studio sui meccanismi di certificazione per la protezione dei dati

Concluso lo studio sui meccanismi di certificazione per la protezione dei dati

  • Venerdì, 05 Aprile 2019
Concluso lo studio sui meccanismi di certificazione per la protezione dei dati

di Mario Montano, avvocato - contributor Studio Legale Lisi


È giunto alla conclusione lo studio condotto in seno alla Commissione europea sui meccanismi di certificazione della protezione dei dati (artt. 42 e 43 Reg. UE 2016/679 – GDPR). Il documento, con i relativi allegati, chiarisce i termini degli articoli 42 e 43 GDPR e fornisce una mappa degli schemi di certificazione per la protezione dei dati esistenti negli Stati membri dell’UE e dei relativi standard tecnici, al fine di individuare i criteri per le certificazioni ed i requisiti per i meccanismi di certificazione.

Il GDPR prevede che gli Stati membri, le autorità di controllo, il Comitato europeo per la protezione dei dati e la Commissione europea incoraggino l’istituzione di meccanismi di certificazione della protezione dei dati[1]. Scopo della norma è permettere ai titolari e ai responsabili del trattamento di dimostrare la conformità al GDPR dei trattamenti effettuati, il tutto su base volontaria e mediante una procedura trasparente[2].

Oggetto della certificazione può essere una o più delle operazioni di trattamento dei dati personali condotte dai titolari o dai responsabili. Può esserci il caso, ad esempio, dell’impresa che voglia dimostrare di conservare i dati sanitari in modo sicuro o di quella interessata a dimostrare che l’attività di raccolta, utilizzo e cancellazione dei dati riferiti ai propri dipendenti sia svolta in conformità all’art. 24 del Regolamento.

La certificazione, quindi, garantirebbe una maggiore trasparenza agli interessati ma anche nei rapporti B2B, tra titolari e responsabili[3]. La certificazione è rilasciata dagli organismi di certificazione (in Italia Accredia), sulla base della norma di accreditamento UNI CEI EN ISO/IEC 17065:2012 o dall’Autorità di controllo (Il Garante privacy per l’Italia), sulla base dei requisiti fissati dalla stessa Autorità di controllo competente o dal Comitato europeo per la protezione dei dati personali[4].

Abilitati a verificare la conformità ai requisiti necessari per il conseguimento della certificazione in materia di protezione dei dati personali sono tutti quegli organismi accreditati presso l’organismo nazionale di accreditamento o l’Autorità di controllo competente. È necessario che tali organismi di certificazione dimostrino una serie di requisiti elencati dall’art. 43, par. 2, GDPR, fra i quali l’indipendenza e competenza rispetto al contenuto della certificazione e la predisposizione di procedure per il rilascio, il riesame periodico e la revoca delle certificazioni, dei sigilli e dei marchi di protezione dei dati.

La certificazione può avere una durata massima di tre anni, durante i quali chi l’ha rilasciata, può effettuare controlli sul rispetto dei requisiti e delle procedure previste dagli schemi di certificazione ed in caso di violazione può procedere con la revoca della certificazione[5]. È infine prevista una certificazione collettiva (il sigillo europeo per la protezione dei dati), basata su criteri stabiliti dal Comitato europeo per la protezione dei dati.

Il GDPR chiarisce come la certificazione non riduca la responsabilità del titolare o del responsabile del trattamento riguardo alla conformità al Regolamento[6]. In altre parole, i soggetti che hanno ottenuto la certificazione non sono esonerati dal rispetto del principio di accountability di cui all’art.5, par.2, GDPR: devono in ogni caso garantire la conformità del trattamento al regolamento. Le Autorità di controllo, tuttavia, tengono conto dell’adesione ad un meccanismo di certificazione nella quantificazione delle sanzioni amministrative pecuniarie da infliggere in relazione alle violazioni del regolamento[7].

Alla fine di marzo è stata siglata un’importante convenzione fra il Garante privacy e Accredia, in materia di accreditamento e certificazione ai sensi degli artt. 42 e 43 GDPR. Dal 2014 è disponibile lo schema internazionale di certificazione ISDP©10003, autorizzato da Accredia e di proprietà di InVeo, ripreso anche dallo studio della Commissione europea.

Si segnalano infine le linee guida redatte dal Comitato europeo per la protezione dei dati che contengono importanti chiarimenti sui requisiti e i criteri rilevanti per l’elaborazione dei meccanismi di certificazione.


[1] Art. 42, par. 1, GDPR.

[2] Art. 42, par. 3, GDPR.

[3] Cfr. Considerando 100, GDPR.

[4] Art. 42, par. 5, GDPR.

[5] Art. 42, par. 7, GDPR.

[6] Art. 42, par. 4, GDPR.

[7] Art. 83, par. 2, lett. j), GDPR.


D&L Communication è segreteria organizzativa delle Associazioni:

CONTATTI

D&L Department - Studio Legale Lisi
Via M. Stampacchia, 21 - 73100 LECCE - Tel e fax: +39.0832.25.60.65 

segreteria@studiolegalelisi.it 

Digital & Law Department S.r.l.
Via M. Stampacchia, 21 - 73100 LECCE - Tel e fax: +39.0832.25.60.65

P.IVA: 04372810756 - info@digitalaw.it - digitalaw@pec.it 

Studio Legale Lisi
Via V. M. Stampacchia, 21 - Piano Terra - 73100 Lecce - Tel /Fax: +39.0832.24.48.02 

info@studiolegalelisi.it 

Segreteria di Milano
Piazza IV Novembre, 4 - 20124 - Milano - Tel 02.671658188 Fax 02.67165266

Domicilio a Roma