Organismi di certificazione e accreditamento: il gruppo articolo 29 pubblica una bozza di linee guida sulla procedura di...
Il Gruppo di lavoro ex art. 29 (“WP29”) ha adottato il 6 febbraio 2018 delle bozze di linee guida sulla procedura di accreditamento degli organismi di certificazione ai sensi dell’articolo 43 del Regolamento UE n. 679/2016 (cd. “GDPR”).
Nel documento in esame, il WP29 ha ricordato che il GDPR prevede e incoraggia l’istituzione di meccanismi per la certificazione della protezione dei dati personali, nonché di sigilli e marchi, allo scopo di dimostrare la conformità dei trattamenti effettuati dai titolari e dai responsabili del trattamento. I soggetti legittimati al rilascio della certificazione sono l’Autorità di controllo competente (in Italia, il Garante per la protezione dei dati personali) oppure gli organismi di certificazione.
Tali organismi, in base all’art. 43, comma 1 del GDPR, possono essere accreditati dall’Autorità o dall’Organismo nazionale di accreditamento o da entrambi, secondo i requisiti previsti dalla norma UNI CEI EN ISO/IEC 17065:2012 (tale norma contiene requisiti per la competenza, il funzionamento coerente e l’imparzialità degli organismi di certificazione di prodotti, processi e servizi) integrata da requisiti aggiuntivi che devono essere stabiliti dall’Autorità di controllo competente.
Il WP29 osserva che tali requisiti devono essere completati da ulteriori criteri, per la valutazione della competenza degli organismi di certificazione in materia di protezione dei dati personali e la loro capacità di rispettare i diritti e le libertà delle persone fisiche in relazione al trattamento di tali dati.
Il WP29 precisa che la competenza specifica in materia di protezione dei dati debba essere richiesta anche ad eventuali organismi esterni, quali laboratori o revisori, che svolgano parti o componenti di attività di certificazione per conto di un organismo di certificazione accreditato.
Il WP29 ha sottolineato, inoltre, che l’Autorità di controllo, assommando in sé sia il potere di accreditare gli organismi di certificazione che di rilasciare certificazioni, oltre a quello di fornire consulenza al titolare del trattamento ed effettuare il riesame delle certificazioni, debba adottare delle appropriate misure organizzative al fine di mantenere separato l’esercizio dei propri compiti e adottare precauzioni al fine di evitare conflitti d’interesse che possano sorgere dall’esercizio di tali compiti.