GDPR e requisiti per l'accreditamento dei certificatori
Il Garante Privacy ha recentemente reso noti i requisiti necessari per l'accreditamento dei certificatori in materia di GDPR (General Data Protection Regulation), la normativa che regola le modalità di trattamento e raccolta dei dati sensibile all'interno dell'Unione Europea. Nel documento viene inoltre indicato in ACCREDIA l'unico ente accreditatore attualmente riconosciuto.
I requisiti comunicati dal Garante sono specifici per il nostro Paese, il Regolamento Europeo stabilisce infatti che l'accreditamento debba avvenire sulla base delle specifiche contenute nella norma tecnica internazionale EN-ISO/IEC 17065:2012 e di ulteriori indicazioni addizionali stabilite dalle Autorità privacy nazionali, tenendo conto di un modello condiviso definito dall'EDPB (European Data Protection Board).
Tra i requisiti su cui il Garante ha deciso di porre maggiore attenzione troviamo l'assenza di conflitti di interesse, un'adeguata formazione delle risorse umane in materia di trattamento dei dati, una gestione ottimale dei reclami eventualmente inviati dai titolari dei dati e verifiche periodiche sui servizi e sui prodotti che vengono certificati.
Gli organismi certificatori dovranno soddisfare criteri di onorabilità, indipendenza e imparzialità, attestando la mancanza di conflitti di interesse con i soggetti che richiedono la certificazione. I certificatori dovranno essere poi dotati di personale qualificato e aggiornato, adottare processi di gestione di eventuali reclami e definire procedure periodiche di sorveglianza su prodotti, processi e servizi che hanno ottenuto la certificazione.
Tra i requisiti specifici individuati dal Garante ve ne sono poi alcuni che riguardano gli accordi di certificazione definiti dagli organismi di certificazione con i clienti, accordi che, ad esempio, dovranno contenere delle clausole che siano in grado di garantire piena trasparenza sull'attività svolta dal titolare o responsabile del trattamento certificato.
