Il sistema delle certificazioni è disciplinato, nel GDPR, agli artt. 42 e 43.
In particolare, l'art. 42 prevede che gli Stati membri dell'UE, le Autorità di controllo, il Comitato europeo per la protezione dei dati e la Commissione incoraggino l'istituzione di appositi meccanismi di certificazione della protezione dei dati, nonché di sigilli e marchi di protezione che consentano di dimostrare che il trattamento dei dati è effettuato in modo conforme al Regolamento.
Questi meccanismi, sigilli, o marchi approvati, oltre ad essere direttamente adottati dai titolari e responsabili del trattamento, possono anche avere la funzione di dimostrare l'adozione di garanzie adeguate da parte di quei titolari o responsabili del trattamento che non rientrano nel campo di applicazione del GDPR, nel caso quindi in cui vi sia un trasferimento di dati personali verso paesi terzi o organizzazioni internazionali.
In questo caso, infatti, i titolari o responsabili del trattamento assumono l'impegno di applicare garanzie adeguate alla protezione dei dati personali, anche per quanto riguarda i diritti degli interessati, attraverso degli strumenti contrattuali o di altro tipo che siano giuridicamente vincolanti.
Per quanto riguarda nello specifico la certificazione, questa avviene su base volontaria ed è accessibile mediante una procedura trasparente. Questa, peraltro, non ha lo scopo o la funzione di diminuire la responsabilità del titolare o del responsabile del trattamento per quanto concerne la conformità del trattamento dei dati al Regolamento, così come lascia impregiudicati i poteri delle competenti Autorità di controllo.
L'art. 42, paragrafo 7 stabilisce poi che la certificazione possa essere rilasciata al titolare o responsabile del trattamento per un periodo massimo di 3 anni. Essa potrà poi essere successivamente rinnovata alle stesse condizioni, purché ovviamente continuino ad essere soddisfatti i requisiti di base. Ugualmente, qualora i presupposti non siano più soddisfatti la certificazione potrà essere revocata.
Come previsto dall'art. 42, par. 8, il Comitato europeo per la protezione dei dati personali dovrà raccogliere in un apposito registro tutti i meccanismi di certificazione, i sigilli e i marchi di protezione dei dati in modo tale da consentire ai titolari di riconoscere le certificazioni ufficiali ed appropriate.
La certificazione rilevante in tal senso, infatti, è solo quella che viene rilasciata dagli appositi organismi di certificazione previsti dall'art. 43 del GDPR o dall'Autorità di controllo competente sulla base di criteri da essa stessa approvati.
Gli organismi che, in base a quanto stabilito nel GDPR, si dovranno occupare della certificazione nella protezione dei dati personali dovranno essere in possesso di un adeguato livello di competenze in materia di protezione dei dati. Questi, in particolare, rilasciano e rinnovano le certificazioni dopo averne informato l'Autorità di controllo, la quale potrà, eventualmente, rivolgere degli avvertimenti al titolare e responsabile del trattamento nel caso in cui sia verosimile che si stia realizzando una violazione delle disposizioni del regolamento.
Questi organismi di certificazione dovranno poi essere accreditati alternativamente:
- dalla competente Autorità di controllo; oppure
- dall'organismo nazionale di accreditamento designato in virtù del regolamento (CE) n. 765/2008 del Parlamento europeo e del Consiglio in conformità alla norma EN-ISO/IEC 17065/2012 e ai requisiti aggiuntivi eventualmente stabiliti dall'autorità di controllo competente.
L'accreditamento dell'organismo di certificazione potrà essere ottenuto solo nel caso in cui:
- Sia stata data all'autorità di controllo competente una sufficiente dimostrazione di indipendenza e di competenza con riferimento al contenuto della certificazione;
- Sia stata data idonea garanzia del rispetto dei requisiti stabiliti dal GDPR e approvati dall'autorità di controllo competente;
- Siano state predisposte delle procedure per il rilascio e per la rivalutazione periodica delle certificazioni, dei sigilli e dei marchi di protezione dei dati;
- Siano state predisposte delle adeguate procedure e strutture al fine di gestire i reclami riguardanti eventuali violazioni della certificazione, o le modalità in cui la certificazione è stata attuata dal titolare del trattamento o dal responsabile del trattamento, in modo tale da renderle il più possibile trasparenti per gli interessati e per il pubblico;
- Sia stato dimostrato alla competente autorità di controllo che i compiti e le funzioni svolte non danno luogo a conflitto di interessi.
Per quanto appaia chiara l'utilità di tali certificazioni, la loro predisposizione non sembra tra i primi obiettivi delle Autorità garanti e dovremo aspettare ancora un po' prima di poter fare affidamento su di esse. Per il momento, in attesa di quelle ufficiali, sarà importante fare attenzione alle più svariate certificazioni che iniziano a circolare e verificare bene se dal ricorso ad esse possa realmente derivare un qualche beneficio per i titolari e per la protezione dei dati oggetto di trattamento.
Puoi trovare tutte le news sul GDPR in questa pagina speciale.
Per ricevere assistenza consulta il sito fclex.it