Il Garante della Privacy comunica la pubblicazione del provvedimento che contiene i requisiti aggiuntivi richiesti per l'accreditamento dei certificatori. Accredia, L’ente a cui è affidato il compito dell’accreditamento, dovrà verificare che gli organismi certificatori soddisfino criteri di onorabilità, indipendenza e imparzialità, attestando l'assenza di conflitti di interesse con i soggetti che desiderano certificarsi.

Il Garante privacy comunica che sono stati stabiliti i requisiti aggiuntivi per l'accreditamento dei certificatori.

In particolare i requisiti richiesti sono:

- assenza di conflitti di interesse,

- adeguata formazione delle risorse umane,

- gestione ottimale dei reclami,

- verifiche periodiche sui servizi e sui prodotti certificati.

Ottenuto l'accreditamento, gli organismi di certificazione potranno quindi attestare il rispetto delle norme del Regolamento europeo sulla privacy (Gdpr) da parte di imprese ed enti che trattano dati personali per fornire specifici prodotti o servizi.

E’ il Regolamento europeo a prevedere che il rilascio di certificazioni in materia di protezione dati sia effettuato da organismi accreditati a svolgere tali funzioni.

Il Garante della privacy informa che in Italia, il legislatore ha affidato il compito dell'accreditamento ad Accredia.

L'accreditamento deve avvenire sulla base dei requisiti contenuti nella norma tecnica internazionale EN-ISO/IEC 17065:2012 e di ulteriori requisiti “aggiuntivi” stabiliti dalle Autorità privacy nazionali, sulla base di un modello comune definito dal Comitato europeo per la protezione di dati (Edpb).

Il provvedimento del Garante che contiene questi requisiti aggiuntivi è stato adottato dopo il parere favorevole rilasciato dall'Edpb e stabilisce che Accredia verifichi che gli organismi certificatori soddisfino criteri di onorabilità, indipendenza e imparzialità, attestando l'assenza di conflitti di interesse con i soggetti che desiderano certificarsi.

E’ richiesto inoltre, che i certificatori:

- siano dotati di personale qualificato e costantemente aggiornato,

- adottino adeguati processi di gestione di eventuali reclami;

- effettuino implementazioni periodiche sulle procedure di sorveglianza sui prodotti, processi e servizi certificati.

Ulteriori specifici requisiti individuati dal Garante riguardano gli accordi di certificazione definiti dagli organismi di certificazione con i propri clienti che dovranno, ad esempio, contenere clausole che garantiscano piena trasparenza sull'attività svolta dal titolare o responsabile del trattamento certificato.

La certificazione viene considerata un elemento importante in termini di responsabilizzazione in quanto attesta, attraverso organismi indipendenti, l'impegno a conformarsi al Gdpr da parte dell'impresa o dell'ente che la ottengono contribuendo così ad aumentare la fiducia degli utenti riguardo alla gestione dei loro dati personali. Tuttavia tale certificazione, non esaurisce gli obblighi di osservanza del Gdpr e, in ogni caso, lascia impregiudicati i compiti e i poteri di controllo del Garante.

Fonte: https://www.ipsoa.it/documents/impresa/contratti-dimpresa/quotidiano/2020/09/05/accreditamento-certificatori-stabiliti-requisiti-aggiuntivi