Fissati dal GDPR i requisiti per l’accreditamento degli organismi certificatori

Il GDPR ha aggiornato i requisiti per l’accreditamento di organismi di certificazione. I quali dovranno attestare il rispetto delle norme del Regolamento europeo sulla privacy.

Il Regolamento europeo prevede che l’accreditamento avvenga secondo i criteri stabiliti dalle Autorità privacy dei vari paesi (nel rispetto dei requisiti della norma internazionale EN-ISO/IEC 17065:2012) e sulla base di un modello comune definito dal Comitato europeo per la protezione di dati (Edpb).

In Italia, il legislatore ha affidato il compito dell’accreditamento ad Accredia.

Il provvedimento del Garante stabilisce che Accredia verifichi che gli organismi certificatori soddisfino criteri di:

• onorabilità,
• indipendenza,
• imparzialità,
• assenza di conflitti di interesse con i soggetti che desiderano certificarsi,
• personale qualificato e aggiornato,
• adottino processi di gestione di eventuali reclami,
• periodiche procedure di sorveglianza sui prodotti, processi e servizi certificati,
• la presenza, negli accordi di certificazione dagli organismi di certificazione con i propri clienti, di clausole a garanzia della trasparenza dell’operato svolto dall’organismo.

Il GDPR sottolinea come la certificazione sia sì un elemento importante di impegno nel conformarsi al Gdpr da parte dell’impresa o dell’ente che la ottengono (oltretutto aumentando la fiducia degli utenti) ma, tuttavia, non esaurisce gli obblighi di osservanza dell’Autorità e lascia invariati i compiti e i poteri di controllo del Garante.

Approfondimenti:

• il Garante privacy stabilisce i requisiti aggiuntivi per l’accreditamento dei certificatori
• i requisiti fissati dal Garante