Il Garante per la protezione dei dati personali con Provvedimento n.148 del 29 luglio 2020 ha stabilito i requisiti di accreditamento per i certificatori GDPR in linea con quanto previsto dell’art. 43 del GDPR. Si ricorda infatti come il GDPR abbia espressamente previsto la possibilità per tutti i soggetti privati e pubblici di ottenere una certificazione per comprovare la conformità alla vigente normativa europea anche attraverso l’apposizione di sigilli o marchi.
Inoltre, si ricorda come l’adeguamento della normativa italiana al GDPR attraverso il codice privacy novellato abbia individuato l’ente Accredia quale unico organismo nazionale deputato all’accreditamento degli organismi di certificazione (OdC). Lo stesso ente ha sottoscritto nel marzo 2019 con l’Autorità Garante una convenzione volta ad agevolare lo scambio di informazioni sulle attività di accreditamento.
Così, il Provvedimento n. 148 emanato dal Garante ha lo scopo di individuare i requisiti che gli organismi di certificazione dovranno dimostrare di possedere per essere accreditati da Accredia e svolgere così le attività di certificazione nel contesto nazionale ed europeo. In via principale, gli OdC dovranno soddisfare i requisiti previsti dalla norma ISO/IEC 17065/2012, che stabilisce, per l’appunto, gli elementi fondamentali che un organismo di certificazione deve possedere al fine di agire nell’ambito delle attività di certificazione in modo competente, coerente e imparziale. Nel dettaglio, gli OdC dovranno essere in grado di dimostrare in qualsiasi momento ad Accredia di disporre di procedure aggiornate atte a comprovare la conformità alle responsabilità giuridiche fissate nei termini di accreditamento, compresi i requisiti aggiuntivi con riguardo all’applicazione del GDPR.
All’interno del provvedimento del Garante troviamo così vari spunti di interesse utili per le società intenzionate a essere accreditate quali certificatori privacy. Tra tutti troviamo sicuramente l’elemento di indipendenza che un ente dovrà dimostrare di possedere ad Accredia, attraverso ad esempio l’assenza di qualsiasi tipo di rapporto contrattuale o collegamento rilevante con il cliente oggetto di certificazione e l’assenza di procedure concorsuali o fallimentari in corso.
In aggiunta, l’OdC dovrà essere in grado di dimostrare stringenti elementi di competenza tecnica in capo al proprio personale che avrà il compito di valutare la conformità al GDPR delle aziende; il Garante individua infatti dei requisiti stringenti affinché il personale dell’OdC possa considerarsi come un profilo adeguato alle attività di certificazione, suddividendo le figure professionali in quattro categorie sulla base della UNI 11697:2017: responsabile protezione dati, manager privacy, specialista privacy e valutatore privacy. Queste quattro figure professionali sono individuate sulla base di tre elementi principali, ovvero il titolo di studio, l’esperienza lavorativa e il livello di formazione privacy ottenuto dal profilo professionale.
In conclusione, il Provvedimento emanato dal Garante sarà sicuramente un ulteriore spinta per i soggetti pubblici e privati ad ottenere tale tipo di certificazione al fine di aumentare la propria reputazione sul mercato anche a livello privacy.