Il Garante per la protezione dei dati personali e Accredia, l’ente unico nazionale di accreditamento degli organismi di certificazione (OdC), hanno reso disponibili le prime FAQ per i titolari o responsabili del trattamento dei dati personali che desiderano ricorrere a una certificazione per dimostrare il loro impegno nel rispettare gli obblighi di protezione dei dati e la conformità dei trattamenti ai requisiti previsti dal GDPR.

Tra i vantaggi della certificazione sono sicuramente da annoverare la capacità, da parte del soggetto certificato, di soddisfare i requisiti di bandi di gara predisposti dalle stazioni appaltanti pubbliche e private, nonché quella di svolgere specifiche attività in settori cogenti e regolamentati gestiti dalla PA attraverso autorizzazioni, abilitazioni e notifiche.

La FAQ chiariscono, innanzitutto, che la certificazione è una attestazione rilasciata da una parte terza (organismo di certificazione - OdC) relativa a un oggetto (prodotto, processo, servizio, persona o sistema) sottoposto a valutazione della conformità rispetto a requisiti contenuti in una norma tecnica (standard) o in un disciplinare specifico. La certificazione si dice accreditata quando viene data dimostrazione, da parte dell’ente unico nazionale di accreditamento, della terzietà, competenza, imparzialità e adeguatezza dell’OdC.

I soggetti coinvolti sono quindi tre: l’azienda/l’ente che richiede la certificazione; l’organismo di certificazione (OdC) accreditato che rilascia i certificati sulla base dei risultati di verifiche e vigila sulla corretta gestione dei certificati (al momento il GPDP non rilascia certificazioni); l’ente di accreditamento che accredita gli enti di certificazione (in Italia, Accredia).

In base a quanto previsto dal Regolamento Generale per la Protezione dei Dati Personali e alla luce delle linee-guida 1/2018 dell’EDPB (European Data Protection Board) in materia, l’oggetto della certificazione è un trattamento di dati personali. L’oggetto della certificazione può comprendere una sola operazione di trattamento (es. la conservazione di dati personali) ovvero più operazioni di trattamento (es. raccolta, conservazione, messa a disposizione) svolte dal titolare o dal responsabile del trattamento. Nella misura in cui uno o più trattamenti configurino un “servizio” o un “prodotto”, la certificazione può avere come oggetto tale servizio o prodotto (es. il servizio di gestione del personale di un’azienda). Una certificazione ai sensi del GDPR non può, tuttavia, riguardare un singolo prodotto in quanto tale (es. un software per la gestione dei dati dei dipendenti, a prescindere dal suo utilizzo concreto) bensì in quanto parte integrante di un trattamento di dati personali svolto da un titolare o responsabile.

Una FAQ riguarda specificamente il sigillo europeo per la protezione dei dati, che viene definito come uno schema di certificazione sviluppato per essere utilizzato in tutti gli Stati membri dell’Unione europea.

Da ultimo viene chiarito che la certificazione secondo la norma UNI 11697:2017 non può essere considerata una certificazione secondo il GDPR.