Anche se lentamente, in Italia si stanno iniziando a definire le linee guida di quello che sarà il sistema di accertamento e certificazione della compliance al GDPR. Grazie all’accordo sottoscritto tra il Garante e Accredia lo scorso 20 Marzo, i due organismi si sono impegnati ad uno scambio di informazioni sulle attività di accreditamento e sulle certificazioni previste dal GDPR. E’ infatti previsto dal regolamento 679/2016 che le certificazioni rilasciate da organismi accreditati, siano uno strumento essenziale per la protezione dei dati personali.

Ad Accredia, unico ente in Italia, è stato affidato il compito di attestare la competenza degli organismi in base alla normativa UNI CEI EN ISO/IEC 17065, sulla base dei requisiti aggiuntivi che saranno stabiliti dal Garante, iniziando dalle linee guida elaborate a livello europeo per la protezione dei dati. Sarà compito di Accredia durante l’anno di durata di questo accordo a comunicare al Garante le informazioni relative all’andamento degli accreditamenti, ai ricorsi, alle scadenze dei certificati, eventuali provvedimenti sanzionatori, nonché fornire l’elenco delle certificazioni e relative revoche, sospensioni e riduzioni rilasciate dagli organismi accreditati.

Ricordiamo che, anche ai sensi degli articoli 42 e 43 del GDPR, l’attività volta all’istituzione di meccanismi per la protezione dei dati è decisamente incoraggiata, così come la creazione di strumenti (es. sigilli e marchi) per dimostrare la conformità dei trattamenti effettuati oltre che un più generale rispetto della normativa.

Niente autocertificazioni quindi, prassi non solo non prevista dal GDPR e neppure da quanto rimasto della vecchia e ormai stravolta 196/2003. Dobbiamo infatti prendere atto che, ovviamente a loro rischio e pericolo, non solo alcune aziende autocertificano la loro compliance al GDPR, ma in alcuni casi è stata richiesta un’autocertificazione a chi vada a ricoprire la carica di DPO, stravolgendo completamente il sistema. Sul punto appare opportuno precisare che è onere e dovere del Titolare del Trattamento quello di accertarsi che i soggetti chiamati a questa delicata funzione dispongano delle necessarie qualità, capacità e professionalità. Non il contrario.

È una delle discrasie che ancora sussistono e contro le quali sembra voglia muoversi proprio il sistema di certificazioni che sta nascendo. Tutto ciò porterà non solo ad una migliore e uniforme applicazione del sistema, ma anche alla creazione di professionalità ad hoc che possano disporre delle adeguate e riconosciute attestazioni e, verosimilmente, alla creazione in un non lontano futuro di un albo dei DPO.