Sono stati definiti dal Garante per la Protezione dei dati personali i requisiti necessari per accreditarsi come organismo di certificazione, ovvero per poter attestare il rispetto delle disposizioni del GDPR da parte sia di enti pubblici che di imprese private e, in generale, di qualsiasi soggetto che tratti dati personali. Il GDPR prevede infatti che il rilascio dei certificati di garanzia e sicurezza in termini di protezione dei dati debba essere effettuato da organismi appositamente accreditati: in Italia il compito spetta già ad Accredia, che valuta l'accreditamento sulla base dei requisiti previsti dalla norma tecnica internazionale En-Iso/Iec 17065:2012 e dei successivi aggiustamenti e aggiunte varati dai vari Garanti nazionali e dall'EDPB (Comitato europeo protezione dati).

Il Provvedimento del Garante, approvato dopo il parere favorevole dell'EDPB, incarica Accredia di verificare che tutti gli organismi certificatori rispettino i 4 criteri di

• onorabilità;
• indipendenza;
• imparzialità;
• assenza di conflitto d'interesse con i soggetti che vogliano certificarsi.

Il comunicato del Garante specifica anche che i certificatori dovranno disporre di personale qualificato e costantemente aggiornato, approntare adeguati meccanismi per la gestione di eventuali reclami e implementare processi di revisione e sorveglianza periodica su prodotti e servizi certificati.

Il comunicato del Garante si conclude andando a esplicitare la necessità di trasparenza nell'intero processo di certificazione e nell'attività poi svolta dall'ente accreditato. Gli accordi di certificazione che gli organismi di certificazione stabiliranno con i clienti dovranno, ad esempio, contenere specifiche clausole che garantiscano la piena trasparenza dell'attività del titolare o del responsbile del trattamento, nel rispetto di alcuni specifici requisiti individuati dal Garante stesso.

Qui il provvedimento del Garante > https://bit.ly/3icZN9v
Qui l'allegato al provvedimento contenente i requisiti aggiuntivi > https://bit.ly/329TcHu