Potenziare lo scambio di informazioni ai fini della certificazione in materia di protezione dei dati personali: è questo l’obiettivo della nuova convenzione firmata lo scorso 20 marzo da Garante Privacy e Accredia per la certificazione degli enti deputati alla certificazione in materia di trattamento dei dati personali.
Di fatto, viene stabilito un accordo per lo scambio di informazioni e di valutazione di Accredia nell’attività di controllo sugli enti certificatori.
Il nuovo accordo, che sarà valido per tre anni, amplia rispetto al precedente gli obblighi informativi reciproci tra Garante e Accredia, anche alla luce dei requisiti aggiuntivi di accreditamento degli organismi di certificazione fissati lo scorso anno dall’Autorità in base a quanto previsto dal Regolamento europeo.
Indice degli argomenti
Certificazione sul trattamento dati: i dettagli della convenzione
La convenzione, quindi, serve a fissare i requisiti per la certificazione in materia di dati personali.
Nel comunicato stampa del Garante, si legge che “Con la firma di questa nuova Convenzione” – ha dichiarato il Presidente del Garante, Pasquale Stanzione – “si consolida ulteriormente il rapporto di proficua e reciproca collaborazione fra il Garante e Accredia. La certificazione dei trattamenti è una delle novità del Regolamento europeo e costituisce uno strumento importante per dimostrare che un’azienda o un’organizzazione prende davvero sul serio il rispetto della privacy e della protezione dei dati. Per questo è fondamentale assicurare uno scambio di informazioni continuo e regolare fra il Garante, che deve vigilare sul rispetto delle norme, e Accredia, che deve attestare in modo indipendente l’affidabilità dei soggetti abilitati a certificare i trattamenti. Sono convinto che nei prossimi anni vedremo sviluppi importanti in questi ambiti”.
Certificazione secondo standard internazionali: l’attività di Accredia
Accredia è l’ente nazionale deputato all’accreditamento degli enti certificatori per gli standard internazionali ISO e non solo.
Gli standard internazionali ISO sono normative volontarie finalizzate a garantire all’esterno ed all’interno della realtà aziendale il mantenimento di un elevato grado di qualità in uno specifico settore certificato.
La norma ISO più nota è la 9001/2015, che serve a determinare uno standard di qualità, controllo della qualità e customer satisfaction nelle imprese di produzione e servizi.
L’adozione di un modello di gestione improntato su una norma ISO determina l’autoregolamentazione dell’azienda nel settore regolato dalla norma stessa; il processo si conclude con la certificazione, che consiste nel rilascio di un’attestazione di esito positivo in seguito al controllo da parte di un ente accreditato.
L’azienda certificata, poi, si sottopone ogni anno a controlli (c.d. audit) effettuati dall’ente certificatore per verificare il mantenimento degli standard previsti dalla norma di riferimento.
A questi controlli può partecipare anche un soggetto che controlla l’attività del certificatore, ossia un incaricato di Accredia.
In materia di trattamento dei dati personali, la certificazione è prevista dall’articolo 43 del GDPR, ma per gli standard sono necessarie indicazioni precise dal Garante per la protezione dei dati personali.
Conclusioni
Gli standard ISO stanno diventando sempre più importanti nell’ambito di ogni attività aziendale che preveda compliance.
La certificazione ISO 45001/2018 in materia di tutela della salute sul lavoro e la 14001/2015 in materia ambientale, ad esempio, determinano una presunzione di idoneità del modello organizzativo previsto da Decreto legislativo 231/2001 in caso di responsabilità amministrativa da reato degli enti.
La certificazione ISO in attuazione dell’articolo 43 del GDPR ha una funzione analoga: serve a qualificare il grado di attenzione dell’azienda in materia di tutela dei dati personali da un lato e a manifestare serietà in caso di problematiche avanti al Garante.
In caso di ispezione, infatti, l’Autorità Garante si troverà di fronte ad una realtà aziendale che ha certificato una gestione dei dati personali secondo standard superiori rispetto a quelli richiesti dalla normativa secondo il principio dell’accountability.
