Il GDPR promuove l’istituzione di meccanismi di certificazione, sigilli e marchi di protezione dei dati quali strumenti utili a dimostrare la conformità dei trattamenti e a rafforzare il principio di accountability. In questo quadro, la certificazione è rilasciata da organismi che, per poter operare, devono essere accreditati, onde garantirne imparzialità, competenza e adeguatezza.
L’approvazione, da parte dell’European Data Protection Board (“EDPB”), nel 2022, dello schema EuroprivacyTM/® quale primo sigillo europeo di protezione dei dati ha dato impulso anche in Italia a una più solida strutturazione della fase applicativa del sistema, stimolando le prime richieste di accreditamento e rendendo sempre più centrale il ruolo degli attori chiamati a presidiarlo.
Indice degli argomenti
La certificazione nel GDPR
La certificazione privacy trova il proprio quadro normativo di riferimento negli artt. 42 e 43 del GDPR, che disciplinano in modo complementare il rilascio della certificazione e l’accreditamento degli organismi chiamati a rilasciarla.
L’art. 42 definisce alcuni profili essenziali della procedura di certificazione. In particolare, il titolare o il responsabile del trattamento che richiede la certificazione è tenuto a fornire all’organismo di certificazione di cui all’art. 43 – o, ove applicabile, all’autorità di controllo competente – tutte le informazioni e l’accesso alle attività di trattamento necessari per lo svolgimento della procedura. La certificazione è rilasciata per un periodo massimo di tre anni, rinnovabile alle medesime condizioni purché continuino a essere soddisfatti i requisiti pertinenti, e può essere revocata dall’organismo di certificazione o dall’autorità di controllo competente quando tali requisiti non siano rispettati. La stessa disposizione prevede, inoltre, che, quando i criteri di certificazione sono approvati dall’EDPB, il risultato possa essere una certificazione comune, cioè un sigillo europeo per la protezione dei dati: è questo il percorso seguito da Europrivacy.
L’art. 43 disciplina, invece, l’accreditamento degli organismi di certificazione, prevedendo che essi siano accreditati dall’autorità di controllo competente, dall’ente nazionale di accreditamento designato ai sensi del Regolamento (CE) n. 765/2008 (di seguito, “Regolamento sull’accreditamento”), oppure da entrambi. In questo modo, la conformità non viene semplicemente dichiarata, ma attestata da soggetti che devono a loro volta dimostrare indipendenza, competenza e adeguatezza. Agli organismi di certificazione è attribuita la responsabilità della corretta valutazione ai fini del rilascio, del rinnovo o della revoca della certificazione, fermo restando che la conformità al GDPR resta in capo al titolare o al responsabile del trattamento.
La certificazione, infatti, non esaurisce di per sé gli obblighi del titolare o del responsabile, ma costituisce un elemento utile a dimostrare la conformità in chiave di accountability. Lo confermano, tra l’altro, l’art. 25 del GDPR, in materia di protezione dei dati fin dalla progettazione e per impostazione predefinita, e l’art. 32 del GDPR, in tema di sicurezza del trattamento, che richiamano i meccanismi di certificazione approvati come elementi a supporto della dimostrazione di conformità.
Nel complesso, la certificazione ai sensi dell’art. 42 del GDPR non si configura quale mero attestato formale, bensì quale strumento che inquadra la conformità dei trattamenti in una struttura regolata di requisiti, verifiche e responsabilità, rafforzandone la credibilità sul piano giuridico e operativo.
Anche l’accreditamento è soggetto a una disciplina temporale e a un controllo continuativo: è rilasciato per un periodo massimo di cinque anni, rinnovabile alle stesse condizioni, e può essere revocato quando le relative condizioni non risultino più soddisfatte o le misure adottate dall’organismo siano in contrasto con il GDPR.
Garante per la protezione dei dati personali e Accredia: come si articola il sistema italiano
A livello nazionale, il sistema di certificazione dei trattamenti e di accreditamento degli organismi chiamati a rilasciarla si fonda sulla collaborazione tra soggetti titolari di funzioni diverse, ma complementari. Il Garante per la protezione dei dati personali (di seguito, “Garante”) è l’Autorità indipendente deputata a vigilare sull’applicazione della disciplina in materia di protezione dei dati personali; Accredia, quale ente unico nazionale di accreditamento istituito ai sensi del Regolamento sull’accreditamento, cura invece la verifica tecnica degli organismi di certificazione. È da questo coordinamento che si definisce il modello italiano.
Il riferimento normativo centrale è l’art. 2-septiesdecies del D.lgs. 196/2003 (cd. Codice privacy), che individua in Accredia l’organismo nazionale deputato all’accreditamento degli organismi di certificazione ai sensi dell’art. 43, par. 1, lett. b) del GDPR. La stessa disposizione riserva, tuttavia, al Garante la possibilità di assumere direttamente tali funzioni, con propria deliberazione pubblicata in Gazzetta Ufficiale, in caso di grave inadempimento o con riguardo a specifiche categorie di trattamenti. Ne deriva un assetto coerente con l’impostazione del GDPR, che distribuisce le competenze tra controllo istituzionale e verifica tecnica.
Su questa base si è sviluppata la cooperazione tra le due istituzioni, formalizzata nelle convenzioni del 2019, del 2021 e del 2024. La prima ha avviato lo scambio di informazioni sulle attività di accreditamento previste dall’art. 43 del GDPR, necessarie a verificare che gli organismi di certificazione soddisfino i requisiti stabiliti dalla norma UNI CEI EN ISO/IEC 17065:2012 e dalla disciplina europea per il rilascio delle certificazioni ai sensi dell’art. 42 del GDPR.
La convenzione del 2021, anche alla luce del provvedimento del Garante del 29 luglio 2020 sui “Requisiti aggiuntivi di accreditamento degli organismi di certificazione”, ha ampliato gli obblighi informativi reciproci e rafforzato il sistema dei controlli, traducendo il quadro europeo in criteri più puntuali e immediatamente applicabili.
Il rinnovo del 2024, per ulteriori cinque anni, ha consolidato questo impianto.
In particolare, come evidenziato dal Garante nella Relazione annuale 2024, pubblicata nel luglio 2025, il rapporto con Accredia è proseguito in continuità con il tavolo di lavoro avviato già nel 2019 sul tema dell’accreditamento e della certificazione ai sensi degli artt. 42 e 43 del GDPR. Nello stesso anno il Garante ha inoltre fornito chiarimenti e supporto sulle prime richieste di accreditamento riferite allo schema Europrivacy.
In questo contesto, gli organismi di certificazione accreditati da Accredia possono verificare la conformità di uno o più trattamenti rispetto a schemi di certificazione approvati, fungendo da snodo essenziale tra criteri normativi e applicazione concreta della certificazione.
In tal modo, il sistema italiano è entrato in una fase pienamente applicativa, nella quale l’accreditamento costituisce il presupposto operativo per il rilascio di certificazioni riconoscibili, verificabili e idonee a produrre effetti anche sul piano del mercato e della fiducia degli interessati.
L’iter di accreditamento degli organismi di certificazione
È in questo contesto che prende avvio la fase più operativa del sistema: quella dell’accreditamento degli organismi di certificazione nazionali.
Accredia ha adottato la Circolare tecnica DC n. 12/2024, con cui ha disciplinato l’iter di accreditamento degli organismi di certificazione destinati a operare secondo lo schema Europrivacy. Sul piano procedurale, la circolare distingue tre percorsi in base al livello di accreditamento già posseduto dall’organismo richiedente.
Nel dettaglio, per gli organismi già accreditati secondo la UNI CEI EN ISO/IEC 17065:2012 è previsto un esame documentale, due giornate di verifica in sede, una giornata per la stesura del rapporto e una verifica in accompagnamento. Per quelli non accreditati secondo la UNI CEI EN ISO/IEC 17065:2012, ma accreditati in schemi diversi, le giornate di verifica in sede salgono a tre; per gli organismi non ancora accreditati, arrivano a quattro. La logica è chiara: quanto minore è l’esperienza già maturata, tanto più intenso è il controllo richiesto.
Accanto alle verifiche, l’organismo deve dimostrare di disporre di un apparato documentale coerente con lo schema Europrivacy: procedure, istruzioni, criteri di qualifica del personale, modelli di audit, schemi di certificato e regole di aggiornamento verso la banca dati Accredia. Anche dopo il rilascio, l’accreditamento resta soggetto a sorveglianza: Accredia prevede verifiche annuali con intensità crescente in base al numero di certificati emessi.
Rientra in questo quadro anche l’obbligo, in capo all’organismo di certificazione, di disporre di procedure trasparenti per la sospensione, il ritiro o l’eventuale modifica del certificato, quando il richiedente non mantenga in modo persistente o grave la conformità ai requisiti dello schema, ovvero ponga in essere condotte idonee a comprometterne l’affidabilità. Tra i presupposti rilevanti rientrano, ad esempio, il mancato trattamento delle non conformità rilevate o l’inadeguatezza delle misure tecniche e organizzative adottate per la protezione dei dati personali.
Per completezza, va segnalato che Accredia, come comunicato nella Circolare tecnica DC N° 21/2025 rev. 01, ha avviato anche l’accreditamento secondo lo schema InterprivacyTM/®, destinato ai trattamenti di dati personali in contesti internazionali.
A differenza di Europrivacy, Interprivacy non rientra tra i meccanismi di certificazione previsti dall’art. 42 GDPR, ma amplia gli strumenti che gli organismi possono offrire alle aziende in materia di protezione dei dati personali. Lo schema, infatti, si fonda su riferimenti normativi e framework internazionali[1], tra cui la Convenzione 108+ del Consiglio d’Europa, il Data Privacy Framework UE-USA e il framework ASEAN. In questa prospettiva, lo schema estende il perimetro della certificazione a contesti giuridici transfrontalieri e consente di attestare la conformità in scenari internazionali sempre più rilevanti per le organizzazioni.
Conclusioni
Nel complesso, il percorso esaminato mostra che la certificazione ai sensi dell’art. 42 del GDPR acquista effettiva affidabilità solo se inserita in una procedura strutturata. La conformità, infatti, non resta affidata alla sola dichiarazione dell’organizzazione che richiede la certificazione, ma passa attraverso criteri approvati, accreditamento degli organismi, verifiche e controlli periodici. È questo insieme di passaggi a rendere la certificazione uno strumento realmente verificabile.
Per imprese, pubbliche amministrazioni e cittadini, ciò significa poter contare su un sistema in cui la conformità dichiarata viene sottoposta a una verifica esterna, fondata su requisiti oggettivi e controllabili.
Note
[1] Interprivacy si fonda sui seguenti riferimenti normativi e framework internazionali: GDPR, convenzione del Consiglio d’Europa per la protezione delle persone con riguardo al trattamento dei dati personali (Convenzione 108+), framework normativo globale sulla privacy transfrontaliera (CBPR) e quadro normativo APEC sulla privacy, Data Privacy Framework UE-USA (DPF). ASEAN framework per la protezione dei dati, standard di protezione dei dati personali per gli stati iberoamericani e convenzione dell’Unione Africana sulla sicurezza informatica e la protezione dei dati personali (Convenzione di Malabo).
