Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

le norme

Certificazioni per trattamenti dati, a che punto siamo: chiariamo tutti i dubbi

Obiettivi e importanza dei meccanismi di certificazione della protezione dei dati introdotti dal Gdpr e complessità del sistema. Lo stato dell’arte in Italia, il ruolo di Accredia, i motivi del ritardo nell’attuazione e un focus sui requisiti professionali essenziali per operare nell’ambito degli organismi di certificazione

15 Gen 2019

Franco Pizzetti

professore ordinario di Diritto Costituzionale - Facoltà di Giurisprudenza Università di Torino


Fin dall’entrata in vigore del Gdpr il fatto che gli artt. 42 e 43 prevedessero e regolassero la possibilità per titolari e responsabili di ottenere la “certificazione Gdpr” dei trattamenti effettuati ha scatenato, almeno in Italia, una “corsa” a offrire certificazioni di vario tipo, seconda soltanto alla corsa, non meno impressionante, che si è verificata per proporsi come DPO.

Lo Stato italiano, dal canto suo, ha fatto la sua parte, individuando l’Organismo nazionale di accreditamento – Accredia – il quale però non può ancora esercitare alcuna attività di accreditamento né possono esservi organismi di certificazione accreditati. Occorre infatti attendere la conclusione dei lavori da parte del Comitato dei garanti europei (EDPB), che dovrebbe avvenire a breve.

Nel frattempo, il problema centrale – e l’obiettivo primario delle considerazioni a seguire – è quello di proteggere titolari e responsabili dal non cessato attacco di “certificatori” più o meno consapevoli di quanto offrono e di quanto ciò che propongono sia, molto spesso, del tutto estraneo alla logica del GDPR.

In secondo luogo, queste riflessioni hanno anche il fine di stimolare, fin da ora, le società di certificazione e gli studi professionali che vogliano svolgere anche attività di certificazione di mettersi in condizione di essere compliant col Gdpr e le sue norme attuative, assicurando le professionalità necessarie.

L’importanza della certificazione

L’art. 42, paragrafo 1, del Gdpr contiene una norma di fondamentale importanza per questa materia, che recita:

“Gli Stati membri, le Autorità di controllo, il Comitato e la Commissione incoraggiano, in particolare a livello di Unione, l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari e dai responsabili del trattamento. Sono tenute in considerazione le esigenze specifiche delle micro, piccole e medie imprese.”

L’art. 42, terzo e quarto paragrafo, specificano inoltre che:

“La certificazione è procedura volontaria e accessibile tramite procedura trasparente” e che essa “non riduce la responsabilità del titolare e del responsabile del trattamento riguardo alla conformità al presente regolamento e lascia impregiudicati i compiti e i poteri delle Autorità di controllo di cui agli articoli 55 e 56.”

Infine, sempre l’art. 42, al paragrafo quinto, stabilisce che:

“La certificazione ai fini del presente articolo è rilasciata dagli organismi di certificazione di cui all’art. 43 o dall’autorità di controllo competente in base ai criteri approvati da tale autorità di controllo competente ai sensi dell’art. 58, paragrafo 3 o del comitato (EDPB), ai sensi dell’art. 63. Ove i criteri siano approvati dal comitato ciò può risultare in una certificazione comune, il sigillo europeo per la protezione dei dati personali”.

L’art. 43, dedicato ai meccanismi e agli organismi di certificazione specifica al primo paragrafo che:

“Fatti salvi i compiti e i poteri dell’Autorità di controllo competente di cui agli art. 57 e 58, gli organismi di certificazione in possesso del livello adeguato di competenze riguardo alla protezione dei dati, rilasciano e rinnovano la certificazione, dopo aver informato l’Autorità di controllo al fine di consentire alla stessa di esercitare i suoi poteri a norma del paragrafo 2, lettera h) ove necessario.

Gli Stati membri garantiscono che tali organismi di certificazione siano accreditati da uno o da entrambi dei seguenti organismi:

  1. Dall’autorità di controllo competente ai sensi degli artt. 55 o 56;
  2. Dall’organismo nazionale di accreditamento designato in virtù del Regolamento (CE) n. 764/2008 del Parlamento e del Consiglio conformemente alla norma EN-ISO/EC 17065/2012 e ai requisiti aggiuntivi stabiliti dall’Autorità di controllo cmpetente ai sensi degli art. 55 o 56”.

L’art. 43 secondo paragrafo contiene poi una lunga serie di specificazioni, che vanno dalla lettera a) alla lettera e), riguardo ai requisiti che comunque, al di là di quanto prescritto dalle Autorità nazionali o dall’EDPB, gli organismi di certificazione devono possedere per poter essere accreditati e poter svolgere la loro attività.

Obiettivi della certificazione

Il quadro normativo relativo alle certificazioni contenuto negli artt. 42 e 43, dei quali peraltro si sono riportati qui solo gli aspetti più rilevanti, consente di sottolineare alcuni punti essenziali:

  • la certificazione è sempre una scelta volontaria dei titolari o dei responsabili;
  • la certificazione deve sempre essere accessibile sulla base di procedure trasparenti;
  • La certificazione riguarda sempre e solo trattamenti di dati personali e ha lo scopo di dimostrare che i trattamenti effettuati dai titolari o dai responsabili che siano stati certificati secondo le modalità previste dagli artt. 42 e 43 sono conformi al GDPR;
  • La certificazione tuttavia non riduce la responsabilità del titolare o del responsabile né i compiti e i poteri delle Autorità di controllo.

A prima vista, leggendo in modo coordinato questi aspetti, sarebbe ragionevole chiedersi non tanto perché, come vuole l’art. 42, primo paragrafo, l’Unione Europea e gli Stati membri siano spinti a incoraggiare l’istituzione di meccanismi di certificazione, quanto perché i titolari e i responsabili dovrebbero avere interesse a chiedere tali certificazioni. Tanto più che, come si è sottolineato, esse non riguardano direttamente l’impresa o l’ente o il soggetto giuridico che trattano dati personali, ma gli specifici trattamenti che essi possono porre in essere nell’ambito delle attività svolte.

Una prima riposta la offre il Considerando 100 che afferma: “al fine di migliorare la trasparenza e il rispetto dovrebbe essere incoraggiata l’istituzione di meccanismi di certificazione e sigilli nonché marchi che consentano agli interessati di valutare rapidamente il livello di protezione dei dati dei relativi prodotti o servizi”.

Dunque, dal punto di vista del GDPR, l’obbiettivo principale della certificazione riguarda da un lato la trasparenza del trattamento e il suo rispetto del GDPR e dall’altro l’incremento della fiducia degli interessati che, grazie alla certificazione, possono “valutare rapidamente il livello di protezione dei loro dati” assicurato da chi fornisce i prodotti o i servizi.

Certificazioni per incrementare il clima di fiducia

Sostanzialmente, secondo il Considerando 100, le certificazioni, così come i sigilli e i marchi, hanno come primo scopo quello di incrementare quel clima di fiducia che il Considerando 7 considera come un obiettivo essenziale del GDPR al fine di “consentire lo sviluppo dell’economia digitale in tutto il mercato interno”.

I meccanismi di certificazione non mirano solo a rafforzare la tutela dei diritti degli interessati. La loro funzione è anche quella di incrementare la fiducia delle persone rispetto alla correttezza dei trattamenti di dati che le riguardano e di favorire così lo sviluppo del mercato digitale.

Questo spiega perché il ricorso alla certificazione sia lasciato alla libera scelta di titolari e responsabili, considerando che sia prima di tutto loro interesse specifico rafforzare la fiducia dei cittadini nelle loro attività. La stessa ragione spiega anche perché l’art. 42, paragrafo 1, nell’incentivare Unione Europea e Stati membri a porre in atto i meccanismi di certificazione, li inviti anche a tener conto delle esigenze specifiche delle micro, piccole e medie imprese.

È chiaro che si vuole consentire anche agli operatori di minori dimensioni e meno dotati di risorse economiche, di poter conquistare la fiducia dei cittadini-consumatori, concorrendo così anche essi a rafforzare il clima necessario allo sviluppo dell’economia digitale.

Le norme di cui tenere conto

Sarebbe però troppo restrittivo limitarsi a citare il Considerando 100 per spiegare il valore che le certificazioni, pur legate a singoli trattamenti o categorie di trattamenti, possono avere per i titolari e i responsabili, sì da spingerli a mettere in pratica quanto richiesto per ottenerle.

Per capire meglio il valore che la certificazione può avere per i titolari e i responsabili, giova ricordare alcune norme particolarmente importanti nell’ambito del GDPR.

La prima è quella contenuta nell’art. 24, paragrafo 3, che specifica, con riferimento all’obbligo per il titolare di poter dimostrare in ogni momento di essere compliant col GDPR, che “l’adesione ai codici di condotta di cui all’art.40 o a un meccanismo di certificazione di cui all’art. 42 può essere utilizzata per dimostrare il rispetto degli obblighi del titolare del trattamento”.

La seconda norma che spiega l’interesse a ottenere la certificazione rispetto ai trattamenti posti in essere è contenuta nell’art. 25.

Con riguardo all’obbligo del titolare di rispettare le norme contenute nei primi due paragrafi dell’art.25, relative alla privacy by design e by default, il terzo paragrafo afferma: “un meccanismo di certificazione approvato ai sensi dell’art. 42 può essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2”.

La terza norma di cui è bene tener conto è contenuta nel quinto paragrafo dell’art. 28, e fa riferimento ai rapporti tra titolare e responsabile e tra responsabile e sub responsabili disciplinati nel primo e quarto paragrafo dello stesso articolo e alle garanzie che tanto il responsabile quanto i sub responsabili devono dare circa la conformità dei trattamenti posti in essere al GDPR.

Stabilisce, infatti, l’art. 28, paragrafo 5 che “l’adesione da parte del responsabile del trattamento a un codice di condotta approvato di cui all’art.40 o a un meccanismo di certificazione approvato di cui all’art. 42 può essere utilizzata per dimostrare le garanzie sufficienti di cui ai paragrafi 1 e 4 del presente articolo”.

L’ultima norma che merita richiamare è l’art. 32 che riguarda la sicurezza del trattamento e che al primo paragrafo contiene un non breve elenco di misure di sicurezza che il titolare o il responsabile sono tenuti a valutare in rapporto ai rischi che i singoli trattamenti presentano.

Il terzo paragrafo dell’art.32 specifica che “l’adesione a un codice di condotta approvato di cui all’art. 40 o a un meccanismo di certificazione approvato di cui all’art. 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo”.

Tutte e quattro le norme citate consentono di comprendere perché aderire a un meccanismo di certificazione e ottenere la certificazione dei propri trattamenti di dati può avere per un titolare o un responsabile un interesse specifico molto rilevante.

I tre profili da considerare nelle certificazioni

Così ricostruito il quadro complessivo, emergono almeno tre profili importanti che vanno sempre tenuti presenti quando si parla di certificazioni.

Il primo, rivolto al rapporto tra titolare e responsabile, da un lato, e interessati, dall’altro, è orientato tutto a rafforzare la fiducia dell’interessato nei trattamenti posti in essere per fornire ai cittadini i prodotti e i servizi che rendono necessari i trattamenti. Un profilo che vuole rafforzare la fiducia degli interessati ma anche, e più in generale, la fiducia dei cittadini UE nell’economia digitale.

Il secondo profilo riguarda il rafforzamento della posizione del titolare e del responsabile rispetto all’Autorità di controllo e a chiunque possa legittimamente chiedere la dimostrazione della loro compliance al GDPR.

Il terzo profilo, riguarda i rapporti tra titolari e responsabili che sono costruiti dall’art. 28 in modo che il titolare sia tenuto a chiedere e verificare che il responsabile fornisce idonee garanzie sui trattamenti dei dati personali; cosa questa molto facilitata per entrambi se il responsabile (e gli eventuali sub responsabili) sono in possesso di certificazioni relative ai trattamenti oggetto del contratto.

A questi tre profili si deve aggiungere che l’essere in possesso di specifiche certificazioni facilita la posizione del titolare e del responsabile anche per quanto riguarda la dimostrazione di aver adottato misure di sicurezza adeguate rispetto ai rischi dei trattamenti che ne sono oggetto.

Tenendo presente le considerazioni fin qui svolte emerge con chiarezza il rilievo che la certificazione assume e si comprende meglio perché i meccanismi relativi, compresi quelli che riguardano l’accreditamento dei certificatori e quelli relativi alla loro attività siano così minuziosamente disciplinati negli artt. 42 e 43 del GDPR.

Gli organismi di certificazione

Infine, proprio il ruolo che, grazie a queste disposizioni, assumono le certificazioni giustifica anche i vincoli che possono essere posti dalle Linee guida che spetta al Comitato europeo per la protezione dei dati (e cioè all’EDPB) dettare sulla base di quanto previsto dall’art. 70 lettera p).

Si tratta della norma che assegna al Comitato il compito di specificare quali siano i requisiti vincolanti che le Linee guida delle Autorità nazionali devono definire per regolare l’attività di accreditamento degli organismi di certificazione, come previsto dall’art. 43, paragrafo 3. Si vuole, infatti, evitare che le attività di accreditamento degli organismi di certificazione divergano in misura troppo rilevante da Stato a Stato, mettendo a repentaglio eccessivo la uniformità di applicazione del GDPR su questo terreno così delicato.

Non è questa la sede per descrivere in dettaglio il contenuto di tutte queste disposizioni.

Basta ricordare che l’art. 43 prevede che le certificazioni possano essere rilasciate da “organismi di certificazione in possesso del livello adeguato di competenze con riguardo alla protezione dei dati personali”.

Gli Stati membri devono garantire che tali “organismi siano accreditati” e che comunque essi non possano rilasciare certificati, né rinnovarli, se non “dopo aver informato l’Autorità di controllo al fine di consentire ad essa di esercitare i suoi poteri a norma dell’articolo 58, paragrafo 2, lettera h)”.

Gli organismi di certificazione non possono operare ai sensi degli artt. 42 e 43 se non sono stati prima accreditati e gli Stati membri devono garantire che siano accreditati o “dall’Autorità di controllo competente ai sensi degli artt. 55 o 56” ovvero da un “Organismo nazionale di accreditamento designato in virtù del regolamento (CE) n. 758/2008 del Parlamento europeo e del Consiglio, conformemente alla norma EN-ISO/IEC 17065/2012 e ai requisiti aggiuntivi stabiliti dall’autorità di controllo competente ai sensi degli articoli 55 e 56”.

Il d.lgs. n.196 del 2003, come novellato dal d. lgs.n.101 del 2018, specifica all’art. 2-septiesdecies che “l’Organismo nazionale di accreditamento di cui all’art. 43, paragrafo 1, lettera b), del Regolamento è l’Ente unico nazionale di accreditamento istituito ai sensi del Regolamento (CE) n. 765/2008 del Parlamento europeo e del Consiglio, fatto salvo il potere del Garante di assumere direttamente, con deliberazione pubblicata in Gazzetta Ufficiale della Repubblica italiana e in caso di grave inadempimento dei suoi compiti da parte dell’Ente unico nazionale di accreditamento, l’esercizio di tali funzioni, anche con riferimento a una o più categorie di trattamenti”.

Il ruolo di Accredia

La scelta fatta dal legislatore delegato italiano è stata dunque nel senso di individuare un Organismo nazionale di accreditamento, ai sensi dell’art. 43, paragrafo 1, lettera b) al quale spetta accreditare gli organismi di certificazione che in concreto, e nel rispetto dei requisiti previsti, potranno poi rilasciare o rinnovare le certificazioni.

L’art.43, secondo paragrafo indica i requisiti che gli organismi di certificazione devono possedere e alcune delle modalità con le quali devono operare. Ovviamente nel sistema italiano spetta all’Organismo nazionale di accreditamento (Accredia) assicurarsi che gli organismi di certificazione che fanno richiesta di essere accreditati posseggano i requisiti richiesti dalla norma. Spetterà inoltre ad Accredia valutare i casi in cui, sulla base di quanto previsto dalle norme che disciplinano l’attività di certificazione, ricorrano le condizioni per revocare l’accreditamento.

Le complessità del sistema

Tuttavia, la complessità del sistema, e le ragioni per le quali esso non è ancora in grado di operare concretamente, non si arrestano qui.

Proprio perché lo Stato italiano ha scelto di individuare un Organismo nazionale di accreditamento e addirittura di considerare come quasi “sussidiario o emergenziale” l’intervento della Autorità garante, Accredia non può operare fino a che l’Autorità garante italiana non avrà definito “i requisiti aggiuntivi” previsti dall’ultima parte dell’art. 43, paragrafo 1, lettera b).

Questi “requisiti aggiuntivi” non devono essere considerati, malgrado la terminologia utilizzata, come aspetti marginali o secondari del sistema.

L’Autorità garante deve poi ottemperare a quanto previsto dall’art. 43, paragrafo 3 che specifica che l’accreditamento degli organi di certificazione deve avvenire “in base ai criteri approvati dall’Autorità di controllo competente ai sensi dell’art. 55 o 56 o dal comitato (EDPB) ai sensi dell’art.63 (quando si tratta di certificazioni europee)”.

Entrambi questi aspetti, quello dei requisiti ulteriori che l’Autorità di controllo deve adottare nei confronti dell’attività dell’Organismo nazionale di accreditamento e quello relativo ai criteri che spetta ad essa approvare a integrazione di quanto già disposto dalla normativa contenuta nel GDPR sono di particolare importanza.

Occorre infatti tenere presente che le Autorità di controllo nazionali non solo sono tenute a comunicare all’EDPB i requisiti aggiuntivi e le Linee guida che adotteranno a integrazione della normativa che l’Organismo nazionale di accreditamento deve seguire. Esse dovranno, a loro volta, assicurarsi che le Linee guida da loro adottate siano conformi alle indicazioni che, ai sensi dell’art. 70, primo paragrafo, lettera p), lo EDPB stabilirà al fine di uniformare i criteri relativi all’attività di accreditamento previsti dall’art. 43, paragrafo 3.

Alcuni punti fermi

Il quadro fin qui descritto è già molto complicato. È opportuno dunque, almeno per il momento, non allargare il campo all’esame del procedimento che deve essere seguito quando un titolare o un responsabile chieda di avere una certificazione europea, e cioè valida in tutto il territorio dell’Unione.

Vengono in rilievo infatti, in questo caso, gli artt. 63 e 70 del GDPR, che comportano ulteriori obblighi sia per l’Organismo nazionale di accreditamento che per gli organismi di certificazione.

Per quanto qui interessa sembra comunque sufficiente fissare i seguenti punti fermi:

  • Lo Stato italiano ha individuato un Organismo nazionale di accreditamento (Accredia) al quale spetta, in via principale, accreditare gli organismi di certificazione
  • Nessuno può ritenersi abilitato a rilasciare certificazioni ex art. 42 se non ha ottenuto da Accredia lo specifico accreditamento necessario per poter rilasciare questo tipo di certificazioni
  • Per poter essere accreditati è necessario possedere tutti i requisiti indicati dall’art. 43. A questi però si dovranno aggiungere i requisiti che eventualmente lo EDPB, ai sensi dell’art. 70, paragrafo 1, lettera p) individuerà e quelli che, in conformità con questi, definirà il Garante, imponendo ad Accredia di rispettarli ai sensi dell’art. 43, paragrafo 3.
  • Nessuno potrà rilasciare certificazioni senza accreditamento specifico ottenuto da Accredia o, nei casi eccezionali previsti dall’art.2 quattordecies del d.lgs. n. 196 del 2003 novellato, dall’Autorità garante.
  • I certificati potranno esser rilasciati o revocati solo dopo che siano stati trasmessi alla Autorità di controllo per l’eventuale esercizio dei suoi compiti e poteri, come previsto dall’art.43, paragrafo 1.

Lo stato di attuazione

L’analisi svolta è certamente lunga e complessa, malgrado si sia evitato di addentrarsi nel ginepraio delle certificazioni aventi validità su tutto il territorio dell’UE.

Essa però è giustificata dall’obbiettivo di evitare che qualche titolare o responsabile, o anche qualche organismo abilitato a rilasciare certificati che nulla hanno a che vedere con l’art. 42 del GDPR, possano, anche in buona fede, cadere in errore.

Per raggiungere meglio questo scopo è tuttavia necessario anche spiegare quale sia, al momento attuale, lo stato di attuazione di questa materia.

Come si è detto, lo Stato italiano ha fatto la sua parte e ha individuato l’Organismo nazionale di accreditamento.

Mancano invece ancora sia l’adozione da parte della Autorità Garante dei requisiti ulteriori che l’Organismo nazionale di accreditamento deve seguire, ex art. 43, paragrafo 1, lettera b), sia i criteri di cui all’art. 43, paragrafo 3.

Di conseguenza Accredia non può ancora esercitare alcuna attività di accreditamento né possono esservi organismi di certificazione accreditati.

La ragione di questa situazione non deriva da un ritardo del Garante a provvedere ma dalla estrema complessità della materia e dalla necessità di attendere che il Comitato dei garanti europei (EDPB) abbia concluso i lavori, in corso da tempo, per dare le indicazioni di cui all’art. 70 primo paragrafo lettera p).

Attesa per le indicazioni finali dell’EDPB

Il lavoro del Gruppo dei garanti europei (EDPB) è prossimo a concludersi.

Già il WP29 aveva adottato il 6 febbraio 2018 le Draft Guidelines on the accreditation of certification bodies under Regulation /EU) 2016/679 (WP29 n. 261).

Lo EDPB ha fatto proprio il lavoro del WP29, inglobandolo nelle Guidelines 1/2018 on certification and identifyng certification criteria in accordance with Articles 42 and 43 of the Regulation 2016/679, adottate il 25 maggio 2018.

Si tratta di un provvedimento importante innanzitutto per il suo contenuto, estremamente approfondito, che dovrà essere attentamente studiato da chi intenda svolgere attività di certificazione. Inoltre esso è importante anche perché è stato il primo provvedimento adottato dallo EDPB, nel suo primo giorno di insediamento.

Fino al dicembre scorso mancava ancora però l’Allegato Annex 1 al quale i documenti precedenti avevano fatto richiamo. Uno strumento, questo, necessario per specificare dettagliatamente molti aspetti rilevanti, fra i quali i requisiti professionali che devono avere, al loro interno, gli organismi che chiedano di essere accreditati come certificatori.

L’ Annex 1 è stato adottato il 4 Dicembre 2018 ed è ora nella fase della consultazione pubblica.

È del tutto ragionevole attendersi che possa essere approvato nel prossimo mese di febbraio, o al massimo di marzo.

Successivamente l’Autorità garante dovrà procedere ad adottare i provvedimenti di sua competenza previsti dall’art. 43,1, b) e dall’ art. 43.3

Solo dopo che l’Autorità garante avrà terminato il suo lavoro, Accredia potrà iniziare la sua attività e gli organismi che intendono svolgere funzioni di certificazione potranno chiedere di essere sottoposti alle procedure di accreditamento.

I requisiti professionali

Occorre dunque attendere ancora un poco prima che uno dei meccanismi fondamentali del GDPR, quello relativo alle certificazioni possa trovare piena attuazione.

L’auspicio è che i tempi possano essere accelerati, in modo che anche per questa parte il GDPR cominci a trovare attuazione.

Prima di concludere mi sembra opportuno richiamare l’attenzione di tutti, e in particolare di chi sia interessato a svolgere attività di certificazione, sul contenuto dell’Annex 1 adottato il 4 dicembre 2018 e al momento in corso di consultazione.

Questo Allegato, nel definire, fra molti altri aspetti trattati, i requisiti professionali che dovranno essere posseduti dalle persone che opereranno nell’ambito degli organismi di certificazione, chiarisce con molta forza che sono necessarie, in pari misura, sia competenze tecniche che competenze giuridiche.

Anzi, in conformità con le Linee guida adottate il 25 maggio, lo EDPB sottolinea che la protezione dei dati personali è finalizzata prima di tutto alla tutela di un diritto fondamentale e dei diritti e delle libertà delle persone. Di conseguenza il Comitato ritiene che le competenze giuridiche interne all’organismo di certificazione, o delle quali questo deve garantire di avvalersi, devono essere solide, robuste e persino, in qualche modo, preminenti su quelle tecniche.

Sta di fatto che l’Annex 1 al punto 6 specifica che le persone che operano all’interno dell’organismo di certificazione, o delle quali questo si avvale per la parte legale, devono garantire competenze giuridiche di alto livello.

È necessario infatti possedere almeno un titolo universitario riconosciuto in UE e rilasciato dopo almeno otto semestri di studi giuridici, compreso, eventualmente il possesso di un Master. In alternativa, occorre avere una esperienza professionale significativa, riconosciuta e di livello adeguato.

Inoltre il personale che svolge funzioni che comportano responsabilità in ordine al rilascio dei certificati deve avere, soprattutto per la parte legale, una significativa esperienza in materia di protezione dei dati personali.

Chi si occupa di valutazione deve possedere anche conoscenze ed esperienze adeguate nello svolgimento di procedure analoghe, come attività di certificazione e di audit e anche queste competenze devono essere conformi a quanto richiesto dagli Stati.

Infine, tutto il personale che si occupa della parte legale, come quello che si occupa della parte tecnologica al quale sono richieste altre ma non meno impegnative competenze, deve assicurare un costante aggiornamento professionale.

Il possesso di questi requisiti e l’attività costante di aggiornamento devono essere accertati da Accredia in sede di accreditamento dell’organo di certificazione e verificati periodicamente.

Va da sé, infine, che anche il possesso di questi requisiti può cadere sotto il controllo e la verifica dell’Autorità di controllo.

Insomma, certamente l’attività di certificazione richiederà persone che possiedano, e siano in grado di dimostrare, una professionalità elevata e specialistica, sia per quanto riguarda le attività che comportano esperienze e conoscenze tecnologiche, sia, e forse ancora di più, per quelle che richiedono esperienza giuridica e conoscenza approfondita della normativa in materia di protezione dei dati personali.

Il GDPR e tutta la normativa di protezione dei trattamenti di dati personali è materia complessa e molto complicata, che non tollera e non perdona chi la voglia affrontare senza una preparazione e strumenti conoscitivi e operativi adeguati.

@RIPRODUZIONE RISERVATA

Articolo 1 di 2