le norme

Certificazioni per trattamenti dati, a che punto siamo: chiariamo tutti i dubbi

Obiettivi e importanza dei meccanismi di certificazione della protezione dei dati introdotti dal Gdpr e complessità del sistema. Lo stato dell’arte in Italia, il ruolo di Accredia, i motivi del ritardo nell’attuazione e un focus sui requisiti professionali essenziali per operare nell’ambito degli organismi di certificazione

Pubblicato il 15 Gen 2019

Franco Pizzetti

professore emerito in diritto costituzionale, Università di Torino, ex Garante Privacy

gdpr_1038143170

Fin dall’entrata in vigore del Gdpr il fatto che gli artt. 42 e 43 prevedessero e regolassero la possibilità per titolari e responsabili di ottenere la “certificazione Gdpr” dei trattamenti effettuati ha scatenato, almeno in Italia, una “corsa” a offrire certificazioni di vario tipo, seconda soltanto alla corsa, non meno impressionante, che si è verificata per proporsi come DPO.

Lo Stato italiano, dal canto suo, ha fatto la sua parte, individuando l’Organismo nazionale di accreditamento – Accredia – il quale però non può ancora esercitare alcuna attività di accreditamento né possono esservi organismi di certificazione accreditati. Occorre infatti attendere la conclusione dei lavori da parte del Comitato dei garanti europei (EDPB), che dovrebbe avvenire a breve.

Nel frattempo, il problema centrale – e l’obiettivo primario delle considerazioni a seguire – è quello di proteggere titolari e responsabili dal non cessato attacco di “certificatori” più o meno consapevoli di quanto offrono e di quanto ciò che propongono sia, molto spesso, del tutto estraneo alla logica del GDPR.

In secondo luogo, queste riflessioni hanno anche il fine di stimolare, fin da ora, le società di certificazione e gli studi professionali che vogliano svolgere anche attività di certificazione di mettersi in condizione di essere compliant col Gdpr e le sue norme attuative, assicurando le professionalità necessarie.

L’importanza della certificazione

L’art. 42, paragrafo 1, del Gdpr contiene una norma di fondamentale importanza per questa materia, che recita:

“Gli Stati membri, le Autorità di controllo, il Comitato e la Commissione incoraggiano, in particolare a livello di Unione, l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari e dai responsabili del trattamento. Sono tenute in considerazione le esigenze specifiche delle micro, piccole e medie imprese.”

L’art. 42, terzo e quarto paragrafo, specificano inoltre che:

“La certificazione è procedura volontaria e accessibile tramite procedura trasparente” e che essa “non riduce la responsabilità del titolare e del responsabile del trattamento riguardo alla conformità al presente regolamento e lascia impregiudicati i compiti e i poteri delle Autorità di controllo di cui agli articoli 55 e 56.”

Infine, sempre l’art. 42, al paragrafo quinto, stabilisce che:

“La certificazione ai fini del presente articolo è rilasciata dagli organismi di certificazione di cui all’art. 43 o dall’autorità di controllo competente in base ai criteri approvati da tale autorità di controllo competente ai sensi dell’art. 58, paragrafo 3 o del comitato (EDPB), ai sensi dell’art. 63. Ove i criteri siano approvati dal comitato ciò può risultare in una certificazione comune, il sigillo europeo per la protezione dei dati personali”.

L’art. 43, dedicato ai meccanismi e agli organismi di certificazione specifica al primo paragrafo che:

“Fatti salvi i compiti e i poteri dell’Autorità di controllo competente di cui agli art. 57 e 58, gli organismi di certificazione in possesso del livello adeguato di competenze riguardo alla protezione dei dati, rilasciano e rinnovano la certificazione, dopo aver informato l’Autorità di controllo al fine di consentire alla stessa di esercitare i suoi poteri a norma del paragrafo 2, lettera h) ove necessario.

Gli Stati membri garantiscono che tali organismi di certificazione siano accreditati da uno o da entrambi dei seguenti organismi:

  1. Dall’autorità di controllo competente ai sensi degli artt. 55 o 56;
  2. Dall’organismo nazionale di accreditamento designato in virtù del Regolamento (CE) n. 764/2008 del Parlamento e del Consiglio conformemente alla norma EN-ISO/EC 17065/2012 e ai requisiti aggiuntivi stabiliti dall’Autorità di controllo cmpetente ai sensi degli art. 55 o 56”.

L’art. 43 secondo paragrafo contiene poi una lunga serie di specificazioni, che vanno dalla lettera a) alla lettera e), riguardo ai requisiti che comunque, al di là di quanto prescritto dalle Autorità nazionali o dall’EDPB, gli organismi di certificazione devono possedere per poter essere accreditati e poter svolgere la loro attività.

Obiettivi della certificazione

Il quadro normativo relativo alle certificazioni contenuto negli artt. 42 e 43, dei quali peraltro si sono riportati qui solo gli aspetti più rilevanti, consente di sottolineare alcuni punti essenziali:

  • la certificazione è sempre una scelta volontaria dei titolari o dei responsabili;
  • la certificazione deve sempre essere accessibile sulla base di procedure trasparenti;
  • La certificazione riguarda sempre e solo trattamenti di dati personali e ha lo scopo di dimostrare che i trattamenti effettuati dai titolari o dai responsabili che siano stati certificati secondo le modalità previste dagli artt. 42 e 43 sono conformi al GDPR;
  • La certificazione tuttavia non riduce la responsabilità del titolare o del responsabile né i compiti e i poteri delle Autorità di controllo.

A prima vista, leggendo in modo coordinato questi aspetti, sarebbe ragionevole chiedersi non tanto perché, come vuole l’art. 42, primo paragrafo, l’Unione Europea e gli Stati membri siano spinti a incoraggiare l’istituzione di meccanismi di certificazione, quanto perché i titolari e i responsabili dovrebbero avere interesse a chiedere tali certificazioni. Tanto più che, come si è sottolineato, esse non riguardano direttamente l’impresa o l’ente o il soggetto giuridico che trattano dati personali, ma gli specifici trattamenti che essi possono porre in essere nell’ambito delle attività svolte.

Una prima riposta la offre il Considerando 100 che afferma: “al fine di migliorare la trasparenza e il rispetto dovrebbe essere incoraggiata l’istituzione di meccanismi di certificazione e sigilli nonché marchi che consentano agli interessati di valutare rapidamente il livello di protezione dei dati dei relativi prodotti o servizi”.

Dunque, dal punto di vista del GDPR, l’obbiettivo principale della certificazione riguarda da un lato la trasparenza del trattamento e il suo rispetto del GDPR e dall’altro l’incremento della fiducia degli interessati che, grazie alla certificazione, possono “valutare rapidamente il livello di protezione dei loro dati” assicurato da chi fornisce i prodotti o i servizi.

Certificazioni per incrementare il clima di fiducia

Sostanzialmente, secondo il Considerando 100, le certificazioni, così come i sigilli e i marchi, hanno come primo scopo quello di incrementare quel clima di fiducia che il Considerando 7 considera come un obiettivo essenziale del GDPR al fine di “consentire lo sviluppo dell’economia digitale in tutto il mercato interno”.

I meccanismi di certificazione non mirano solo a rafforzare la tutela dei diritti degli interessati. La loro funzione è anche quella di incrementare la fiducia delle persone rispetto alla correttezza dei trattamenti di dati che le riguardano e di favorire così lo sviluppo del mercato digitale.

Questo spiega perché il ricorso alla certificazione sia lasciato alla libera scelta di titolari e responsabili, considerando che sia prima di tutto loro interesse specifico rafforzare la fiducia dei cittadini nelle loro attività. La stessa ragione spiega anche perché l’art. 42, paragrafo 1, nell’incentivare Unione Europea e Stati membri a porre in atto i meccanismi di certificazione, li inviti anche a tener conto delle esigenze specifiche delle micro, piccole e medie imprese.

È chiaro che si vuole consentire anche agli operatori di minori dimensioni e meno dotati di risorse economiche, di poter conquistare la fiducia dei cittadini-consumatori, concorrendo così anche essi a rafforzare il clima necessario allo sviluppo dell’economia digitale.

Le norme di cui tenere conto

Sarebbe però troppo restrittivo limitarsi a citare il Considerando 100 per spiegare il valore che le certificazioni, pur legate a singoli trattamenti o categorie di trattamenti, possono avere per i titolari e i responsabili, sì da spingerli a mettere in pratica quanto richiesto per ottenerle.

Per capire meglio il valore che la certificazione può avere per i titolari e i responsabili, giova ricordare alcune norme particolarmente importanti nell’ambito del GDPR.

La prima è quella contenuta nell’art. 24, paragrafo 3, che specifica, con riferimento all’obbligo per il titolare di poter dimostrare in ogni momento di essere compliant col GDPR, che “l’adesione ai codici di condotta di cui all’art.40 o a un meccanismo di certificazione di cui all’art. 42 può essere utilizzata per dimostrare il rispetto degli obblighi del titolare del trattamento”.

La seconda norma che spiega l’interesse a ottenere la certificazione rispetto ai trattamenti posti in essere è contenuta nell’art. 25.

Con riguardo all’obbligo del titolare di rispettare le norme contenute nei primi due paragrafi dell’art.25, relative alla privacy by design e by default, il terzo paragrafo afferma: “un meccanismo di certificazione approvato ai sensi dell’art. 42 può essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2”.

La terza norma di cui è bene tener conto è contenuta nel quinto paragrafo dell’art. 28, e fa riferimento ai rapporti tra titolare e responsabile e tra responsabile e sub responsabili disciplinati nel primo e quarto paragrafo dello stesso articolo e alle garanzie che tanto il responsabile quanto i sub responsabili devono dare circa la conformità dei trattamenti posti in essere al GDPR.

Stabilisce, infatti, l’art. 28, paragrafo 5 che “l’adesione da parte del responsabile del trattamento a un codice di condotta approvato di cui all’art.40 o a un meccanismo di certificazione approvato di cui all’art. 42 può essere utilizzata per dimostrare le garanzie sufficienti di cui ai paragrafi 1 e 4 del presente articolo”.

L’ultima norma che merita richiamare è l’art. 32 che riguarda la sicurezza del trattamento e che al primo paragrafo contiene un non breve elenco di misure di sicurezza che il titolare o il responsabile sono tenuti a valutare in rapporto ai rischi che i singoli trattamenti presentano.

Il terzo paragrafo dell’art.32 specifica che “l’adesione a un codice di condotta approvato di cui all’art. 40 o a un meccanismo di certificazione approvato di cui all’art. 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo”.

Tutte e quattro le norme citate consentono di comprendere perché aderire a un meccanismo di certificazione e ottenere la certificazione dei propri trattamenti di dati può avere per un titolare o un responsabile un interesse specifico molto rilevante.

I tre profili da considerare nelle certificazioni

Così ricostruito il quadro complessivo, emergono almeno tre profili importanti che vanno sempre tenuti presenti quando si parla di certificazioni.

Il primo, rivolto al rapporto tra titolare e responsabile, da un lato, e interessati, dall’altro, è orientato tutto a rafforzare la fiducia dell’interessato nei trattamenti posti in essere per fornire ai cittadini i prodotti e i servizi che rendono necessari i trattamenti. Un profilo che vuole rafforzare la fiducia degli interessati ma anche, e più in generale, la fiducia dei cittadini UE nell’economia digitale.

Il secondo profilo riguarda il rafforzamento della posizione del titolare e del responsabile rispetto all’Autorità di controllo e a chiunque possa legittimamente chiedere la dimostrazione della loro compliance al GDPR.

Il terzo profilo, riguarda i rapporti tra titolari e responsabili che sono costruiti dall’art. 28 in modo che il titolare sia tenuto a chiedere e verificare che il responsabile fornisce idonee garanzie sui trattamenti dei dati personali; cosa questa molto facilitata per entrambi se il responsabile (e gli eventuali sub responsabili) sono in possesso di certificazioni relative ai trattamenti oggetto del contratto.

A questi tre profili si deve aggiungere che l’essere in possesso di specifiche certificazioni facilita la posizione del titolare e del responsabile anche per quanto riguarda la dimostrazione di aver adottato misure di sicurezza adeguate rispetto ai rischi dei trattamenti che ne sono oggetto.

Tenendo presente le considerazioni fin qui svolte emerge con chiarezza il rilievo che la certificazione assume e si comprende meglio perché i meccanismi relativi, compresi quelli che riguardano l’accreditamento dei certificatori e quelli relativi alla loro attività siano così minuziosamente disciplinati negli artt. 42 e 43 del GDPR.

Gli organismi di certificazione

Infine, proprio il ruolo che, grazie a queste disposizioni, assumono le certificazioni giustifica anche i vincoli che possono essere posti dalle Linee guida che spetta al Comitato europeo per la protezione dei dati (e cioè all’EDPB) dettare sulla base di quanto previsto dall’art. 70 lettera p).

Si tratta della norma che assegna al Comitato il compito di specificare quali siano i requisiti vincolanti che le Linee guida delle Autorità nazionali devono definire per regolare l’attività di accreditamento degli organismi di certificazione, come previsto dall’art. 43, paragrafo 3. Si vuole, infatti, evitare che le attività di accreditamento degli organismi di certificazione divergano in misura troppo rilevante da Stato a Stato, mettendo a repentaglio eccessivo la uniformità di applicazione del GDPR su questo terreno così delicato.

Non è questa la sede per descrivere in dettaglio il contenuto di tutte queste disposizioni.

Basta ricordare che l’art. 43 prevede che le certificazioni possano essere rilasciate da “organismi di certificazione in possesso del livello adeguato di competenze con riguardo alla protezione dei dati personali”.

Gli Stati membri devono garantire che tali “organismi siano accreditati” e che comunque essi non possano rilasciare certificati, né rinnovarli, se non “dopo aver informato l’Autorità di controllo al fine di consentire ad essa di esercitare i suoi poteri a norma dell’articolo 58, paragrafo 2, lettera h)”.

Gli organismi di certificazione non possono operare ai sensi degli artt. 42 e 43 se non sono stati prima accreditati e gli Stati membri devono garantire che siano accreditati o “dall’Autorità di controllo competente ai sensi degli artt. 55 o 56” ovvero da un “Organismo nazionale di accreditamento designato in virtù del regolamento (CE) n. 758/2008 del Parlamento europeo e del Consiglio, conformemente alla norma EN-ISO/IEC 17065/2012 e ai requisiti aggiuntivi stabiliti dall’autorità di controllo competente ai sensi degli articoli 55 e 56”.

Il d.lgs. n.196 del 2003, come novellato dal d. lgs.n.101 del 2018, specifica all’art. 2-septiesdecies che “l’Organismo nazionale di accreditamento di cui all’art. 43, paragrafo 1, lettera b), del Regolamento è l’Ente unico nazionale di accreditamento istituito ai sensi del Regolamento (CE) n. 765/2008 del Parlamento europeo e del Consiglio, fatto salvo il potere del Garante di assumere direttamente, con deliberazione pubblicata in Gazzetta Ufficiale della Repubblica italiana e in caso di grave inadempimento dei suoi compiti da parte dell’Ente unico nazionale di accreditamento, l’esercizio di tali funzioni, anche con riferimento a una o più categorie di trattamenti”.

Il ruolo di Accredia

La scelta fatta dal legislatore delegato italiano è stata dunque nel senso di individuare un Organismo nazionale di accreditamento, ai sensi dell’art. 43, paragrafo 1, lettera b) al quale spetta accreditare gli organismi di certificazione che in concreto, e nel rispetto dei requisiti previsti, potranno poi rilasciare o rinnovare le certificazioni.

L’art.43, secondo paragrafo indica i requisiti che gli organismi di certificazione devono possedere e alcune delle modalità con le quali devono operare. Ovviamente nel sistema italiano spetta all’Organismo nazionale di accreditamento (Accredia) assicurarsi che gli organismi di certificazione che fanno richiesta di essere accreditati posseggano i requisiti richiesti dalla norma. Spetterà inoltre ad Accredia valutare i casi in cui, sulla base di quanto previsto dalle norme che disciplinano l’attività di certificazione, ricorrano le condizioni per revocare l’accreditamento.

Le complessità del sistema

Tuttavia, la complessità del sistema, e le ragioni per le quali esso non è ancora in grado di operare concretamente, non si arrestano qui.

Proprio perché lo Stato italiano ha scelto di individuare un Organismo nazionale di accreditamento e addirittura di considerare come quasi “sussidiario o emergenziale” l’intervento della Autorità garante, Accredia non può operare fino a che l’Autorità garante italiana non avrà definito “i requisiti aggiuntivi” previsti dall’ultima parte dell’art. 43, paragrafo 1, lettera b).

Questi “requisiti aggiuntivi” non devono essere considerati, malgrado la terminologia utilizzata, come aspetti marginali o secondari del sistema.

L’Autorità garante deve poi ottemperare a quanto previsto dall’art. 43, paragrafo 3 che specifica che l’accreditamento degli organi di certificazione deve avvenire “in base ai criteri approvati dall’Autorità di controllo competente ai sensi dell’art. 55 o 56 o dal comitato (EDPB) ai sensi dell’art.63 (quando si tratta di certificazioni europee)”.

Entrambi questi aspetti, quello dei requisiti ulteriori che l’Autorità di controllo deve adottare nei confronti dell’attività dell’Organismo nazionale di accreditamento e quello relativo ai criteri che spetta ad essa approvare a integrazione di quanto già disposto dalla normativa contenuta nel GDPR sono di particolare importanza.

Occorre infatti tenere presente che le Autorità di controllo nazionali non solo sono tenute a comunicare all’EDPB i requisiti aggiuntivi e le Linee guida che adotteranno a integrazione della normativa che l’Organismo nazionale di accreditamento deve seguire. Esse dovranno, a loro volta, assicurarsi che le Linee guida da loro adottate siano conformi alle indicazioni che, ai sensi dell’art. 70, primo paragrafo, lettera p), lo EDPB stabilirà al fine di uniformare i criteri relativi all’attività di accreditamento previsti dall’art. 43, paragrafo 3.

Alcuni punti fermi

Il quadro fin qui descritto è già molto complicato. È opportuno dunque, almeno per il momento, non allargare il campo all’esame del procedimento che deve essere seguito quando un titolare o un responsabile chieda di avere una certificazione europea, e cioè valida in tutto il territorio dell’Unione.

Vengono in rilievo infatti, in questo caso, gli artt. 63 e 70 del GDPR, che comportano ulteriori obblighi sia per l’Organismo nazionale di accreditamento che per gli organismi di certificazione.

Per quanto qui interessa sembra comunque sufficiente fissare i seguenti punti fermi:

  • Lo Stato italiano ha individuato un Organismo nazionale di accreditamento (Accredia) al quale spetta, in via principale, accreditare gli organismi di certificazione
  • Nessuno può ritenersi abilitato a rilasciare certificazioni ex art. 42 se non ha ottenuto da Accredia lo specifico accreditamento necessario per poter rilasciare questo tipo di certificazioni
  • Per poter essere accreditati è necessario possedere tutti i requisiti indicati dall’art. 43. A questi però si dovranno aggiungere i requisiti che eventualmente lo EDPB, ai sensi dell’art. 70, paragrafo 1, lettera p) individuerà e quelli che, in conformità con questi, definirà il Garante, imponendo ad Accredia di rispettarli ai sensi dell’art. 43, paragrafo 3.
  • Nessuno potrà rilasciare certificazioni senza accreditamento specifico ottenuto da Accredia o, nei casi eccezionali previsti dall’art.2 quattordecies del d.lgs. n. 196 del 2003 novellato, dall’Autorità garante.
  • I certificati potranno esser rilasciati o revocati solo dopo che siano stati trasmessi alla Autorità di controllo per l’eventuale esercizio dei suoi compiti e poteri, come previsto dall’art.43, paragrafo 1.

Lo stato di attuazione

L’analisi svolta è certamente lunga e complessa, malgrado si sia evitato di addentrarsi nel ginepraio delle certificazioni aventi validità su tutto il territorio dell’UE.

Essa però è giustificata dall’obbiettivo di evitare che qualche titolare o responsabile, o anche qualche organismo abilitato a rilasciare certificati che nulla hanno a che vedere con l’art. 42 del GDPR, possano, anche in buona fede, cadere in errore.

Per raggiungere meglio questo scopo è tuttavia necessario anche spiegare quale sia, al momento attuale, lo stato di attuazione di questa materia.

Come si è detto, lo Stato italiano ha fatto la sua parte e ha individuato l’Organismo nazionale di accreditamento.

Mancano invece ancora sia l’adozione da parte della Autorità Garante dei requisiti ulteriori che l’Organismo nazionale di accreditamento deve seguire, ex art. 43, paragrafo 1, lettera b), sia i criteri di cui all’art. 43, paragrafo 3.

Di conseguenza Accredia non può ancora esercitare alcuna attività di accreditamento né possono esservi organismi di certificazione accreditati.

La ragione di questa situazione non deriva da un ritardo del Garante a provvedere ma dalla estrema complessità della materia e dalla necessità di attendere che il Comitato dei garanti europei (EDPB) abbia concluso i lavori, in corso da tempo, per dare le indicazioni di cui all’art. 70 primo paragrafo lettera p).

Attesa per le indicazioni finali dell’EDPB

Il lavoro del Gruppo dei garanti europei (EDPB) è prossimo a concludersi.

Già il WP29 aveva adottato il 6 febbraio 2018 le Draft Guidelines on the accreditation of certification bodies under Regulation /EU) 2016/679 (WP29 n. 261).

Lo EDPB ha fatto proprio il lavoro del WP29, inglobandolo nelle Guidelines 1/2018 on certification and identifyng certification criteria in accordance with Articles 42 and 43 of the Regulation 2016/679, adottate il 25 maggio 2018.

Si tratta di un provvedimento importante innanzitutto per il suo contenuto, estremamente approfondito, che dovrà essere attentamente studiato da chi intenda svolgere attività di certificazione. Inoltre esso è importante anche perché è stato il primo provvedimento adottato dallo EDPB, nel suo primo giorno di insediamento.

Fino al dicembre scorso mancava ancora però l’Allegato Annex 1 al quale i documenti precedenti avevano fatto richiamo. Uno strumento, questo, necessario per specificare dettagliatamente molti aspetti rilevanti, fra i quali i requisiti professionali che devono avere, al loro interno, gli organismi che chiedano di essere accreditati come certificatori.

L’ Annex 1 è stato adottato il 4 Dicembre 2018 ed è ora nella fase della consultazione pubblica.

È del tutto ragionevole attendersi che possa essere approvato nel prossimo mese di febbraio, o al massimo di marzo.

Successivamente l’Autorità garante dovrà procedere ad adottare i provvedimenti di sua competenza previsti dall’art. 43,1, b) e dall’ art. 43.3

Solo dopo che l’Autorità garante avrà terminato il suo lavoro, Accredia potrà iniziare la sua attività e gli organismi che intendono svolgere funzioni di certificazione potranno chiedere di essere sottoposti alle procedure di accreditamento.

I requisiti professionali

Occorre dunque attendere ancora un poco prima che uno dei meccanismi fondamentali del GDPR, quello relativo alle certificazioni possa trovare piena attuazione.

L’auspicio è che i tempi possano essere accelerati, in modo che anche per questa parte il GDPR cominci a trovare attuazione.

Prima di concludere mi sembra opportuno richiamare l’attenzione di tutti, e in particolare di chi sia interessato a svolgere attività di certificazione, sul contenuto dell’Annex 1 adottato il 4 dicembre 2018 e al momento in corso di consultazione.

Questo Allegato, nel definire, fra molti altri aspetti trattati, i requisiti professionali che dovranno essere posseduti dalle persone che opereranno nell’ambito degli organismi di certificazione, chiarisce con molta forza che sono necessarie, in pari misura, sia competenze tecniche che competenze giuridiche.

Anzi, in conformità con le Linee guida adottate il 25 maggio, lo EDPB sottolinea che la protezione dei dati personali è finalizzata prima di tutto alla tutela di un diritto fondamentale e dei diritti e delle libertà delle persone. Di conseguenza il Comitato ritiene che le competenze giuridiche interne all’organismo di certificazione, o delle quali questo deve garantire di avvalersi, devono essere solide, robuste e persino, in qualche modo, preminenti su quelle tecniche.

Sta di fatto che l’Annex 1 al punto 6 specifica che le persone che operano all’interno dell’organismo di certificazione, o delle quali questo si avvale per la parte legale, devono garantire competenze giuridiche di alto livello.

È necessario infatti possedere almeno un titolo universitario riconosciuto in UE e rilasciato dopo almeno otto semestri di studi giuridici, compreso, eventualmente il possesso di un Master. In alternativa, occorre avere una esperienza professionale significativa, riconosciuta e di livello adeguato.

Inoltre il personale che svolge funzioni che comportano responsabilità in ordine al rilascio dei certificati deve avere, soprattutto per la parte legale, una significativa esperienza in materia di protezione dei dati personali.

Chi si occupa di valutazione deve possedere anche conoscenze ed esperienze adeguate nello svolgimento di procedure analoghe, come attività di certificazione e di audit e anche queste competenze devono essere conformi a quanto richiesto dagli Stati.

Infine, tutto il personale che si occupa della parte legale, come quello che si occupa della parte tecnologica al quale sono richieste altre ma non meno impegnative competenze, deve assicurare un costante aggiornamento professionale.

Il possesso di questi requisiti e l’attività costante di aggiornamento devono essere accertati da Accredia in sede di accreditamento dell’organo di certificazione e verificati periodicamente.

Va da sé, infine, che anche il possesso di questi requisiti può cadere sotto il controllo e la verifica dell’Autorità di controllo.

Insomma, certamente l’attività di certificazione richiederà persone che possiedano, e siano in grado di dimostrare, una professionalità elevata e specialistica, sia per quanto riguarda le attività che comportano esperienze e conoscenze tecnologiche, sia, e forse ancora di più, per quelle che richiedono esperienza giuridica e conoscenza approfondita della normativa in materia di protezione dei dati personali.

Il GDPR e tutta la normativa di protezione dei trattamenti di dati personali è materia complessa e molto complicata, che non tollera e non perdona chi la voglia affrontare senza una preparazione e strumenti conoscitivi e operativi adeguati.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati