Accreditamento e certificazione nel Regolamento UE 2016/679 – introduzione

Il Regolamento UE 2016/679 (di seguito Regolamento) agli articoli 42 e 43, prevede e incoraggia l’istituzione di meccanismi per la certificazione della protezione dei dati personali ai fini della corretta applicazione del Regolamento e della dimostrazione della conformità allo stesso dei trattamenti effettuati dai titolari e dai responsabili del trattamento (cfr. considerando 77, 81 e 100 e articoli 24 (3), 25(3), 28(5), 32(3), 35(8), 46(2) e 83(2)).

La certificazione rappresenta uno strumento utile per il titolare e il responsabile del trattamento per dimostrare il rispetto degli obblighi, le garanzie sufficienti, la conformità a requisiti di protezione dei dati.

In soggetti usualmente coinvolti in un sistema di accreditamento e certificazione sono:

– l’azienda/ente che richiede la certificazione;

– l’organismo di certificazione o certificatore, accreditato, che rilascia i certificati sulla base dei risultati delle verifiche condotte da valutatori accreditati (laboratori di verifica o ispettori) e vigila sulla corretta gestione dei certificati;

– l’ente di accreditamento che accredita i certificatori e/o i valutatori (laboratori di verifica o ispettori) e controlla periodicamente il mantenimento dei requisiti previsti da parte di tali soggetti.

L’art. 43(1) del Regolamento, richiede che il certificatore debba essere accreditato dall’autorità di controllo competente o dall’organismo nazionale di accreditamento designato in virtù del regolamento (CE) n. 765/2008 o da entrambi.

Il regolamento (CE) n. 765/2008 prevede che ciascun stato membro abbia uno e un solo ente di accreditamento e definisce l’accreditamento come “l’attestazione … che certifica che un determinato organismo di valutazione della conformità soddisfa i criteri stabiliti da norme armonizzate e, ove appropriato, ogni altro requisito supplementare, compresi quelli definiti nei rilevanti programmi settoriali, per svolgere una specifica attività di valutazione della conformità”. L’accreditamento assicura, quindi, che l’organismo di certificazione soddisfi i criteri e i requisiti stabiliti e abbia le competenze necessarie per svolgere i suoi compiti.

Il quadro legislativo vigente1 prevede che il ruolo di ente di accreditamento sia svolto dall’organismo nazionale di accreditamento2, fatto salvo il potere del Garante di assumere direttamente l’esercizio di tali funzioni con riferimento a una o più categorie di trattamenti.

L’accreditamento è sempre legato a uno schema di certificazione3, ovvero, per rilasciare certificazioni, ogni organismo di certificazione deve accreditarsi per il relativo schema secondo specifici requisiti. Tali schemi di certificazione possono essere redatti da un organismo di certificazione, da un ente pubblico (a esempio, nel caso del Regolamento, l’autorità di controllo) o un attore privato.

L’accreditamento, inoltre, è rilasciato per lo schema di certificazione secondo i requisiti indicati nelle seguenti norme tecniche internazionali che differiscono per l’oggetto della certificazione:

– ISO 17065 – Conformity assessment — Requirements for bodies certifying products, processes and services: utilizzata per l’accreditamento di organismi di certificazione che si occuperanno di certificare prodotti, processi e servizi;

– ISO 17021 – Conformity assessment – Requirements for bodies providing audit and certification of management systems: utilizzata per l’accreditamento di organismi di certificazione che si occuperanno di certificare di sistemi di gestione4;

– ISO 17024 – Conformity assessment — General requirements for bodies operating certification of persons: utilizzata per l’accreditamento di organismi di certificazione che si occuperanno di certificare abilità, competenze e conoscenze di persone.

Nel caso del Regolamento l’articolo 43 richiama espressamente la norma EN ISO/IEC 17065/2012, ovvero certificazione di prodotti, processi e servizi, nonché i requisiti aggiuntivi stabiliti dall’autorità di controllo competente.

I requisiti della EN ISO/IEC 17065/2012 coprono numerosi aspetti e sono raggruppati in cinque macro classi: requisiti generali (es. legali e contrattuali, imparzialità, sostenibilità finanziaria, non discriminazione, confidenzialità, trasparenza) strutturali (es. organizzazione, procedure per assicurare imparzialità), sulle risorse (gestione del personale e delle relative competenze), sui processi (rilascio, gestione e revoca della certificazione e gestione dei reclami) e sui sistemi di gestione dell’organismo di certificazione.

Tali requisiti comprendono in larga parte quanto previsto dall’articolo 43(1) del regolamento in particolare circa l’indipendenza, la competenza e l’assenza di conflitto di interessi dell’organismo di certificazione, il rispetto dei criteri di certificazione (ovvero lo schema di certificazione), le procedure per il rilascio, il riesame periodico e il ritiro delle certificazioni, dei sigilli e dei marchi di protezione dei dati, le procedure e strutture atte a gestire i reclami relativi a violazioni della certificazione.

Per quanto riguarda i requisiti aggiuntivi per l’accreditamento, ai sensi dell’art. 43, paragrafo 1, lettera b) del Regolamento, il comitato europeo per la protezione dei dati (EDPB) sta perfezionando un documento di linee guida “Guidelines to identify common criteria to accredit certification bodies under Regulation 2016/679”, già sottoposto a inchiesta pubblica da gennaio a marzo 2018.

Poiché la definizione di questi requisiti è comunque strettamente legata all’individuazione dell’oggetto della certificazione che, secondo l’articolo 42(5) deve essere rilasciata in base ai criteri approvati dall’autorità di controllo competente, il comitato europeo per la protezione dei dati (EDPB) sta perfezionando un documento di linee guida “Guidelines to identify common criteria to certify processing under Regulation 2016/679”, già sottoposto a inchiesta pubblica dal 30 maggio al 12 luglio 2018.