GARANTE PRIVACY – Comunicato 04 settembre 2020
GDPR: il Garante privacy stabilisce i requisiti aggiuntivi per l’accreditamento dei certificatori
Assenza di conflitti di interesse, adeguata formazione delle risorse umane, gestione ottimale dei reclami, verifiche periodiche sui servizi e sui prodotti certificati. Questi alcuni dei requisiti fissati dal Garante per la protezione dei dati personali per l’accreditamento degli organismi di certificazione che potranno attestare il rispetto delle norme del Regolamento europeo sulla privacy (Gdpr) da parte di imprese ed enti che trattano dati personali per fornire specifici prodotti o servizi.
Il Regolamento europeo prevede che il rilascio di certificazioni in materia di protezione dati sia effettuato da organismi accreditati a svolgere tali funzioni. In Italia, il legislatore ha affidato il compito dell’accreditamento ad Accredia. L’accreditamento deve avvenire sulla base dei requisiti contenuti nella norma tecnica internazionale EN-ISO/IEC 17065:2012 e di ulteriori requisiti “aggiuntivi” stabiliti dalle Autorità privacy nazionali, sulla base di un modello comune definito dal Comitato europeo per la protezione di dati (Edpb).
Il provvedimento del Garante che contiene proprio questi requisiti aggiuntivi è stato adottato dopo il parere favorevole rilasciato dall’Edpb e stabilisce che Accredia verifichi che gli organismi certificatori soddisfino criteri di onorabilità, indipendenza e imparzialità, attestando l’assenza di conflitti di interesse con i soggetti che desiderano certificarsi. I certificatori, inoltre, dovranno essere dotati di personale qualificato e costantemente aggiornato, dovranno adottare adeguati processi di gestione di eventuali reclami e implementare periodiche procedure di sorveglianza sui prodotti, processi e servizi certificati. Ulteriori specifici requisiti individuati dal Garante riguardano gli accordi di certificazione definiti dagli organismi di certificazione con i propri clienti che dovranno, ad esempio, contenere clausole che garantiscano piena trasparenza sull’attività svolta dal titolare o responsabile del trattamento certificato.
L’Autorità sottolinea che la certificazione è un elemento importante in termini di responsabilizzazione – perché attesta, attraverso organismi indipendenti, l’impegno a conformarsi al Gdpr da parte dell’impresa o dell’ente che la ottengono – e contribuisce ad aumentare la fiducia degli utenti riguardo alla gestione dei loro dati personali.
La certificazione, tuttavia, ricorda l’Autorità, non esaurisce gli obblighi di osservanza del Gdpr e, in ogni caso, lascia impregiudicati i compiti e i poteri di controllo del Garante.
Possono essere interessanti anche le seguenti pubblicazioni:
- Processo amministrativo telematico: via libera del Garante privacy - Conservazione documenti digitali: il Garante privacy chiede maggiori tutele - Il ruolo degli Organismi di Vigilanza dopo il Gdpr - Registro dei tumori della provincia di Trento: le…
- GARANTE PROTEZIONE DATI PERSONALI - Nota 05 luglio 2019, n. 455 - Lotta al bagarinaggio: sì del Garante a vendita biglietti nominativi on line - Reddito di cittadinanza: Garante Privacy, ok a regole per accessi selettivi ai dati - Gdpr: il Garante…
- GARANTE PROTEZIONE DATI PERSONALI - Nota 22 luglio 2019, n. 456 - Garante privacy: no spam ai possessori di carte fedeltà - Diritto all'oblio anche per i dati che rendono identificabile una persona - Isee precompilato: Garante, ok alla prima fase…
- GARANTE PROTEZIONE DATI PERSONALI - Nota 03 dicembre 2021, n. 484 - Tabulati: Tim nega l'accesso a un cliente e scatta la sanzione del Garante privacy - Customer care: Garante privacy, no al controllo a distanza dei lavoratori - Sanità: sì del Garante…
- GARANTE PROTEZIONE DATI PERSONALI - Nota n. 505 del 28 giugno 2023 - Fidelity card: il Garante privacy sanziona il Gruppo Benetton - Garante: stop al web scraping per formare elenchi telefonici - Garante privacy: illecite le email pubblicitarie senza…
- GARANTE PROTEZIONE DATI PERSONALI - Nota 31 gennaio 2022, n. 486 - Riflettori del Garante privacy su cookies, smart toys, app "rubadati" - Marketing: il Garante privacy sanziona l’utilizzo di liste non verificate - Fisco: Garante privacy, attenzione…
RICERCA NEL SITO
NEWSLETTER
ARTICOLI RECENTI
- L’indennità sostitutiva di ferie non godute
La Corte di Cassazione, sezione lavoro, con l’ordinanza n. 9009 depositata…
- Il giudice tributario è tenuto a valutare la corre
La Corte di Cassazione, sezione tributaria, con l’ordinanza n. 5894 deposi…
- Il lavoratore ha diritto al risarcimento del danno
La Corte di Cassazione, sezione lavoro, con l’ordinanza n. 10267 depositat…
- L’Iva detratta e stornata non costituisce elusione
L’Iva detratta e stornata non costituisce elusione, infatti il risparmio fiscale…
- Spese di sponsorizzazione sono deducibili per pres
La Corte di Cassazione, sezione tributaria, con l’ordinanza n. 6079 deposi…