Il comitato europeo per il trattamento dei dati, ovvero l’organismo indipendente che riunisce tutte le autorità nazionali dell'Unione Europea responsabili in tema di protezione dei dati di tutta l'UE, ha definitivamente approvato quello che è il primo sigillo europeo per la protezione dei dati.
IL PRIMO SIGILLO EUROPEO DI CERTIFICAZIONE DI CONFORMITÀ AL GDPR: COSA SONO LE CERTIFICAZIONI E COME FUNZIONANO?
Le certificazioni previste in ambito europeo garantiscono l’adeguamento ed il rispetto dei requisiti previsti dalle norme e dagli standard internazionali riguardo la conformità di prodotti, servizi, processi, sistemi e persone.
Detto adeguamento deve avvenire da parte di tutte le categorie di professionisti, imprese e organizzazioni pubbliche.
Tramite il certificato, il soggetto produttore e/o fornitore dimostra sul mercato le proprie capacità circa il mantenimento della conformità dei suoi prodotti e dei suoi servizi.
In tal senso viene utilizzato uno specifico marchio di conformità, posto sulla confezione del prodotto o in altri supporti.
In sostanza le certificazioni, quindi, altro non fanno che attestare una specifica capacità ed abilità che rende il professionista idoneo a svolgere una determinata attività, rappresentando così un riconoscimento formale per il professionista stesso che ha l’obbligo di rispettare dei requisiti necessari per poter operare nel proprio settore di attività.
È proprio attraverso la certificazione che le figure professionali sono motivate nell’acquisire, mantenere ed eventualmente migliorare nel tempo le proprie competenze, tenendole costantemente aggiornate.
Su questa linea il legislatore europeo, in tema di regolamento generale sulla protezione dei dati, ha previsto degli strumenti di certificazione per i titolari che vadano a garantire la correttezza dei trattamenti eseguiti.
Il 28 gennaio 2020, il Comitato europeo per la protezione dei dati personali (EDPB) ha pubblicato i criteri di certificazione riferiti ad una certificazione comune valida a livello europeo, stabilendo che i titolari di schemi di certificazione (che possono essere organizzazioni o imprese private non preposte al rilascio di certificazioni) o gli organismi di certificazione possono presentare allo EDPB formalmente criteri di certificazione validi nell’intera UE, nell’ordine:
- all’autorità di controllo competente per il luogo ove si colloca la sede principale del titolare dello schema;
- all’autorità di controllo competente per il luogo ove si colloca la sede principale dell’organismo di certificazione che gestisce lo schema di certificazione, tenuto conto dello Stato membro in cui è presumibile che sia rilasciato il maggior numero di certificazioni.
Anche le autorità di controllo (per noi, il Garante per la protezione dei dati personali) possono elaborare autonomamente criteri di certificazione validi nell’intera UE.
IL PRIMO SIGILLO EUROPEO DI CERTIFICAZIONE DI CONFORMITÀ AL GDPR: L’ARTICOLO 42 DEL REGOLAMENTO UE
Il riferimento normativo che prevede il sigillo europeo per la protezione dei dati è l’art. 42 del Regolamento UE n.679/2016.
Ai sensi dell’art. 42, comma 1, del regolamento generale europeo è previsto che: “Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento. Sono tenute in considerazione le esigenze specifiche delle micro, piccole e medie imprese.”
Detti strumenti, meccanismi di certificazione, sigilli e marchi, rappresentano un riferimento garantistico per titolari e responsabili del trattamento e tranquillizzano non solo gli stessi ma al contempo le autorità nazionali di supervisione nazionale circa il corretto trattamento dei dati.
L’articolo 42 del Regolamento n. 679/2016 incoraggia, dunque, l’istituzione di meccanismi di certificazione per la protezione dei dati personali nonché di sigilli e marchi di protezione dei dati.
Questo al fine di poter dimostrare la conformità al Regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento.
Al successivo articolo 43, infatti, viene poi stabilito che gli organismi di certificazione siano accreditati dall’Autorità di controllo competente, dall’organismo di accreditamento nazionale o da entrambi.
Tramite l’accreditamento, titolari e responsabili del trattamento, possono dimostrare la conformità al Regolamento n. 679/2016 mediante un’attestazione rilasciata da un ente terzo e indipendente.
IL PRIMO SIGILLO EUROPEO DI CERTIFICAZIONE DI CONFORMITÀ AL GDPR: LA CERTIFICAZIONE EUROPRIVACY
Dopo oltre quattro anni dall’entrata in vigore del GDPR, il 12 ottobre 2022 l’European Data Protection Board ha approvato la certificazione di Europrivacy.
Questa diventa il primo sigillo europeo sulla protezione dei dati ai sensi dell’art. 42 del Regolamento UE.
Europrivacy rappresenta, quindi, il primo meccanismo di certificazione che dimostra la conformità al regolamento generale sulla protezione dei dati (RGPD).
Tutto ciò segna significativi passi in avanti in tema di garanzia e rispetto delle norme innovative dell’Unione europea in materia di protezione della vita privata.
Con il regolamento generale sulla protezione dei dati, l’UE ha cercato di assumere un ruolo guida nell’ammodernamento e nel rafforzamento dei diritti e delle libertà degli utenti, questo proprio al fine di proteggere i loro dati personali e, dunque, la loro vita privata.
Il meccanismo di certificazione comprende un insieme di operazioni di trattamento dei dati in molti settori.
Ad effettuare tali operazioni sono i titolari del trattamento, le imprese e i servizi che decidono il perché e il come vengono trattati determinati dati personali, nonché i responsabili del trattamento, i terzi o i dipendenti che trattano i dati personali per conto del titolare del trattamento.
La certificazione Europrivacy aiuta anche i titolari del trattamento e i responsabili del trattamento dei dati nel certificare la loro validità in tutti gli Stati membri.
I criteri di certificazione Europrivacy si basano sui requisiti in materia di protezione dei dati stabiliti nel regolamento.
Imprese e servizi possono utilizzare il sistema di certificazione per aumentare il valore delle loro attività di produzione ed erogazione, nonché l’affidabilità dei loro servizi.
Questi potranno dunque utilizzare Europrivacy per:
- valutare la conformità delle loro attività di trattamento dei dati
- seleziona responsabili del trattamento dei dati
- valutare l’adeguatezza dei trasferimenti transfrontalieri di dati
- garantire ai cittadini e ai clienti un trattamento adeguato dei loro dati personali.
In questo modo anche i cittadini avranno una maggiore sicurezza e certezza che le imprese stanno trattando in maniera adeguata i loro dati personali, nel rispetto dei loro diritti di interessati.
Gli organi di certificazione nella protezione dei dati personali predisposti a tal fine devono essere in possesso del livello adeguato riguardo la protezione dei dati.
In sostanza dopo aver informato l’autorità di controllo, rilasciano e rinnovano la certificazione.
Gli stati membri, dal canto loro, devono garantire che tali organismi di certificazione siano accreditati da parte dell’autorità di controllo competente ai sensi degli articoli 55 o 56 ovvero dall’organismo nazionale di accreditamento designato in virtù del regolamento (CE) n. 765/2008 del Parlamento europeo e del Consiglio.
Il titolare del trattamento o il responsabile del trattamento che sottopone il trattamento effettuato al meccanismo di certificazione deve fornire all’organismo di certificazione o all’autorità di controllo competente tutte le informazioni e l’accesso alle attività di trattamento necessarie per poter espletare la procedura di certificazione.
La certificazione viene rilasciata al titolare del trattamento o responsabile del trattamento per un periodo pari massimo a 3 anni, può ovviamente essere rinnovata alle stesse condizioni, l’importante è che vengano sempre rispettati e soddisfatti i requisiti pertinenti.
Può nel caso anche essere revocata, sempre dagli stessi organismi suddetti, qualora sussistano i requisiti richiesti o non siano più soddisfatti ai fini della certificazione.
Per ricevere un aiuto per rendere conforme la tua azienda o la tua startup a quanto previsto dal GDPR e dalle normative in materia di privacy, scrivici all’indirizzo info@abinnovationconsulting.com, oppure compila i modulo seguente.