A Madrid (Spagna) si è svolto un seminario di lavoro delle autorità di controllo della protezione dei dati personali degli Stati membri dell’UE sull’applicazione del meccanismo di accreditamento degli organismi di certificazione. Al seminario hanno partecipato rappresentanti del Dipartimento legale dell’Ispettorato statale per la protezione dei dati.
Il Comitato europeo per la protezione dei dati (EDPB) ha indicato che meccanismi di certificazione significativi possono contribuire a garantire un migliore rispetto delle disposizioni del Regolamento generale sulla protezione dei dati (GDPR), una maggiore trasparenza per gli interessati e lo sviluppo di relazioni business-to-business (B2B) , quali la cooperazione tra titolari e responsabili del trattamento. Il considerando 100 del preambolo del GDPR sottolinea che i meccanismi di certificazione potrebbero aiutare gli interessati a valutare il livello di protezione dei dati di prodotti o servizi specifici (dimostrare di rispettare il GDPR nel trattamento dei dati personali). La certificazione è un processo volontario ed è discussa più dettagliatamente negli articoli 42-43 del GDPR.
Al fine di garantire la corretta erogazione dei servizi di certificazione, le autorità di controllo della protezione dei dati personali predispongono (e, d’intesa con EDAV, approvano) criteri di accreditamento per gli organismi di certificazione. Negli Stati membri, l’accreditamento degli organismi di certificazione viene effettuato dagli uffici nazionali di accreditamento o dalle autorità di controllo della protezione dei dati personali (da soli o insieme agli uffici nazionali di accreditamento). Attualmente solo uno Stato membro in Europa – il Lussemburgo – ha accreditato gli organismi di certificazione ai sensi del GDPR, in altri quattro Stati sono stati avviati processi di accreditamento. Attualmente sono 12 le autorità di controllo della protezione dei dati personali che hanno approvato i criteri di accreditamento degli organismi di certificazione. L’Ispettorato statale per la protezione dei dati (VDAI) ha sottoposto all’EDAV i suddetti criteri , ma il processo di armonizzazione degli stessi non è ancora stato completato.
Al fine di garantire una pratica unificata nell’accreditamento degli organismi di certificazione, in Spagna le autorità di controllo della protezione dei dati personali si sono riunite per discutere gli aspetti più difficili dell’accreditamento degli schemi di certificazione o della valutazione dei meccanismi di certificazione, relativi all’identificazione del soggetto di valutazione ( Obiettivo inglese della valutazione ), ampliamento del campo di applicazione dei certificati nazionali, valutazione dei criteri di accreditamento, ecc. Si tratta del primo incontro di questo tipo tra le autorità di vigilanza dell’UE. All’incontro hanno partecipato complessivamente 35 rappresentanti di 21 autorità di controllo della protezione dei dati personali.
Uno dei temi del seminario di lavoro è stato “La cooperazione tra le autorità di vigilanza”. I partecipanti al seminario hanno esaminato i singoli aspetti di tale cooperazione in quattro gruppi di lavoro. Uno di questi gruppi è stato moderato dalla rappresentante della VDAI Margarita Valčiukė.
Come afferma M. Valčiukė: “la certificazione dei gestori dei dati (responsabili del trattamento dei dati) è uno strumento importante per aumentare la fiducia nei servizi e nei prodotti offerti da questi partecipanti al mercato. I certificati emessi in conformità al GDPR dimostrano che l’attività certificata o parte di essa soddisfa le aspettative dell’autorità di controllo della protezione dei dati personali e i requisiti del GDPR. Si tratta di un processo incoraggiante, ma impegnativo, durante il quale le entità che cercano l’accreditamento o la certificazione vengono valutate in modo molto dettagliato (vengono valutate sia le loro attività che la competenza, l’indipendenza e altri aspetti dei loro dipendenti).