La ausencia de conflictos de interés, adecuada formación de las recursas humanas, gestión optimal de las quejas, verificas periódicas sobre los servicios y los productos certificados. Estos son algunos de los requisitos fijados desde el Garante de Protección de Datos Personales para la acreditación de los organismos de certificación que podrán certificar el respecto de las normas del Reglamento General de Protección de Datos Personales (GDPR) por parte de las empresas y entes que tratan datos personales para ofrecer productos o servicios específicos.
El Reglamento Europeo prevé que la concesión de certificaciones en materia de protección de datos sea efectuado desde organismos acreditados a desempeñar estas funciones. En Italia, el legislador ha asignado la tarea de la acreditación a Accredia. La acreditación debe realizarse basándose sobre los requisitos incluidos en la norma técnica internacional EN-ISO/IEC 17065:2012 y adicionales requisitos establecidos desde las Autoridades de Privacy nacionales, basándose sobre un modelo común definido desde el Comité Europeo de Protección de Datos (EDPB).
La disposición del Garante que incluye estos requisitos adicionales ha sido adoptado después la opinión favorable dejada desde EDPB y establece que Accredia compruebe que los organismos certificadores se cumplen con los criterios de honorabilidad, independencia e imparcialidad, atestando la ausencia de conflictos de interés con sujetos que desean certificarse.
Los certificadores, además, tendrán que ser dotados de personal calificado y constantemente actualizado, tendrán que adoptar adecuados procesos de gestión de eventuales quejas e implementar proceduras periódicas de videovigilancia en los productos, procesos y servicios certificados.
Adicionales específicos requisitos individuales desde el Garante se refieren a acuerdos de certificación definidos desde organismos de certificación con los propios clientes que tendrán, por ejemplo, incluir cláusulas que garantizan plena transparencia sobre la actividad desempeñada desde el responsable o el encargado del tratamiento certificado.
La Autoridad subraya que la certificación es un elemento importante en términos de responsabilización -porque certifica, mediante organismos independientes, el compromiso a cumplirse con el GDPR por parte de la empresa o del ente que lo consiguen – y contribuir a aumentar la confianza de los clientes sobre la gestión de sus datos personales.
La certificación, todavía, recuerda la Autoridad, no agota las obligaciones de observancia del GDPR y, en cada caso, deja sin perjuicios los deberes y los poderes de control del Garante.
FUENTE: FEDERPRIVACY