Garanti e organismi nazionali di accreditamento per accreditare gli organismi per le certificazioni di conformità al GDPR si baseranno sulla ISO 17065:2012
In vista dell’entrata in vigore del GDPR il prossimo 25 maggio 2018, il Gruppo di lavoro Articolo 29 ha scritto una lettera all’ISO (International Organization for Standardization), chiedendo che il testo della norma ISO 17065/2012 venga reso gratuitamente disponibile a tutti coloro che siano interessati a prenderne visione.
La norma UNI CEI EN ISO/IEC:17065 del 2012 è un documento che fissa i requisiti standard che un organismo di certificazione dovrebbe rispettare per provare di operare in modo coerente e imparziale, in vista del rilascio di certificazioni per processi, servizi e prodotti. Il regolamento generale sulla protezione dei dati (GDPR), agli artt. 42 e 43, consente alle Autorità per la protezione dei dati (DPA o Garanti nazionali) di mettere a punto certificazioni che consentano a titolari e responsabili del trattamento di dimostrare la propria conformità alle disposizioni del regolamento.
Il Gruppo di Lavoro Articolo 29 (WP29) sta al momento elaborando un insieme di linee guida su questo tema, che consentiranno di chiarire come operare in vista del rilascio degli accreditamenti e delle certificazioni, linee guida rivolte alle DPA nazionali, agli organismi di accreditamento, agli organismi di certificazione e ai titolari e responsabili del trattamento.
Nello specifico, l’articolo 43, paragrafo 1, del GDPR consente agli organismi di certificazione di accreditarsi presso l’organismo nazionale di accreditamento nominato conformemente al regolamento n. 765/2008 (per l’Italia ACCREDIA) o dal Garante nazionale o da entrambi i soggetti.
Quando l’accreditamento viene svolto dall’organismo nazionale di accreditamento, il GDPR stabilisce che deve essere eseguito in conformità con lo standard ISO 17065/2012 e con i requisiti aggiuntivi fissati dall’autorità nazionale per la protezione dei dati (DPA).
Il Gruppo Art. 29 prescrive che, al fine di mettere a punto processi uniformi a livello dell’Unione, anche quando l’accreditamento viene eseguito presso l’Autorità nazionale per la protezione dei dati, gli organismi di certificazione dovrebbero risultare conformi allo standard ISO 17065. Pertanto, anche in vista della concreta attuazione di quanto disposto dall’articolo 43, paragrafo 6, del GDPR secondo cui l’Autorità per la protezione dei dati deve rendere pubblici “in una forma facilmente accessibile” i criteri utilizzati per l’accreditamento, il Gruppo Art. 29 chiede all’organismo ISO che lo standard normativo 17065/2012, attualmente protetto dal copyright, venga reso pubblico a tutti gli interessati senza alcun costo. Ciò, dice il Gruppo dei Garanti europei, consentirebbe alle autorità nazionali di adempiere agli obblighi legali stabiliti nel GDPR e contribuirebbe allo sviluppo dei dati certificazione di protezione.
Rendere disponibile questo standard a titolo gratuito potrà contribuire anche allo sviluppo di ISO, in quanto l’ente potrà:
- estendere l’impiego della norma ISO 17065 fornendo un elenco di termini, definizioni e concetti di base nella gestione dell’accreditamento;
- sviluppare l’accreditamento e la certificazione ai sensi del GDPR;
- aumentare l’uso di altri standard di privacy ISO che le autorità nazionali potranno impiegare nella propria procedura di certificazione.