di Valeria Zeppilli – Il GDPR, tra le varie previsioni, prevede anche la possibilità di dotarsi di una certificazione accreditata della protezione dei dati personali, finalizzata ad attestare che i trattamenti effettuati dai responsabili e dai titolari sono conformi alla normativa in materia di privacy.

• 1. Cos'è la certificazione GDPR
• 2. Certificazione GDPR: chi la rilascia
• 3. Certificazione: obblighi del titolare e del responsabile
• 4. Durata della certificazione

Cos'è la certificazione GDPR

A prevedere la certificazione, nel dettaglio, è l'articolo 42 del GDPR, che affida agli Stati membri, alle autorità di controllo, al comitato e alla Commissione il compito di incoraggiare l'istituzione di meccanismi di certificazione della protezione dei dati, tesi a dimostrare la conformità dei trattamenti al regolamento.

Si tratta di un meccanismo volontario, accessibile tramite una procedura trasparente e che, in ogni caso, non può ridurre la responsabilità del titolare o del responsabile del trattamento riguardo alla conformità al GDPR né alleggerire i compiti e i poteri delle autorità di controllo.

Certificazione GDPR: chi la rilascia

La certificazione GDPR può essere rilasciata solo dall'autorità competente o da organismi di certificazione accreditati.

A tal proposito, va specificato che tali organismi sono accreditati solo se:

• dimostrano in maniera convincente la propria indipendenza e la propria competenza riguardo al contenuto della certificazione;
• si impegnano al rispetto dei criteri fissati dal paragrafo 5 dell'articolo 42 del GDPR;
• istituiscono specifiche procedure per il rilascio, il riesame periodico e la revoca delle certificazioni;
• istituiscono procedure e strutture trasparenti per gestire i reclami relativi alle violazioni della certificazione o alle modalità della sua attuazione da parte del titolare o del responsabile del trattamento;
• dimostrano in maniera convincente che i compiti e le funzioni che svolgono non danno adito a conflitti di interesse.

Certificazione: obblighi del titolare e del responsabile

In caso di ricorso alla procedura di certificazione - che, si ribadisce, è del tutto volontaria - il titolare o il responsabile del trattamento è tenuto a fornire all'organismo di certificazione o all'autorità di controllo competente tutte le informazioni necessarie e deve permettere l'accesso alle attività di trattamento utili per espletare la procedura di certificazione.

Durata della certificazione

La certificazione, una volta rilasciata, ha una durata di tre anni. Tuttavia, se continuano a essere soddisfatti i criteri richiesti per il suo rilascio, può essere rinnovata alle medesime condizioni già previste.

Se, invece, i criteri per la certificazione non sono più soddisfatti, gli organismi che la hanno rilasciata o l'autorità di controllo competente possono revocarla.

Vai alla guida Gdpr: tutto ciò che c'è da sapere