Il sistema delle certificazioni è disciplinato, nel GDPR, agli artt. 42 e 43.
In particolare, l’art. 42 (“Certificazione 1. Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento. Sono tenute in considerazione le esigenze specifiche delle micro, piccole e medie imprese. 2. Oltre all’adesione dei titolari del trattamento o dei responsabili del trattamento soggetti al presente regolamento, i meccanismi, i sigilli o i marchi approvati ai sensi del paragrafo 5 del presente articolo, possono essere istituiti al fine di dimostrare la previsione di garanzie appropriate da parte dei titolari del trattamento o responsabili del trattamento non soggetti al presente regolamento ai sensi dell’articolo 3, nel quadro dei trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali alle condizioni di cui all’articolo 46, paragrafo 2, lettera f ). Detti titolari del trattamento o responsabili del trattamento assumono l’impegno vincolante e azionabile, mediante strumenti contrattuali o di altro tipo giuridicamente vincolanti, di applicare le stesse adeguate garanzie anche per quanto riguarda i diritti degli interessati. 3. La certificazione è volontaria e accessibile tramite una procedura trasparente. 4. La certificazione ai sensi del presente articolo non riduce la responsabilità del titolare del trattamento o del responsabile del trattamento riguardo alla conformità al presente regolamento e lascia impregiudicati i compiti e i poteri delle autorità di controllo competenti a norma degli articoli 55 o 56. 5. La certificazione ai sensi del presente articolo è rilasciata dagli organismi di certificazione di cui all’articolo 43 o dall’autorità di controllo competente in base ai criteri approvati da tale autorità di controllo competente ai sensi dell’articolo 58, paragrafo 3, o dal comitato, ai sensi dell’articolo 63. Ove i criteri siano approvati dal comitato, ciò può risultare in una certificazione comune, il sigillo europeo per la protezione dei dati. 6. Il titolare del trattamento o il responsabile del trattamento che sottopone il trattamento effettuato al meccanismo di certificazione fornisce all’organismo di certificazione di cui all’articolo 43 o, ove applicabile, all’autorità di controllo competente tutte le informazioni e l’accesso alle attività di trattamento necessarie a espletare la procedura di certificazione. 7. La certificazione è rilasciata al titolare del trattamento o responsabile del trattamento per un periodo massimo di tre anni e può essere rinnovata alle stesse condizioni purché continuino a essere soddisfatti i requisiti pertinenti. La certificazione è revocata, se del caso, dagli organismi di certificazione di cui all’articolo 43 o dall’autorità di controllo competente, a seconda dei casi, qualora non siano o non siano più soddisfatti i requisiti per la certificazione. 8. Il comitato raccoglie in un registro tutti i meccanismi di certificazione e i sigilli e i marchi di protezione dei dati e li rende pubblici con qualsiasi mezzo appropriato”) prevede che gli Stati membri dell’UE, le Autorità di controllo, il Comitato europeo per la protezione dei dati e la Commissione incoraggino l’istituzione di appositi meccanismi di certificazione della protezione dei dati, nonché di sigilli e marchi di protezione che consentano di dimostrare che il trattamento dei dati è effettuato in modo conforme al Regolamento.
Questi meccanismi, sigilli, o marchi approvati, oltre ad essere direttamente adottati dai titolari e responsabili del trattamento, possono anche avere la funzione di dimostrare l’adozione di garanzie adeguate da parte di quei titolari o responsabili del trattamento che non rientrano nel campo di applicazione del GDPR, nel caso quindi in cui vi sia un trasferimento di dati personali verso paesi terzi o organizzazioni internazionali.
In questo caso, infatti, i titolari o responsabili del trattamento assumono l’impegno di applicare garanzie adeguate alla protezione dei dati personali, anche per quanto riguarda i diritti degli interessati, attraverso degli strumenti contrattuali o di altro tipo che siano giuridicamente vincolanti.
Per quanto riguarda nello specifico la certificazione, questa avviene su base volontaria ed è accessibile mediante una procedura trasparente. Questa, peraltro, non ha lo scopo o la funzione di diminuire la responsabilità del titolare o del responsabile del trattamento per quanto concerne la conformità del trattamento dei dati al Regolamento, così come lascia impregiudicati i poteri delle competenti Autorità di controllo.
L’art. 42, paragrafo 7 stabilisce poi che la certificazione possa essere rilasciata al titolare o responsabile del trattamento per un periodo massimo di 3 anni. Essa potrà poi essere successivamente rinnovata alle stesse condizioni, purché ovviamente continuino ad essere soddisfatti i requisiti di base. Ugualmente, qualora i presupposti non siano più soddisfatti la certificazione potrà essere revocata.
Come previsto dall’art. 42, par. 8, il Comitato europeo per la protezione dei dati personali dovrà raccogliere in un apposito registro tutti i meccanismi di certificazione, i sigilli e i marchi di protezione dei dati in modo tale da consentire ai titolari di riconoscere le certificazioni ufficiali ed appropriate.
La certificazione rilevante in tal senso, infatti, è solo quella che viene rilasciata dagli appositi organismi di certificazione previsti dall’art. 43 del GDPR o dall’Autorità di controllo competente sulla base di criteri da essa stessa approvati.
Gli organismi che, in base a quanto stabilito nel GDPR, si dovranno occupare della certificazione nella protezione dei dati personali dovranno essere in possesso di un adeguato livello di competenze in materia di protezione dei dati. Questi, in particolare, rilasciano e rinnovano le certificazioni dopo averne informato l’Autorità di controllo, la quale potrà, eventualmente, rivolgere degli avvertimenti al titolare e responsabile del trattamento nel caso in cui sia verosimile che si stia realizzando una violazione delle disposizioni del regolamento.
Questi organismi di certificazione dovranno poi essere accreditati alternativamente:
- dalla competente Autorità di controllo; oppure
- dall’organismo nazionale di accreditamento designato in virtù del regolamento (CE) n. 765/2008 del Parlamento europeo e del Consiglio in conformità alla norma EN-ISO/IEC 17065/2012 e ai requisiti aggiuntivi eventualmente stabiliti dall’autorità di controllo competente.
L’accreditamento dell’organismo di certificazione potrà essere ottenuto solo nel caso in cui:
- Sia stata data all’autorità di controllo competente una sufficiente dimostrazione di indipendenza e di competenza con riferimento al contenuto della certificazione;
- Sia stata data idonea garanzia del rispetto dei requisiti stabiliti dal GDPR e approvati dall’autorità di controllo competente;
- Siano state predisposte delle procedure per il rilascio e per la rivalutazione periodica delle certificazioni, dei sigilli e dei marchi di protezione dei dati;
- Siano state predisposte delle adeguate procedure e strutture al fine di gestire i reclami riguardanti eventuali violazioni della certificazione, o le modalità in cui la certificazione è stata attuata dal titolare del trattamento o dal responsabile del trattamento, in modo tale da renderle il più possibile trasparenti per gli interessati e per il pubblico;
- Sia stato dimostrato alla competente autorità di controllo che i compiti e le funzioni svolte non danno luogo a conflitto di interessi.
Per quanto appaia chiara l’utilità di tali certificazioni, la loro predisposizione non sembra tra i primi obiettivi delle Autorità garanti e dovremo aspettare ancora un po’ prima di poter fare affidamento su di esse. Per il momento, in attesa di quelle ufficiali, sarà importante fare attenzione alle più svariate certificazioni che iniziano a circolare e verificare bene se dal ricorso ad esse possa realmente derivare un qualche beneficio per i titolari e per la protezione dei dati oggetto di trattamento.