Nella quinta riunione plenaria del 5 dicembre scorso, l’EDPB, il Comitato dei Garanti Europei, ha approvato le nuove linee guida per l’accreditamento degli organismi di certificazione. L’art. 42 del GDPR prevede che titolari e responsabili possano essere certificati ovvero possano sottoporsi a specifici percorsi strutturati per raggiungere e mantenere la conformità alla normativa sulla protezione dei dati personali. In questo percorso devono essere accompagnati da soggetti accreditati, secondo regole specifiche, dal Garante per la Protezione dei Dati Personali o dall’ente unico di accreditamento che, nel nostro paese, è Accredia.
Le nuove linee guida disciplinano, quindi, le modalità con le quali Accredia, così come previsto dall’art. 2‑septiesdecies del nuovo Codice privacy, dovrà accreditare gli organismi di certificazione che, a loro volta, potranno guidare sulla retta via titolari e responsabili.
Già oggi Accredia accredita organismi certificatori in altri settori (qualità, salute e sicurezza, ecc.) secondo lo standard ISO/IEC 17065:2012 che altro non è che un insieme di requisiti che bisogna rispettare per poter svolgere l’attività di certificazione.
L’allegato alle linee guida specifica i requisiti ulteriori, specifici per la protezione dei dati personali e previsti dall’art. 43 del GDPR, che si aggiungono alla norma ISO/IEC 17065:2012 e che Accredia dovrà verificare prima di abilitare un organismo a certificare titolari e responsabili.
Non sarà come fare la fila al Comune ma ottenere un certificato costerà, comunque, fatica.