Temi

Shape 5 Live Search

logo

Il regolamento europeo per la protezione dei dati personali introduce le certificazioni dei dati nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la
conformità al regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento

Gli articoli 42 e 43, infatti, si occupano di regolamentare la materia. 

Le certificazioni appaiono un modo per superare problematiche pratiche nell'attuazione della regolamentazione a tutela dei dati personali, non incontrando i limiti delle regole giuridiche ed essendo identiche per tutti gli Stati. In una prospettiva risk based, che permea l'intero regolamento, le certificazioni offrono ai titolari del trattamento uno strumento per dimostrare di aver adottato delle misure di sicurezza efficaci e quindi per mitigare una sanzione in caso di eventuale contestazione da parte dell'autorità competente. 

Ovviamente la certificazione non è obbligatoria, di contro non assolve il titolare dai suoi compiti, in quanto l'autorità di controllo può comunque contestare eventuali non confomità al regolamento anche in presenza di una certificazione. La certificazione è rilasciata al titolare del trattamento o responsabile del trattamento per un periodo massimo di tre anni, può essere rinnovata purché permangano i requisiti previsti, in caso contrario può essere revocata. 

I punti essenziali che dovranno presumibilmente prevedere le certificazioni sono; 

- valutazione del rischio
- conformità alle norme di riferimento; 
- notifica delle violazioni (data breach) entro le 72 ore; 
- gestione delle risorse dell'azienda, con classificazione dei dati e responsabilità collegate; 
- privacy by design

La certificazione puà essere rilasciata direttamente dal Garante oppure, in alternativa, da organismi di certificazione che si siano preventivamente accreditati presso il Garante o presso un ente certificatore (per l'Italia Accredia, Ente unico nazionale designato dal governo in base al regolamento UE 765/08). Per accreditarsi gli organismi dovranno dimostrare di possedere determinati requisiti, in particolare di essere soggetti indipendenti, non in conflitto di interessi, competenti in materia, e che abbiano formalizzato specifiche procedure per il rilascio, il riesame e il ritiro delle certificazioni. Gli organismi di certificazione accreditati, ovviamente, sono responsabili delle valutazioni che compiono e delle certificazioni rilasciati, salvo specifiche responsabilità dei titolari del trattamento.