IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e l’avv. Giuseppe Busia, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (di seguito “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito il “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;
VISTO l’art. 42 del Regolamento, il quale prevede che i titolari e/o responsabili del trattamento possano aderire a meccanismi di certificazione della protezione dei dati nonché a sigilli e marchi di protezione dei dati (di seguito “meccanismi di certificazione”) al fine di dimostrare la conformità al Regolamento dei trattamenti da loro effettuati (cfr. cons. 100 del Regolamento);
CONSIDERATO, in particolare, che l’adesione a un meccanismo di certificazione rilasciato a norma dell’art. 42, del Regolamento può costituire un elemento di responsabilizzazione (c.d. accountability), in quanto consente ai titolari e/o ai responsabili del trattamento che vi aderiscono di dimostrare la conformità dei medesimi trattamenti ad alcune disposizioni o principi del Regolamento, o al Regolamento nel suo insieme (cfr. cons. 77 e 81, nonché artt. 24, par. 3, 28, par. 5, 32, par. 3 e 42, par. 2 del Regolamento);
VISTO che nell’ambito dell’istituzione di meccanismi di certificazione è previsto che gli organismi di certificazione (di seguito “OdC”), che rilasciano certificazioni a norma dell’art. 42, par. 5 del Regolamento, debbano essere accreditati, in base a quanto stabilito dall’art. 43, par. 1 del Regolamento, dall’autorità di controllo competente o dall’organismo nazionale di accreditamento, o da entrambi;
CONSIDERATO che lo scopo dell’accreditamento consiste nel fornire una dichiarazione autorevole in ordine alla competenza di un determinato organismo a svolgere un’attività di certificazione (cfr. cons. 15 del Regolamento (CE) n. 765/2008 del Parlamento europeo e del Consiglio, del 9 luglio 2008, di seguito “Regolamento (CE) n. 765/2008”) e che ciò consente di creare fiducia nel meccanismo stesso di certificazione;
VISTO che l’art. 2 septiesdecies del Codice attribuisce ad ACCREDIA, quale Ente unico nazionale di accreditamento istituito ai sensi del Regolamento (CE) n. 765/2008, le funzioni di accreditamento degli OdC, ovvero di attestare che un determinato OdC sia qualificato a rilasciare le certificazioni ai sensi dell’art. 42, par. 5 del Regolamento in conformità a quanto previsto dall’art. 43, par. 1, lett. b) dello stesso;
CONSIDERATO che l’art. 43, par. 3 del Regolamento prevede che l’accreditamento degli OdC abbia luogo in base ai requisiti approvati dall’autorità di controllo competente ai sensi dell’art. 55 del Regolamento e che se l’accreditamento è effettuato dall’organismo nazionale di accreditamento ai sensi dell’art. 43, par. 1, lett. b) del Regolamento, i suddetti requisiti si aggiungono a quelli della norma tecnica EN-ISO/IEC 17065:2012 (di seguito “requisiti aggiuntivi”) ;
CONSIDERATO che l’autorità di controllo competente presenta al Comitato europeo per la protezione di dati (di seguito “Comitato”), ai sensi del meccanismo di coerenza di cui all’art. 63 del Regolamento, uno schema di requisiti “aggiuntivi” per l’accreditamento di un OdC;
VISTE le Linee guida 4/2019 in materia di accreditamento degli organismi di certificazione a norma dell’art. 43 del Regolamento, adottate il 4 giugno 2019, dal Comitato all’esito della relativa consultazione pubblica e preso atto degli orientamenti ivi resi in ordine all’interpretazione e all’attuazione delle disposizioni di cui all’art. 43 del Regolamento, volti a individuare un sistema di regole coerente e armonizzato per l’accreditamento degli OdC;
VISTO in particolare il quadro organico di riferimento per i requisiti di accreditamento, delineato nell’Allegato 1 alle citate Linee guida, che integra la norma tecnica EN-ISO/IEC 17065:2012 e fornisce le indicazioni necessarie al fine di armonizzare l’elaborazione di tali requisiti aggiuntivi da parte delle autorità di controllo nazionali;
TENUTO CONTO che queste ultime hanno facoltà di individuare ulteriori requisiti aggiuntivi rispetto a quelli indicati nel predetto Allegato 1, purché gli stessi siano conformi al diritto nazionale (cfr. Allegato 1, Linee guida 4/2019, p. 14);
CONSIDERATO che l’art. 57, par. 1, lett. p) del Regolamento prevede che ciascuna autorità di controllo, sul proprio territorio, definisca e pubblichi i requisiti per l’accreditamento degli OdC, ai sensi dell’articolo 43 del Regolamento;
RILEVATO che, ai sensi dell’art. 55 del Regolamento in combinato disposto con l’Art. 2-bis del Codice, il Garante è l’autorità di controllo competente ad approvare i predetti requisiti di accreditamento “aggiuntivi” aventi validità nazionale, nell’esercizio del potere conferitole ai sensi dell’art. 57, par. 1, lett. p) del Regolamento;
VISTO lo schema di “Requisiti di accreditamento “aggiuntivi” con riguardo alla norma EN-ISO/IEC 17065:2012 e in conformità dell’articolo 43, paragrafi 1, lettera b) e 3, del Regolamento generale sulla protezione dei dati” approvato dal Garante in data 14 maggio 2020 e sottoposto in data 15 maggio 2020 al Comitato per il prescritto parere (art. 43, par. 3 e art. 64, par. 1, lett. c), del Regolamento);
VISTE le osservazioni rese dal Comitato nel parere adottato il 23 luglio 2020 (disponibile su https://edpb.europa.eu/) e comunicato al Garante dal Segretariato del CEPD il 25 luglio 2020;
RITENUTO, in ottemperanza a quanto previsto dall’art. 64, par. 7, del Regolamento, di aderire alle osservazioni contenute nel suddetto parere e di modificare lo schema di requisiti di accreditamento in conformità a tali osservazioni, dandone comunicazione alla presidente del Comitato;
RITENUTO quindi ai sensi dell’art. 57, par. 1, lett. p), del Regolamento di approvare i “Requisiti di accreditamento “aggiuntivi” con riguardo alla norma EN-ISO/IEC 17065:2012 e in conformità dell’articolo 43, paragrafi 1, lettera b) e 3, del Regolamento generale sulla protezione dei dati”, opportunamente modificati alla luce del suddetto parere ed allegati al presente provvedimento del quale formano parte integrante;
VISTA la documentazione in atti:
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE il prof. Pasquale Stanzione;
TUTTO CIÒ PREMESSO IL GARANTE:
a) ai sensi dell’art. 57, par. 1, lett. p) del Regolamento approva i “Requisiti di accreditamento “aggiuntivi” con riguardo alla norma EN-ISO/IEC 17065:2012 e in conformità dell’articolo 43, paragrafi 1, lettera b) e 3, del Regolamento generale sulla protezione dei dati”, in allegato al presente provvedimento del quale formano parte integrante;
b) ai sensi dell’art. 64, par. 7 del Regolamento comunica alla presidente del Comitato il presente provvedimento, che recepisce i rilievi formulati nel parere richiamato in premessa;
c) invia copia della presente deliberazione all’Ufficio pubblicazione leggi e decreti del Ministero della giustizia ai fini della sua pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana.