Sottoscritta da parte del Presidente del Garante per la protezione dei dati personali (il “Garante” o l’”Autorità”), Antonello Soro, e dal Presidente di ACCREDIA[1], Giuseppe Rossi, la convenzione volta a definire i rapporti di collaborazione tra il Garante e ACCREDIA ai fini dello scambio di informazioni e aggiornamenti volti a favorire le attività di accreditamento e certificazione di cui agli artt. 42 e 43 GDPR (la “Convenzione”).

Il GDPR, infatti, prevede e incoraggia l’istituzione di meccanismi per la certificazione della protezione dei dati personali, nonché di sigilli e marchi, allo scopo di dimostrare la conformità al GDPR dei trattamenti effettuati dai Titolari e dai Responsabili del trattamento. Tali certificazioni sono rilasciate dagli organismi di certificazione previsti dall’art. 43 GDPR (gli “Organismi di Certificazione”) che devono, tuttavia, come prescritto dalla predetta disposizione, essere accreditati dal Garante o da ACCREDIA, organismo nazionale di accreditamento designato dal governo italiano.

ACCREDIA costituirà quindi l’organismo che certificherà la conformità di tali Organismi di certificazione alla normativa in materia di protezione dei dati personali. In particolare, ACCREDIA dovrà attestare, in base al parametro costituito dalla norma di accreditamento UNI CEI EN ISO/IEC 17065:2012 – integrata da “requisiti aggiuntivi” che saranno individuati dal Garante sulla base delle linee-guida comuni elaborate in seno al Comitato europeo per la protezione dei dati –, la competenza e l’adeguatezza degli Organismi di Certificazione a rilasciare a Titolari e Responsabili del trattamento, che ne facciano richiesta, le certificazioni di conformità alla normativa privacy di cui all’art. 42 GDPR.

La convenzione stabilisce specifici obblighi informativi in capo sia ad ACCREDIA che al Garante, al fine, come detto, di agevolare la collaborazione tra le due parti in rapporto alle attività di accreditamento e certificazione di cui agli artt. 42 e 43 GDPR.

Per quanto attiene ad ACCREDIA, l’Ente italiano di accreditamento dovrà comunicare al Garante specifiche informazioni ossia (art. 2 della Convenzione): gli accreditamenti rilasciati, i ricorsi degli Organismi accreditati e le decisioni assunte, le scadenze dei certificati, i provvedimenti sanzionatori, l’elenco delle certificazioni e le relative revoche e sospensioni rilasciate dagli Organismi di Certificazione nonché ogni altra informazione di interesse per il Garante, (es. informazioni riguardanti le iniziative – in merito alle attività di accreditamento e certificazione – assunte da ACCREDIA anche alla luce delle informazioni fornite dal Garante).

Dal canto suo, invece, Il Garante comunicherà ad ACCREDIA (art. 3 della Convenzione) gli aggiornamenti della normativa, le novità sugli schemi di certificazione approvati a livello nazionale ed europeo, le informazioni su problematiche connesse alle certificazioni che potrebbero emergere da reclami pervenuti all’Autorità nonché ogni altra informazione ritenuta pertinente in relazione alla Convenzione (es. informazioni riguardanti le iniziative in merito alle attività di accreditamento e certificazione assunte dal Garante anche alla luce delle informazioni fornite da ACCREDIA).

La Convenzione ha durata annuale e si rinnoverà tacitamente per un ulteriore anno alla scadenza del primo. Alla scadenza del secondo anno essa dovrà, inveece, essere esplicitamente rinnovata.

[1] ACCREDIA è l’Ente unico nazionale di accreditamento designato dal governo italiano, con il compito di attestare la competenza, l’imparzialità e l’indipendenza dei laboratori e degli organismi che verificano la conformità di prodotti, servizi e professionisti agli standard di riferimento, facilitandone la circolazione a livello internazionale.