IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Nella riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e l'avv. Giuseppe Busia, Segretario generale; Visto il regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (di seguito «Regolamento»); Visto il decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito il «Codice») come novellato dal decreto legislativo 10 agosto 2018, n. 101 recante «Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) n. 2016/679»; Visto l'art. 42 del regolamento, il quale prevede che i titolari e/o responsabili del trattamento possano aderire a meccanismi di certificazione della protezione dei dati nonche' a sigilli e marchi di protezione dei dati (di seguito «meccanismi di certificazione») al fine di dimostrare la conformita' al regolamento dei trattamenti da loro effettuati (cfr. cons. 100 del regolamento); Considerato, in particolare, che l'adesione a un meccanismo di certificazione rilasciato a norma dell'art. 42, del regolamento puo' costituire un elemento di responsabilizzazione (c.d. accountability), in quanto consente ai titolari e/o ai responsabili del trattamento che vi aderiscono di dimostrare la conformita' dei medesimi trattamenti ad alcune disposizioni o principi del regolamento, o al regolamento nel suo insieme (cfr. cons. 77 e 81, nonche' articoli 24, par. 3, 28, par. 5, 32, par. 3 e 42, par. 2 del regolamento); Visto che nell'ambito dell'istituzione di meccanismi di certificazione e' previsto che gli organismi di certificazione (di seguito «OdC»), che rilasciano certificazioni a norma dell'art. 42, par. 5 del regolamento, debbano essere accreditati, in base a quanto stabilito dall'art. 43, par. 1 del regolamento, dall'autorita' di controllo competente o dall'organismo nazionale di accreditamento, o da entrambi; Considerato che lo scopo dell'accreditamento consiste nel fornire una dichiarazione autorevole in ordine alla competenza di un determinato organismo a svolgere un'attivita' di certificazione (cfr. cons. 15 del regolamento (CE) n. 765/2008 del Parlamento europeo e del Consiglio, del 9 luglio 2008, di seguito «Regolamento (CE) n. 765/2008») e che cio' consente di creare fiducia nel meccanismo stesso di certificazione; Visto che l'art. 2-septiesdecies del Codice attribuisce ad Accredia, quale ente unico nazionale di accreditamento istituito ai sensi del regolamento (CE) n. 765/2008, le funzioni di accreditamento degli OdC, ovvero di attestare che un determinato OdC sia qualificato a rilasciare le certificazioni ai sensi dell'art. 42, par. 5 del regolamento in conformita' a quanto previsto dall'art. 43, par. 1, lettera b) dello stesso; Considerato che l'art. 43, par. 3 del regolamento prevede che l'accreditamento degli OdC abbia luogo in base ai requisiti approvati dall'autorita' di controllo competente ai sensi dell'art. 55 del regolamento e che se l'accreditamento e' effettuato dall'organismo nazionale di accreditamento ai sensi dell'art. 43, par. 1, lettera b) del regolamento, i suddetti requisiti si aggiungono a quelli della norma tecnica EN-ISO/IEC 17065:2012 (di seguito «requisiti aggiuntivi»); Considerato che l'autorita' di controllo competente presenta al Comitato europeo per la protezione di dati (di seguito «Comitato»), ai sensi del meccanismo di coerenza di cui all'art. 63 del regolamento, uno schema di requisiti «aggiuntivi» per l'accreditamento di un OdC; Viste le Linee guida 4/2019 in materia di accreditamento degli organismi di certificazione a norma dell'art. 43 del regolamento, adottate il 4 giugno 2019, dal Comitato all'esito della relativa consultazione pubblica e preso atto degli orientamenti ivi resi in ordine all'interpretazione e all'attuazione delle disposizioni di cui all'art. 43 del regolamento, volti a individuare un sistema di regole coerente e armonizzato per l'accreditamento degli OdC; Visto in particolare il quadro organico di riferimento per i requisiti di accreditamento, delineato nell'Allegato 1 alle citate Linee guida, che integra la norma tecnica EN-ISO/IEC 17065:2012 e fornisce le indicazioni necessarie al fine di armonizzare l'elaborazione di tali requisiti aggiuntivi da parte delle autorita' di controllo nazionali; Tenuto conto che queste ultime hanno facolta' di individuare ulteriori requisiti aggiuntivi rispetto a quelli indicati nel predetto allegato 1, purche' gli stessi siano conformi al diritto nazionale (cfr. allegato 1, Linee guida 4/2019, p. 14); Considerato che l'art. 57, par. 1, lettera p) del regolamento prevede che ciascuna autorita' di controllo, sul proprio territorio, definisca e pubblichi i requisiti per l'accreditamento degli OdC, ai sensi dell'art. 43 del regolamento; Rilevato che, ai sensi dell'art. 55 del regolamento in combinato disposto con l'art. 2-bis del codice, il Garante e' l'autorita' di controllo competente ad approvare i predetti requisiti di accreditamento «aggiuntivi» aventi validita' nazionale, nell'esercizio del potere conferitole ai sensi dell'art. 57, par. 1, lettera p) del regolamento; Visto lo schema di «Requisiti di accreditamento "aggiuntivi" con riguardo alla norma EN-ISO/IEC 17065:2012 e in conformita' dell'art. 43, paragrafi 1, lettera b) e 3, del Regolamento generale sulla protezione dei dati» approvato dal Garante in data 14 maggio 2020 e sottoposto in data 15 maggio 2020 al Comitato per il prescritto parere (art. 43, par. 3 e art. 64, par. 1, lettera c), del regolamento); Viste le osservazioni rese dal Comitato nel parere adottato il 23 luglio 2020 (disponibile su https://edpb.europa.eu/) e comunicato al Garante dal segretariato del CEPD il 25 luglio 2020; Ritenuto, in ottemperanza a quanto previsto dall'art. 64, par. 7, del regolamento, di aderire alle osservazioni contenute nel suddetto parere e di modificare lo schema di requisiti di accreditamento in conformita' a tali osservazioni, dandone comunicazione alla presidente del Comitato; Ritenuto quindi ai sensi dell'art. 57, par. 1, lettera p), del regolamento di approvare i «Requisiti di accreditamento "aggiuntivi" con riguardo alla norma EN-ISO/IEC 17065:2012 e in conformita' dell'art. 43, paragrafi 1, lettera b) e 3, del Regolamento generale sulla protezione dei dati», opportunamente modificati alla luce del suddetto parere ed allegati al presente provvedimento del quale formano parte integrante; Vista la documentazione in atti; Viste le osservazioni formulate dal Segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000; Relatore il prof. Pasquale Stanzione; Tutto cio' premesso il Garante: a) ai sensi dell'art. 57, par. 1, lettera p) del regolamento approva i «Requisiti di accreditamento "aggiuntivi" con riguardo alla norma EN-ISO/IEC 17065:2012 e in conformita' dell'art. 43, paragrafi 1, lettera b) e 3, del Regolamento generale sulla protezione dei dati», in allegato al presente provvedimento del quale formano parte integrante; b) ai sensi dell'art. 64, par. 7 del regolamento comunica alla presidente del Comitato il presente provvedimento, che recepisce i rilievi formulati nel parere richiamato in premessa; c) invia copia della presente deliberazione all'Ufficio pubblicazione leggi e decreti del Ministero della giustizia ai fini della sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana. Roma, 29 luglio 2020 Il Presidente e Relatore: Stanzione Il Segretario generale: Busia