IL GARANTE PER LA PROTEZIONE
DEI DATI PERSONALI
Nella riunione odierna, alla quale hanno preso parte il prof.
Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni,
vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza,
componenti e l'avv. Giuseppe Busia, Segretario generale;
Visto il regolamento (UE) n. 2016/679 del Parlamento europeo e del
Consiglio del 27 aprile 2016 relativo alla protezione delle persone
fisiche con riguardo al trattamento dei dati personali, nonche' alla
libera circolazione di tali dati e che abroga la direttiva 95/46/CE
(di seguito «Regolamento»);
Visto il decreto legislativo 30 giugno 2003, n. 196 (Codice in
materia di protezione dei dati personali, di seguito il «Codice»)
come novellato dal decreto legislativo 10 agosto 2018, n. 101 recante
«Disposizioni per l'adeguamento della normativa nazionale alle
disposizioni del regolamento (UE) n. 2016/679»;
Visto l'art. 42 del regolamento, il quale prevede che i titolari
e/o responsabili del trattamento possano aderire a meccanismi di
certificazione della protezione dei dati nonche' a sigilli e marchi
di protezione dei dati (di seguito «meccanismi di certificazione») al
fine di dimostrare la conformita' al regolamento dei trattamenti da
loro effettuati (cfr. cons. 100 del regolamento);
Considerato, in particolare, che l'adesione a un meccanismo di
certificazione rilasciato a norma dell'art. 42, del regolamento puo'
costituire un elemento di responsabilizzazione (c.d. accountability),
in quanto consente ai titolari e/o ai responsabili del trattamento
che vi aderiscono di dimostrare la conformita' dei medesimi
trattamenti ad alcune disposizioni o principi del regolamento, o al
regolamento nel suo insieme (cfr. cons. 77 e 81, nonche' articoli 24,
par. 3, 28, par. 5, 32, par. 3 e 42, par. 2 del regolamento);
Visto che nell'ambito dell'istituzione di meccanismi di
certificazione e' previsto che gli organismi di certificazione (di
seguito «OdC»), che rilasciano certificazioni a norma dell'art. 42,
par. 5 del regolamento, debbano essere accreditati, in base a quanto
stabilito dall'art. 43, par. 1 del regolamento, dall'autorita' di
controllo competente o dall'organismo nazionale di accreditamento, o
da entrambi;
Considerato che lo scopo dell'accreditamento consiste nel fornire
una dichiarazione autorevole in ordine alla competenza di un
determinato organismo a svolgere un'attivita' di certificazione (cfr.
cons. 15 del regolamento (CE) n. 765/2008 del Parlamento europeo e
del Consiglio, del 9 luglio 2008, di seguito «Regolamento (CE) n.
765/2008») e che cio' consente di creare fiducia nel meccanismo
stesso di certificazione;
Visto che l'art. 2-septiesdecies del Codice attribuisce ad
Accredia, quale ente unico nazionale di accreditamento istituito ai
sensi del regolamento (CE) n. 765/2008, le funzioni di accreditamento
degli OdC, ovvero di attestare che un determinato OdC sia qualificato
a rilasciare le certificazioni ai sensi dell'art. 42, par. 5 del
regolamento in conformita' a quanto previsto dall'art. 43, par. 1,
lettera b) dello stesso;
Considerato che l'art. 43, par. 3 del regolamento prevede che
l'accreditamento degli OdC abbia luogo in base ai requisiti approvati
dall'autorita' di controllo competente ai sensi dell'art. 55 del
regolamento e che se l'accreditamento e' effettuato dall'organismo
nazionale di accreditamento ai sensi dell'art. 43, par. 1, lettera b)
del regolamento, i suddetti requisiti si aggiungono a quelli della
norma tecnica EN-ISO/IEC 17065:2012 (di seguito «requisiti
aggiuntivi»);
Considerato che l'autorita' di controllo competente presenta al
Comitato europeo per la protezione di dati (di seguito «Comitato»),
ai sensi del meccanismo di coerenza di cui all'art. 63 del
regolamento, uno schema di requisiti «aggiuntivi» per
l'accreditamento di un OdC;
Viste le Linee guida 4/2019 in materia di accreditamento degli
organismi di certificazione a norma dell'art. 43 del regolamento,
adottate il 4 giugno 2019, dal Comitato all'esito della relativa
consultazione pubblica e preso atto degli orientamenti ivi resi in
ordine all'interpretazione e all'attuazione delle disposizioni di cui
all'art. 43 del regolamento, volti a individuare un sistema di regole
coerente e armonizzato per l'accreditamento degli OdC;
Visto in particolare il quadro organico di riferimento per i
requisiti di accreditamento, delineato nell'Allegato 1 alle citate
Linee guida, che integra la norma tecnica EN-ISO/IEC 17065:2012 e
fornisce le indicazioni necessarie al fine di armonizzare
l'elaborazione di tali requisiti aggiuntivi da parte delle autorita'
di controllo nazionali;
Tenuto conto che queste ultime hanno facolta' di individuare
ulteriori requisiti aggiuntivi rispetto a quelli indicati nel
predetto allegato 1, purche' gli stessi siano conformi al diritto
nazionale (cfr. allegato 1, Linee guida 4/2019, p. 14);
Considerato che l'art. 57, par. 1, lettera p) del regolamento
prevede che ciascuna autorita' di controllo, sul proprio territorio,
definisca e pubblichi i requisiti per l'accreditamento degli OdC, ai
sensi dell'art. 43 del regolamento;
Rilevato che, ai sensi dell'art. 55 del regolamento in combinato
disposto con l'art. 2-bis del codice, il Garante e' l'autorita' di
controllo competente ad approvare i predetti requisiti di
accreditamento «aggiuntivi» aventi validita' nazionale,
nell'esercizio del potere conferitole ai sensi dell'art. 57, par. 1,
lettera p) del regolamento;
Visto lo schema di «Requisiti di accreditamento "aggiuntivi" con
riguardo alla norma EN-ISO/IEC 17065:2012 e in conformita' dell'art.
43, paragrafi 1, lettera b) e 3, del Regolamento generale sulla
protezione dei dati» approvato dal Garante in data 14 maggio 2020 e
sottoposto in data 15 maggio 2020 al Comitato per il prescritto
parere (art. 43, par. 3 e art. 64, par. 1, lettera c), del
regolamento);
Viste le osservazioni rese dal Comitato nel parere adottato il 23
luglio 2020 (disponibile su https://edpb.europa.eu/) e comunicato al
Garante dal segretariato del CEPD il 25 luglio 2020;
Ritenuto, in ottemperanza a quanto previsto dall'art. 64, par. 7,
del regolamento, di aderire alle osservazioni contenute nel suddetto
parere e di modificare lo schema di requisiti di accreditamento in
conformita' a tali osservazioni, dandone comunicazione alla
presidente del Comitato;
Ritenuto quindi ai sensi dell'art. 57, par. 1, lettera p), del
regolamento di approvare i «Requisiti di accreditamento "aggiuntivi"
con riguardo alla norma EN-ISO/IEC 17065:2012 e in conformita'
dell'art. 43, paragrafi 1, lettera b) e 3, del Regolamento generale
sulla protezione dei dati», opportunamente modificati alla luce del
suddetto parere ed allegati al presente provvedimento del quale
formano parte integrante;
Vista la documentazione in atti;
Viste le osservazioni formulate dal Segretario generale ai sensi
dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore il prof. Pasquale Stanzione;
Tutto cio' premesso il Garante:
a) ai sensi dell'art. 57, par. 1, lettera p) del regolamento
approva i «Requisiti di accreditamento "aggiuntivi" con riguardo alla
norma EN-ISO/IEC 17065:2012 e in conformita' dell'art. 43, paragrafi
1, lettera b) e 3, del Regolamento generale sulla protezione dei
dati», in allegato al presente provvedimento del quale formano parte
integrante;
b) ai sensi dell'art. 64, par. 7 del regolamento comunica alla
presidente del Comitato il presente provvedimento, che recepisce i
rilievi formulati nel parere richiamato in premessa;
c) invia copia della presente deliberazione all'Ufficio
pubblicazione leggi e decreti del Ministero della giustizia ai fini
della sua pubblicazione nella Gazzetta Ufficiale della Repubblica
italiana.
Roma, 29 luglio 2020
Il Presidente e Relatore: Stanzione
Il Segretario generale: Busia