lunedì 28 agosto 2023

Chiarimenti EDPB sulle certificazioni GDPR

EDPB, il 1 agosto, ha risposto a una richiesta di chiarimenti di Accredia in merito alla certificazioni GDPR (mi si permetta di usare questa espressione): https://edpb.europa.eu/our-work-tools/our-documents/letters/edpb-letter-accredia_en.

Ringrazio la newsletter Project:IN Avvocati per la segnalazione.

La risposta è molto tecnica e ho dovuto leggerla tre volte per capirla (posso sempre dire che il periodo è vacanziero...) e vorrei segnalare alcuni punti per me significativi, più per gli organismi di certificazioni che sulle organizzazioni che intendono certificarsi:

  • EDPB ribadisce che il suo compito è valutare i criteri di certificazione, non le attività di accreditamento, anche nel caso di sigilli europei sulla protezione dei dati (European Data Protection Seal), che sono invece in carico ai Garanti dei singoli Stati membri;
  • deve essere stabilito uno "scheme owner", anche perché richiesto dalla ISO/IEC 17065, che può essere anche un organismo di certificazione accreditato (nel caso di Europrivacy, lo scheme owner è Europrivacy stessa); penso che sia chiaro che un organismo di certificazione che lavora da solo rilascerebbe però certificazioni che potrebbero risultare meno interessanti di certificazioni comuni ad altri, come minimo perché si avrebbe una maggiore visibilità;
  • gli organismi di certificazione possono quindi adottare, nel caso di Europrivacy, i criteri di Europrivacy per essere accreditati dal proprio garante nazionale (o, se il caso, dal proprio organismo di accreditamento);
  • l'accreditamento deve essere dato per ciascuno stato dove l'organismo di certificazione opera dal relativo garante nazionale (o, se il caso, dal proprio organismo di accreditamento); questo diventa ovviamente pesante perché un organismo di certificazione che vuole lavorare nei 27 Stati della UE deve avere 27 accreditamenti, a cui forse aggiungere gli altri 3 Paesi del SSE (chiedo aiuto a chi mi sa rispondere) e non voglio pensare al fatto che la Germania ha in realtà ha più garanti privacy; ma su questo c'è un invito di EDPB a EA per considerare come un organismo di accreditamento nazionale possa collegarsi a più Garanti.

Direi che come mal di testa da rientro dalle vacanze siamo a posto.

Nessun commento:

Posta un commento