La
Commission nationale de l'informatique et des libertés (CNIL), ha accreditato pochi giorni fa il primo ente di certificazione finalizzato al rilascio delle certificazioni volontarie del DPO. Si tratta del risultato di un percorso intrapreso inizialmente dal Comitato europeo per la protezioni dei dati durante la prima sessione plenaria di maggio 2018.
Indice
- Linee guida EDPB
- Nuove competenze del CNIL
- Primo Ente certificatore DPO
Linee guida dell’EDPB
Sul tema delle certificazioni è intervenuto in primis L’
European Data Protection Board (EDPB), in occasione della prima sessione plenaria di maggio 2018 e della sesta sessione plenaria di gennaio 2019, adottando le
Linee guida 1/2018 in materia di certificazione. Scopo principale delle Linee guida è quello di individuare dei criteri generali e dei requisiti adeguati a tutti i tipi di meccanismi di certificazioni rilasciati ex art. 42 e 43 del GDPR, così da delineare
un quadro chiaro e armonico fruibile da tutti gli Stati membri ai fini dell’attuazione dei meccanismi di certificazione. L’EDPB inoltre, nell'ultima versione definitiva delle Linee guida si è focalizzato, tra le altre,
sul ruolo da attribuire alle Autorità di controllo ed agli organismi di certificazione.
Nello specifico, il Comitato europeo precisa che
l’obiettivo dei meccanismi di certificazione è quello di dimostrare la conformità al GDPR delle operazioni di trattamento di dati personali effettuate da parte del Titolare o del Responsabile. In quest’ottica pertanto la certificazione, in base alla definizione fornita dall’International Standards Organization (IOS) e accolta dalle Linee guida può essere definita come un certificato o una garanzia scritta, rilasciata da parte di un organismo di certificazione accreditato o dall’Autorità di controllo competente, con la quale si attesta che un determinato servizio sia conforme a specifici requisiti (criteri di certificazione).
Nuove competenze del CNIL
Con la legge Informatique et Libertés, come modificata dalla L. del 20 giungo 2018, la CNIL ha acquisito una nuova competenza in materia di certificazione delle persona. In particolare le è stato riconosciuto il
potere di individuare standard di qualificazione al fine di approvare le organizzazioni che si intendono accreditare per il rilascio delle certificazioni delle competenze del DPO.
A tal fine il CNIL utilizza due parametri di giudizio:
-
Un sistema di certificazione che individua le competenze ed il know-how necessari ai DPO per essere certificati nonché le condizioni di ammissibilità delle relative domande di certificazione;
-
Un quadro di accreditamento che precisa i criteri da applicare alle organizzazioni che intendono essere autorizzate a certificare i poteri del DPO.
Occorre tuttavia precisare che, per poter svolgere la funzione del DPO
non è obbligatorio essere in possesso di una certificazione. Il CNIL specifica infatti che si tratta piuttosto di un atto volontario rimesso alla discrezionalità di un qualsiasi professionista che intende certificarsi, al fine di dimostrare conformità con quanto previsto dal GDPR (art. 37) nonché attestare le proprio competenze in materia di protezione dei dati.
Primo Ente certificatore DPO
Il 12 luglio 2019 il CNIL
ha dunque accredito il primo Ente certificatore legittimata a certificare la figura professionale del DPO, la AFNOR CERTIFICATION. In base alla legge sopra citata infatti la certificazione DPO non viene rilasciata direttamente dalla CNIL, bensì dagli organismi di certificazione che hanno presentato domanda di approvazione e che sono stati pertanto ritenuti idonei dalla CNIL in conformità agli standard di accreditamento. Dopo una fase iniziale di istruzione, la CNIL ha rilasciato la licenza per un periodo pari a 5 anni a partire dal 4 luglio 2019. Ad oggi la CNIL sta valutando già altre domande di accreditamento.