Art. 43 GDPR — Organismi di certificazione

Commento

Il ruolo degli organismi di certificazione

L'art. 43 GDPR disciplina gli organismi di certificazione che rilasciano le certificazioni ex art. 42. Sono soggetti privati o pubblici accreditati a svolgere audit di conformità e a emettere certificati con valore probatorio. La governance dell'accreditamento è essenziale per la credibilità del sistema: senza organismi indipendenti e competenti, le certificazioni perderebbero valore. Il par. 1 prevede che gli organismi siano accreditati dall'Autorità di controllo competente o dall'organismo nazionale di accreditamento (in Italia, Accredia).

Accreditamento (par. 1)

L'accreditamento opera secondo la norma UNI CEI EN ISO/IEC 17065/2012 (organismi che certificano prodotti, processi e servizi) o, dal 2024-2025, lo standard ISO/IEC 17029 per i servizi di valutazione della conformità. La norma definisce i requisiti tecnici, organizzativi e di indipendenza. La giurisprudenza europea ha consolidato la coerenza tra accreditamenti GDPR e standard tecnici internazionali.

Requisiti dell'organismo (par. 2)

Il par. 2 elenca i requisiti specifici dell'organismo: (a) dimostrato indipendenza e competenza; (b) si impegna a rispettare i criteri approvati dall'Autorità di controllo competente o dall'EDPB; (c) ha stabilito procedure per il rilascio, riesame periodico e revoca della certificazione; (d) ha stabilito procedure e strutture per gestire reclami su violazioni della certificazione; (e) dimostra che i compiti non determinano conflitti di interesse. Sono requisiti cumulativi.

Procedura di rilascio

La procedura di rilascio prevede: domanda del titolare/responsabile; documentazione tecnica; audit documentale; audit on-site con verifica delle misure tecniche e organizzative; gap analysis e raccomandazioni; rilascio del certificato. La validità è max 3 anni con sorveglianza periodica (audit annuali di mantenimento). La certificazione può essere revocata in caso di non conformità persistente. Le procedure sono trasparenti e pubblicate dall'organismo.

Coordinamento con organismi nazionali di accreditamento

L'organismo di certificazione è coordinato con l'organismo nazionale di accreditamento (in Italia Accredia, Ente Italiano di Accreditamento). L'organismo nazionale di accreditamento rilascia l'accreditamento secondo standard tecnici; l'Autorità di controllo (Garante) approva i criteri di certificazione specifici per il GDPR. La doppia governance (tecnica + privacy) garantisce competenze multidisciplinari. La coerenza europea è assicurata dall'EDPB ex art. 63.

Revoca dell'accreditamento (par. 7)

Il par. 7 prevede che l'Autorità di controllo competente o l'organismo nazionale di accreditamento revochi l'accreditamento di un organismo di certificazione quando le condizioni dell'accreditamento non sono o non sono più soddisfatte o quando le azioni intraprese da tale organismo violano il presente Regolamento. La revoca comporta cessazione del rilascio e può richiedere la sospensione delle certificazioni esistenti, con effetti significativi per gli aderenti. La governance è soggetta a controllo continuo.

Regola pratica e checklist operativa

Compliance art. 43: per organismi: (i) accreditamento secondo ISO/IEC 17065; (ii) approvazione criteri dal Garante; (iii) procedure documentate; (iv) auditori formati; (v) sorveglianza periodica. Per aderenti: (i) verificare accreditamento dell'organismo; (ii) valutare esperienza settoriale; (iii) valutare costo/qualità del processo.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.