Fissati dal Garante per la protezione dei dati personali i requisiti per l'accreditamento degli organismi di certificazione che potranno attestare il rispetto delle norme del GDPR, il Regolamento europeo per la privacy, da parte di imprese, società, Enti e Amministrazioni pubbliche che trattano i dati riservati delle persone per la fornitura di prodotti e l'erogazione di servizi.
Nel Regolamento europeo è previsto che il rilascio di certificazioni in materia di protezione dati venga effettuato da organismi accreditati a svolgere queste funzioni. In Italia il compito è affidato ad Accredia. L'accreditamento viene fatto sulla base dei requisiti contenuti nella norma internazionale 'EN-ISO/IEC 17065:2012' e di ulteriori requisiti stabiliti dalle Autorità nazionali per la privacy, sulla base di un modello comune definito dal Comitato europeo per la protezione di dati-Edpb.
Il provvedimento del Garante, che contiene proprio questi requisiti aggiuntivi,è stato adottato dopo il parere favorevole rilasciato dall'Edpb e stabilisce che Accredia verifichi che gli organismi certificatori soddisfino criteri di onorabilità, indipendenza e imparzialità, attestando l'assenza di conflitti di interesse con i soggetti che desiderano certificarsi. I certificatori, inoltre, dovranno essere dotati di personale qualificato e costantemente aggiornato, dovranno adottare adeguati processi di gestione di eventuali reclami e implementare periodiche procedure di sorveglianza sui prodotti, processi e servizi certificati.
I criteri per l'Italia sono: assenza di conflitti di interesse; adeguata formazione delle risorse umane; gestione ottimale dei reclami; verifiche periodiche sui servizi e sui prodotti certificati. Ulteriori specifici requisiti riguardano gli accordi di certificazione definiti dagli organismi di certificazione con i propri clienti.
La certificazione, come ricorda l'Autorità, non esaurisce gli obblighi di osservanza del GDPR e lascia impregiudicati i compiti e i poteri di controllo del Garante.
