DELIBERA 29 luglio 2020 - Requisiti aggiuntivi di accreditamento degli organismi di certificazione. (Delibera n. 148). (20A04280)

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Nella riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e l'avv. Giuseppe Busia, Segretario generale;

Visto il regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (di seguito «Regolamento»);

Visto il decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito il «Codice») come novellato dal decreto legislativo 10 agosto 2018, n. 101 recante «Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) n. 2016/679»;

Visto l'art. 42 del regolamento, il quale prevede che i titolari e/o responsabili del trattamento possano aderire a meccanismi di certificazione della protezione dei dati nonche' a sigilli e marchi di protezione dei dati (di seguito «meccanismi di certificazione») al fine di dimostrare la conformita' al regolamento dei trattamenti da loro effettuati (cfr. cons. 100 del regolamento);

Considerato, in particolare, che l'adesione a un meccanismo di certificazione rilasciato a norma dell'art. 42, del regolamento puo' costituire un elemento di responsabilizzazione (c.d. accountability), in quanto consente ai titolari e/o ai responsabili del trattamento che vi aderiscono di dimostrare la conformita' dei medesimi trattamenti ad alcune disposizioni o principi del regolamento, o al regolamento nel suo insieme (cfr. cons. 77 e 81, nonche' articoli 24, par. 3, 28, par. 5, 32, par. 3 e 42, par. 2 del regolamento);

Visto che nell'ambito dell'istituzione di meccanismi di certificazione e' previsto che gli organismi di certificazione (di seguito «OdC»), che rilasciano certificazioni a norma dell'art. 42, par. 5 del regolamento, debbano essere accreditati, in base a quanto stabilito dall'art. 43, par. 1 del regolamento, dall'autorita' di controllo competente o dall'organismo nazionale di accreditamento, o da entrambi;

Considerato che lo scopo dell'accreditamento consiste nel fornire una dichiarazione autorevole in ordine alla competenza di un determinato organismo a svolgere un'attivita' di certificazione (cfr. cons. 15 del regolamento (CE) n. 765/2008 del...