Ai sensi dell’art. 41 GDPR, gli Stati membri, le autorità di controllo, il comitato e la Commissione promuovono l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento. Sono tenute in considerazione le esigenze specifiche delle micro, piccole e medie imprese.
I meccanismi, i sigilli o i marchi sono approvati secondo la seguente procedura.
La certificazione è rilasciata dagli organismi di certificazione di cui all’articolo 43 GDPR o dall’autorità di controllo competente in base ai criteri approvati da tale autorità di controllo competente o dal comitato, ai sensi dell’articolo 63 GDPR. Ove i criteri siano approvati dal comitato, ciò può risultare in una certificazione comune, il sigillo europeo per la protezione dei dati.
Possono essere istituiti al fine di dimostrare la previsione di garanzie appropriate da parte dei titolari del trattamento o responsabili del trattamento non soggetti al presente regolamento ai sensi dell’articolo 3 GDPR, nel quadro dei trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali alle condizioni di cui all’articolo 46 GDPR.
Detti titolari del trattamento o responsabili del trattamento assumono l’impegno vincolante e azionabile, mediante strumenti contrattuali o di altro tipo giuridicamente vincolanti, di applicare le stesse adeguate garanzie anche per quanto riguarda i diritti degli interessati.
La certificazione è volontaria e accessibile tramite una procedura trasparente e non riduce la responsabilità del titolare del trattamento o del responsabile del trattamento riguardo alla conformità al presente regolamento e lascia impregiudicati i compiti e i poteri delle autorità di controllo competenti a norma degli articoli 55 o 56.
Il titolare del trattamento o il responsabile del trattamento che sottopone il trattamento effettuato al meccanismo di certificazione deve fornisce all’organismo di certificazione di cui all’articolo 43 o, ove applicabile, all’autorità di controllo competente tutte le informazioni e l’accesso alle attività di trattamento necessarie a espletare la procedura di certificazione.
La certificazione è rilasciata al titolare del trattamento o responsabile del trattamento per un periodo massimo di tre anni e può essere rinnovata alle stesse condizioni purché continuino a essere soddisfatti i requisiti pertinenti. La certificazione è revocata, se del caso, dagli organismi di certificazione di cui all’articolo 43 o dall’autorità di controllo competente, a seconda dei casi, qualora non siano o non siano più soddisfatti i requisiti per la certificazione.
Il comitato raccoglie in un registro tutti i meccanismi di certificazione e i sigilli e i marchi di protezione dei dati e li rende pubblici con qualsiasi mezzo appropriato.
Gli organismi di certificazione in possesso del livello adeguato di competenze riguardo alla protezione dei dati rilasciano e rinnovano la certificazione, dopo averne informato l’autorità di controllo al fine di consentire alla stessa di esercitare i suoi poteri a norma dell’articolo 58, paragrafo 2, lettera h), ove necessario. Gli Stati membri garantiscono che tali organismi di certificazione siano accreditati da uno o entrambi dei seguenti organismi:
- dall’autorità di controllo competente ai sensi degli articoli 55 o 56;
- dall’organismo nazionale di accreditamento designato in virtù del regolamento (CE) n. 765/2008 del Parlamento europeo e del Consiglio conformemente alla norma EN-ISO/IEC 17065/2012 e ai requisiti aggiuntivi stabiliti dall’autorità di controllo competente ai sensi degli articoli 55 o 56.
Gli organismi di certificazione sono accreditati in conformità di tale paragrafo solo se:
- hanno dimostrato in modo convincente all’autorità di controllo competente di essere indipendenti e competenti riguardo al contenuto della certificazione;
- si sono impegnati a rispettare i criteri di cui all’articolo 42, paragrafo 5, e approvati dall’autorità di controllo competente ai sensi degli articoli 55 o 56 o dal comitato, ai sensi dell’articolo 63;
- hanno istituito procedure per il rilascio, il riesame periodico e il ritiro delle certificazioni, dei sigilli e dei marchi di protezione dei dati;
- hanno istituito procedure e strutture atte a gestire i reclami relativi a violazioni della certificazione o il modo in cui la certificazione è stata o è attuata dal titolare del trattamento o dal responsabile del trattamento e a rendere dette procedure e strutture trasparenti per gli interessati e il pubblico e hanno dimostrato in modo convincente all’autorità di controllo competente che i compiti e le funzioni da loro svolti non danno adito a conflitto di interessi.
L’accreditamento degli organi di certificazione di cui ai paragrafi 1 e 2 del presente articolo ha luogo in base ai criteri approvati dall’autorità di controllo competente ai sensi degli articoli 55 o 56 o dal comitato, ai sensi dell’articolo 63. In caso di accreditamento tali requisiti integrano quelli previsti dal regolamento (CE) n. 765/2008 nonché le norme tecniche che definiscono i metodi e le procedure degli organismi di certificazione.