- Pa: trasparenza siti, il Garante Privacy chiede più tutele per i dati personali
- Dossier sanitario: il Garante Privacy sanziona una Asl
- Quando il preposto è ritenuto responsabile dell’infortunio accaduto a un lavoratore
- Trasporti: Garante Privacy, più tutele per i dati degli abbonati Sanzionata un’azienda che aveva raccolto consensi marketing non validi
- Trasporti: Garante Privacy, più tutele per i dati degli abbonati Sanzionata un’azienda che aveva raccolto consensi marketing non validi
- Rischio chimico: chi ha la responsabilità della compilazione delle SDS?
- Gli infortuni nel settore industria e servizi nel 2022
- Sulla responsabilità per infortuni presso macchine non conformi
- Salute e sicurezza nei luoghi di lavoro: un manuale per la prevenzione
- Amianto, Direttiva UE 2023/2668: nasce una nuova figura professionale Amianto, Direttiva UE 2023/2668: nasce una nuova figura professionale Autore: Ufficio Stampa
- Agenti cancerogeni e mutageni: ambienti di lavoro e attività a rischio
- Quando il comportamento di un lavoratore è imprevedibile o abnorme
- La valutazione del rischio e la prevenzione della violenza in sanità
- App per diabetici: il Garante Privacy multa una società di dispositivi medici Aveva inviato in chiaro e-mail a centinaia di pazienti diabetici
- Data breach: il Garante sanziona UniCredit per 2,8 milioni di euro Multa di 800mila euro anche alla società incaricata di effettuare i test di sicurezza
- Telemarketing: il Garante privacy sanziona Enel Energia La società non aveva protetto le sue banche dati da accessi di procacciatori abusivi
- L’RSPP non è tenuto ad assicurarsi che il datore di lavoro adempia
- E-mail dei dipendenti, il Garante privacy avvia una consultazione pubblica
- Antivirus prometteva di proteggere la privacy degli utenti ma in realtà faceva l’esatto opposto, Avast sanzionata per 16,5 milioni di dollari
- Lavoro, Calderone: in prossimo Cdm provvedimento organico in materia di salute e sicurezza
GDPR, cosa sono le certificazioni e come si ottengono
Il sistema delle certificazioni è disciplinato, nel GDPR, agli artt. 42 e 43.
In particolare, l’art. 42 prevede che gli Stati membri dell’UE, le Autorità di controllo, il Comitato europeo per la protezione dei dati e la Commissione incoraggino l’istituzione di appositi meccanismi di certificazione della protezione dei dati, nonché di sigilli e marchi di protezione che consentano di dimostrare che il trattamento dei dati è effettuato in modo conforme al Regolamento.
Questi meccanismi, sigilli, o marchi approvati, oltre ad essere direttamente adottati dai titolari e responsabili del trattamento, possono anche avere la funzione di dimostrare l’adozione di garanzie adeguate da parte di quei titolari o responsabili del trattamento che non rientrano nel campo di applicazione del GDPR, nel caso quindi in cui vi sia un trasferimento di dati personali verso paesi terzi o organizzazioni internazionali.
In questo caso, infatti, i titolari o responsabili del trattamento assumono l’impegno di applicare garanzie adeguate alla protezione dei dati personali, anche per quanto riguarda i diritti degli interessati, attraverso degli strumenti contrattuali o di altro tipo che siano giuridicamente vincolanti.
Per quanto riguarda nello specifico la certificazione, questa avviene su base volontaria ed è accessibile mediante una procedura trasparente. Questa, peraltro, non ha lo scopo o la funzione di diminuire la responsabilità del titolare o del responsabile del trattamento per quanto concerne la conformità del trattamento dei dati al Regolamento, così come lascia impregiudicati i poteri delle competenti Autorità di controllo.
L’art. 42, paragrafo 7 stabilisce poi che la certificazione possa essere rilasciata al titolare o responsabile del trattamento per un periodo massimo di 3 anni. Essa potrà poi essere successivamente rinnovata alle stesse condizioni, purché ovviamente continuino ad essere soddisfatti i requisiti di base. Ugualmente, qualora i presupposti non siano più soddisfatti la certificazione potrà essere revocata.
Come previsto dall’art. 42, par. 8, il Comitato europeo per la protezione dei dati personali dovrà raccogliere in un apposito registro tutti i meccanismi di certificazione, i sigilli e i marchi di protezione dei dati in modo tale da consentire ai titolari di riconoscere le certificazioni ufficiali ed appropriate.
La certificazione rilevante in tal senso, infatti, è solo quella che viene rilasciata dagli appositi organismi di certificazione previsti dall’art. 43 del GDPR o dall’Autorità di controllo competente sulla base di criteri da essa stessa approvati.
Gli organismi che, in base a quanto stabilito nel GDPR, si dovranno occupare della certificazione nella protezione dei dati personali dovranno essere in possesso di un adeguato livello di competenze in materia di protezione dei dati. Questi, in particolare, rilasciano e rinnovano le certificazioni dopo averne informato l’Autorità di controllo, la quale potrà, eventualmente, rivolgere degli avvertimenti al titolare e responsabile del trattamento nel caso in cui sia verosimile che si stia realizzando una violazione delle disposizioni del regolamento.
Questi organismi di certificazione dovranno poi essere accreditati alternativamente:
- dalla competente Autorità di controllo; oppure
- dall’organismo nazionale di accreditamento designato in virtù del regolamento (CE) n. 765/2008 del Parlamento europeo e del Consiglio in conformità alla norma EN-ISO/IEC 17065/2012 e ai requisiti aggiuntivi eventualmente stabiliti dall’autorità di controllo competente.
L’accreditamento dell’organismo di certificazione potrà essere ottenuto solo nel caso in cui:
- Sia stata data all’autorità di controllo competente una sufficiente dimostrazione di indipendenza e di competenza con riferimento al contenuto della certificazione;
- Sia stata data idonea garanzia del rispetto dei requisiti stabiliti dal GDPR e approvati dall’autorità di controllo competente;
- Siano state predisposte delle procedure per il rilascio e per la rivalutazione periodica delle certificazioni, dei sigilli e dei marchi di protezione dei dati;
- Siano state predisposte delle adeguate procedure e strutture al fine di gestire i reclami riguardanti eventuali violazioni della certificazione, o le modalità in cui la certificazione è stata attuata dal titolare del trattamento o dal responsabile del trattamento, in modo tale da renderle il più possibile trasparenti per gli interessati e per il pubblico;
- Sia stato dimostrato alla competente autorità di controllo che i compiti e le funzioni svolte non danno luogo a conflitto di interessi.
Per quanto appaia chiara l’utilità di tali certificazioni, la loro predisposizione non sembra tra i primi obiettivi delle Autorità garanti e dovremo aspettare ancora un po’ prima di poter fare affidamento su di esse. Per il momento, in attesa di quelle ufficiali, sarà importante fare attenzione alle più svariate certificazioni che iniziano a circolare e verificare bene se dal ricorso ad esse possa realmente derivare un qualche beneficio per i titolari e per la protezione dei dati oggetto di trattamento.
Fonte: tomshw.it