Il comitato europeo per la protezione dei dati (EDPB) durante l’ultima riunione plenaria ha approvato le Linee Guida 1/2019 sui codici di condotta e gli organismi di controllo previsti dal Regolamento generale sulla protezione dei dati (GDPR).Le linee-guida intendono fornire orientamenti pratici e supporto interpretativo in relazione all’applicazione degli articoli 40 e 41 del GDPR contribuendo a chiarire le procedure e le norme relative alla presentazione, all’approvazione e alla pubblicazione dei codici di condotta, a livello sia nazionale che europeo. Le linee-guida dovrebbero inoltre offrire un chiaro quadro di riferimento a tutte le autorità di controllo competenti, al Comitato e alla Commissione per condurre una valutazione coerente dei codici di condotta e uniformare le procedure connesse a tale valutazione.
Sono state inoltre aggiornate le Linee Guida 4/2018 sull’accreditamento degli organismi di certificazione, con l’inserimento dell’allegato 1, e le Linee Guida 1/2018 sulla certificazione e sull’identificazione dei criteri di certificazione con l’inserimento dell’allegato 2.
Le linee-guida sull’accreditamento degli organismi di certificazione mirano a fornire orientamenti sull’interpretazione e l’attuazione delle disposizioni dell’articolo 43 del Regolamento generale sulla protezione dei dati. In particolare, intendono aiutare gli Stati membri, le autorità di controllo e gli organismi nazionali di accreditamento a definire una base di riferimento coerente e armonizzata per l’accreditamento degli organismi di certificazione che rilasciano certificati ai sensi del GDPR. L’allegato fornisce indicazioni sui requisiti aggiuntivi per l’accreditamento degli organismi di certificazione, requisiti che devono essere stabiliti dalle autorità di controllo. Tali requisiti aggiuntivi, prima di essere adottati dalle autorità di controllo, devono essere sottoposti al Comitato per approvazione a norma dell’articolo 64, paragrafo 1, lettera c).
L’obiettivo principale delle Linee-guida sulla certificazione e sull’identificazione dei criteri di certificazione è identificare criteri generali che possano trovare applicazione rispetto a tutti i meccanismi di certificazione a norma dell’articolo 42 e dell’articolo 43 del Regolamento generale sulla protezione dei dati. L’allegato individua le tematiche che le autorità di controllo e il comitato europeo per la protezione dei dati prenderanno in esame ai fini dell’approvazione di criteri di certificazione riferiti a un meccanismo di certificazione. L’elenco non è esaustivo, costituisce bensì l’ambito minimo da prendere in esame.
Il comitato europeo per la protezione dei dati, composto da rappresentanti delle autorità nazionali per la protezione dei dati e dal Garante europeo della protezione dei dati, è un organo europeo indipendente, che contribuisce all’applicazione coerente delle norme sulla protezione dei dati in tutta l’Unione europea e promuove la cooperazione tra le autorità competenti per la protezione dei dati dell’UE.
