L’Osservatorio 679, in audizione alla Commissione bicamerale speciale sugli atti di Governo, ha posto il focus sull’ambiguità dell’articolo 2-quinquiesdecies all’interno del decreto di adeguamento della normativa nazionale al GDPR che individua l’Organismo di accreditamento
Nell’ambito delle audizioni svoltesi giovedì 7 giugno davanti alle Commissioni speciali di Camera e Senato, sullo schema di decreto di adeguamento della normativa nazionale al GDPR, è stato ascoltato il parere dell’Osservatorio 679 – think thank nato per confrontarsi sui temi della “nuova privacy” – in merito in particolare alla definizione di poteri e perimetro dell’Organismo di accreditamento nazionale. Il Regolamento europeo 679/2016 identifica in un ente indipendente che ne attesti competenza ed indipendenza di giudizio, la possibilità di essere accreditati. Circa il processo di accreditamento degli organismi terzi, il Regolamento rimette, invece, a ciascun Stato Membro la possibilità di scegliere la figura preposta, permettendo loro di opzionare tra Garante e, nel caso italiano, Accredia – Ente Nazionale di Accreditamento, designato in virtù del Regolamento CE 765/2008. Le Linee Guida WP29, inoltre, chiariscono la Norma (EN-ISO/IEC 17065:2012) in conformità della quale sarà possibile procedere all’accreditamento, e le ragioni per cui la scelta primaria debba ricadere sugli Organismi di Accreditamento, salvo condizioni particolari per cui sarà necessario l’intervento delle Autorità Garante. Il GDPR, all’articolo 43.2 individua alcune delle suddette situazioni, ma tali precisazioni parrebbero non essere sufficientemente esaustive.
La criticità maggiore risiede, come è stato sottolineato in sede di audizione, nell’ambiguità di chi fa che cosa. Dal parere approvato dalle Commissioni sull’atto del Governo n° 22 si evince, che “all’articolo 2-quinquiesdecies del decreto legislativo 30 giugno 2003, n. 196, in materia di organismo nazionale di accreditamento, inserito dall’articolo 2, comma 1, lettera e), del presente schema di decreto, si valuti l’opportunità di definire puntualmente la distinzione tra i ruoli svolti dall’ente nazionale di accreditamento (Accredia) e l’autorità di supervisione (Garante), anche al fine di evitare sovrapposizioni, contenziosi e conflitti di interesse, precisando i criteri sulla base dei quali sono individuate dal Garante le categorie di trattamento in relazione alle quali il Garante stesso riserva a sé le funzioni di accreditamento, riservando a quest’ultimo le funzioni di accreditamento relative ai dati genetici, biometrici e relativi alla salute”.
