Log in or Create account

NUMERO 8 - 01/04/2020

 GDPR certifications: state of play, developments and hints at the Italian situation

Abstract [En]: The paper aims to analyse the data protection certification mechanisms, a novelty introduced by the General Data Protection Regulation (GDPR), or better to focus on the complex process of implementation of this new institute. The author looks into the most significant certification experiences prior to the GDPR, the ratio of the new rules, the role of EU and national actors and the guidelines of the European Data Protection Board as a harmonization body in this specific sector.  It provides an insight on European and Italian best practices as defined by a flagship study carried out for the European Commission by a team of researchers from some European universities, before reflecting on some problematic points of the new discipline. To cite the main ones, the first concerns possible conflicts of competence between certification bodies and national data protection authorities. A second issue refers to the problematic relationship and the necessary coordination between the same authorities and the European Data Protection Board (EDPB), which must be resolved in favour of the latter. Finally, with respect to the Italian picture, it describes the doubts about the "subsidiary" mechanism that connects the Italian Data Protection Authority to the National certification body. The author says he is confident that the good cooperation between the parties involved will make it soon possible to implement this complex institute.

 

Abstract [It]: Il paper si propone di analizzare i meccanismi di certificazione della protezione dei dati, novità introdotta dal Regolamento Generale della Protezione dei Dati (GDPR), o meglio di fare il punto riguardo al complesso iter di applicazione di questo nuovo istituto. L’autore si sofferma sulle esperienze di certificazione più significative precedenti al GDPR, sulla ratio delle nuove norme introdotte sul ruolo di attori UE e nazionali e sulle linee guida del Comitato Europeo della Protezione dei dati quale istanza di armonizzazione anche dello stesso specifico settore. Analizza poi delle best practices europee e italiane così come definite da uno studio faro effettuato per la Commissione Europea da un team di ricercatori di alcune università europee, prima di rifletter su taluni punti problematici della nuova disciplina. Per citarne i principali, il primo riguarda possibili conflitti di competenza tra organismi di certificazioni e autorità di protezione dati nazionali; un altro si riferisce alla problematicità circa il rapporto e il necessario coordinamento tra le stesse autorità e il Comitato Europeo della Protezione dei dati (EDPB); infine rispetto alla situazione italiana i dubbi riguardano il meccanismo “sussidiario” che collega il Garante per la protezione dei dati personali all’organismo di certificazione nazionale. L’Autore si dice fiducioso che si riuscirà presto a garantire l’operatività di questo strumento tramite una buona cooperazione fra le parti in causa.

 

Table of contents: Introduction. 1. A brief historical background and the current state of play. 1.1. Examples of previous certifications: Schleswig-Holstein, Switzerland and France. 2. Certifications in the General Data Protection Regulation. Main actors involved. 2.1. Brief historical of articles 42 and 43. 2.2. Models of mechanisms of certifications and role of the Commission and of the DPAs. 2.3. Certification and accreditation bodies under Art.43. 2.4. The role of the European Data Protection Board for a harmonized scheme of certification and seal. The Guidelines on certifications and accreditations and the boundary traced by requirements and criteria to define compliance. 3. Hints at the Italian experience 3.1 The Italian best practices according to the Commission Study carried out by the University of Tilburg. The ISDP 10003:2015 scheme. 4. Conclusions.



Execution time: 367 ms - Your address is 18.204.227.117
Software Tour Operator