Translate

mercoledì 12 agosto 2020

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI DELIBERA 29 luglio 2020 Requisiti aggiuntivi di accreditamento degli organismi di certificazione. (Delibera n. 148). (20A04280) (GU n.201 del 12-8-2020)



GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
DELIBERA 29 luglio 2020
Requisiti   aggiuntivi   di   accreditamento   degli   organismi   di
certificazione. (Delibera n. 148). (20A04280)
(GU n.201 del 12-8-2020)

                    IL GARANTE PER LA PROTEZIONE
                         DEI DATI PERSONALI

  Nella riunione odierna, alla  quale  hanno  preso  parte  il  prof.
Pasquale Stanzione, presidente, la prof.ssa Ginevra  Cerrina  Feroni,
vicepresidente, il dott. Agostino  Ghiglia  e  l'avv.  Guido  Scorza,
componenti e l'avv. Giuseppe Busia, Segretario generale;
  Visto il regolamento (UE) n. 2016/679 del Parlamento europeo e  del
Consiglio del 27 aprile 2016 relativo alla protezione  delle  persone
fisiche con riguardo al trattamento dei dati personali, nonche'  alla
libera circolazione di tali dati e che abroga la  direttiva  95/46/CE
(di seguito «Regolamento»);
  Visto il decreto legislativo 30 giugno  2003,  n.  196  (Codice  in
materia di protezione dei dati personali,  di  seguito  il  «Codice»)
come novellato dal decreto legislativo 10 agosto 2018, n. 101 recante
«Disposizioni  per  l'adeguamento  della  normativa  nazionale   alle
disposizioni del regolamento (UE) n. 2016/679»;
  Visto l'art. 42 del regolamento, il quale prevede  che  i  titolari
e/o responsabili del trattamento  possano  aderire  a  meccanismi  di
certificazione della protezione dei dati nonche' a sigilli  e  marchi
di protezione dei dati (di seguito «meccanismi di certificazione») al
fine di dimostrare la conformita' al regolamento dei  trattamenti  da
loro effettuati (cfr. cons. 100 del regolamento);
  Considerato, in particolare, che  l'adesione  a  un  meccanismo  di
certificazione rilasciato a norma dell'art. 42, del regolamento  puo'
costituire un elemento di responsabilizzazione (c.d. accountability),
in quanto consente ai titolari e/o ai  responsabili  del  trattamento
che  vi  aderiscono  di  dimostrare  la  conformita'   dei   medesimi
trattamenti ad alcune disposizioni o principi del regolamento,  o  al
regolamento nel suo insieme (cfr. cons. 77 e 81, nonche' articoli 24,
par. 3, 28, par. 5, 32, par. 3 e 42, par. 2 del regolamento);
  Visto   che   nell'ambito   dell'istituzione   di   meccanismi   di
certificazione e' previsto che gli organismi  di  certificazione  (di
seguito «OdC»), che rilasciano certificazioni a norma  dell'art.  42,
par. 5 del regolamento, debbano essere accreditati, in base a  quanto
stabilito dall'art. 43, par. 1  del  regolamento,  dall'autorita'  di
controllo competente o dall'organismo nazionale di accreditamento,  o
da entrambi;
  Considerato che lo scopo dell'accreditamento consiste  nel  fornire
una  dichiarazione  autorevole  in  ordine  alla  competenza  di   un
determinato organismo a svolgere un'attivita' di certificazione (cfr.
cons. 15 del regolamento (CE) n. 765/2008 del  Parlamento  europeo  e
del Consiglio, del 9 luglio 2008, di  seguito  «Regolamento  (CE)  n.
765/2008») e che cio'  consente  di  creare  fiducia  nel  meccanismo
stesso di certificazione;
  Visto  che  l'art.  2-septiesdecies  del  Codice   attribuisce   ad
Accredia, quale ente unico nazionale di accreditamento  istituito  ai
sensi del regolamento (CE) n. 765/2008, le funzioni di accreditamento
degli OdC, ovvero di attestare che un determinato OdC sia qualificato
a rilasciare le certificazioni ai sensi  dell'art.  42,  par.  5  del
regolamento in conformita' a quanto previsto dall'art.  43,  par.  1,
lettera b) dello stesso;
  Considerato che l'art. 43,  par.  3  del  regolamento  prevede  che
l'accreditamento degli OdC abbia luogo in base ai requisiti approvati
dall'autorita' di controllo competente  ai  sensi  dell'art.  55  del
regolamento e che se l'accreditamento  e'  effettuato  dall'organismo
nazionale di accreditamento ai sensi dell'art. 43, par. 1, lettera b)
del regolamento, i suddetti requisiti si aggiungono  a  quelli  della
norma  tecnica   EN-ISO/IEC   17065:2012   (di   seguito   «requisiti
aggiuntivi»);
  Considerato che l'autorita' di  controllo  competente  presenta  al
Comitato europeo per la protezione di dati (di  seguito  «Comitato»),
ai  sensi  del  meccanismo  di  coerenza  di  cui  all'art.  63   del
regolamento,   uno   schema    di    requisiti    «aggiuntivi»    per
l'accreditamento di un OdC;
  Viste le Linee guida 4/2019  in  materia  di  accreditamento  degli
organismi di certificazione a norma  dell'art.  43  del  regolamento,
adottate il 4 giugno 2019,  dal  Comitato  all'esito  della  relativa
consultazione pubblica e preso atto degli orientamenti  ivi  resi  in
ordine all'interpretazione e all'attuazione delle disposizioni di cui
all'art. 43 del regolamento, volti a individuare un sistema di regole
coerente e armonizzato per l'accreditamento degli OdC;
  Visto in particolare  il  quadro  organico  di  riferimento  per  i
requisiti di accreditamento, delineato nell'Allegato  1  alle  citate
Linee guida, che integra la norma  tecnica  EN-ISO/IEC  17065:2012  e
fornisce  le  indicazioni   necessarie   al   fine   di   armonizzare
l'elaborazione di tali requisiti aggiuntivi da parte delle  autorita'
di controllo nazionali;
  Tenuto conto  che  queste  ultime  hanno  facolta'  di  individuare
ulteriori  requisiti  aggiuntivi  rispetto  a  quelli  indicati   nel
predetto allegato 1, purche' gli stessi  siano  conformi  al  diritto
nazionale (cfr. allegato 1, Linee guida 4/2019, p. 14);
  Considerato che l'art. 57,  par.  1,  lettera  p)  del  regolamento
prevede che ciascuna autorita' di controllo, sul proprio  territorio,
definisca e pubblichi i requisiti per l'accreditamento degli OdC,  ai
sensi dell'art. 43 del regolamento;
  Rilevato che, ai sensi dell'art. 55 del  regolamento  in  combinato
disposto con l'art. 2-bis del codice, il Garante  e'  l'autorita'  di
controllo  competente  ad   approvare   i   predetti   requisiti   di
accreditamento    «aggiuntivi»    aventi     validita'     nazionale,
nell'esercizio del potere conferitole ai sensi dell'art. 57, par.  1,
lettera p) del regolamento;
  Visto lo schema di «Requisiti di  accreditamento  "aggiuntivi"  con
riguardo alla norma EN-ISO/IEC 17065:2012 e in conformita'  dell'art.
43, paragrafi 1, lettera b)  e  3,  del  Regolamento  generale  sulla
protezione dei dati» approvato dal Garante in data 14 maggio  2020  e
sottoposto in data 15 maggio  2020  al  Comitato  per  il  prescritto
parere (art.  43,  par.  3  e  art.  64,  par.  1,  lettera  c),  del
regolamento);
  Viste le osservazioni rese dal Comitato nel parere adottato  il  23
luglio 2020 (disponibile su https://edpb.europa.eu/) e comunicato  al
Garante dal segretariato del CEPD il 25 luglio 2020;
  Ritenuto, in ottemperanza a quanto previsto dall'art. 64,  par.  7,
del regolamento, di aderire alle osservazioni contenute nel  suddetto
parere e di modificare lo schema di requisiti  di  accreditamento  in
conformita'  a  tali   osservazioni,   dandone   comunicazione   alla
presidente del Comitato;
  Ritenuto quindi ai sensi dell'art. 57,  par.  1,  lettera  p),  del
regolamento di approvare i «Requisiti di accreditamento  "aggiuntivi"
con riguardo  alla  norma  EN-ISO/IEC  17065:2012  e  in  conformita'
dell'art. 43, paragrafi 1, lettera b) e 3, del  Regolamento  generale
sulla protezione dei dati», opportunamente modificati alla  luce  del
suddetto parere ed  allegati  al  presente  provvedimento  del  quale
formano parte integrante;
  Vista la documentazione in atti;
  Viste le osservazioni formulate dal Segretario  generale  ai  sensi
dell'art. 15 del regolamento del Garante n. 1/2000;
  Relatore il prof. Pasquale Stanzione;

                   Tutto cio' premesso il Garante:

    a) ai sensi dell'art. 57, par.  1,  lettera  p)  del  regolamento
approva i «Requisiti di accreditamento "aggiuntivi" con riguardo alla
norma EN-ISO/IEC 17065:2012 e in conformita' dell'art. 43,  paragrafi
1, lettera b) e 3, del  Regolamento  generale  sulla  protezione  dei
dati», in allegato al presente provvedimento del quale formano  parte
integrante;
    b) ai sensi dell'art. 64, par. 7 del  regolamento  comunica  alla
presidente del Comitato il presente provvedimento,  che  recepisce  i
rilievi formulati nel parere richiamato in premessa;
    c)  invia  copia   della   presente   deliberazione   all'Ufficio
pubblicazione leggi e decreti del Ministero della giustizia  ai  fini
della sua pubblicazione nella  Gazzetta  Ufficiale  della  Repubblica
italiana.
      Roma, 29 luglio 2020

                 Il Presidente e Relatore: Stanzione

                    Il Segretario generale: Busia

                                                             Allegato
Requisiti di accreditamento «aggiuntivi» dell'Autorita' di  controllo
  italiana  con  riguardo  alla  norma  ISO/IEC   17065:2012   e   in
  conformita'  dell'art.  43,  paragrafi  1,  lettera  b)  e  3,  del
  Regolamento generale sulla protezione dei dati

    I  numeri  delle  sezioni  utilizzati  nel   presente   documento
corrispondono a quelli utilizzati nella norma ISO/IEC 17065:2012.
    I requisiti di accreditamento di seguito indicati sono  corredati
da alcune note esplicative,  riportate  in  corsivo,  che  non  hanno
carattere vincolante, essendo volte a fornire indicazioni pratiche ed
esempi che possono agevolare l'applicazione  dei  medesimi  requisiti
sia per la predisposizione della richiesta di accreditamento sia  per
il mantenimento dell'accreditamento stesso.
0. Premessa
    Il decreto legislativo 30 giugno 2003,  n.  196  (Codice  per  la
protezione dei dati personali, di seguito «Codice»), come  modificato
dal decreto legislativo del 10 agosto 2018, n. 101, ha individuato in
Accredia, in quanto ente unico nazionale di accreditamento, istituito
ai sensi del regolamento  (CE)  n.  765/2008,  l'organismo  nazionale
deputato all'accreditamento degli organismi di certificazione secondo
quanto previsto nell'art. 43, par. 1, lettera b), del regolamento  n.
2016/679 (di seguito «Regolamento»).
    Fermo restando  quanto  previsto  dall'art.  2-septiesdecies  del
Codice, il Garante per la protezione dei dati personali (nel  seguito
«Garante») e Accredia hanno sottoscritto, in data 20 marzo 2019,  una
convenzione (1) volta a favorire lo scambio di informazioni in merito
alle  attivita'  di  accreditamento  e  certificazione  previste  dal
regolamento (articoli 42 e 43 del regolamento), nonche' a valorizzare
le reciproche competenze.
1. Ambito di applicazione
    L'ambito  di  applicazione  della  norma  ISO/IEC  17065:2012  e'
definito in conformita' del regolamento. Ulteriori informazioni  sono
riportate nelle linee guida relative all'accreditamento  (2)  e  alla
certificazione (3) .
2. Riferimenti normativi
    Il regolamento prevale sulla norma ISO/IEC 17065:2012. Qualora  i
requisiti aggiuntivi  o  il  meccanismo  di  certificazione  facciano
riferimento ad altre norme ISO, esse dovranno essere interpretate  in
linea con i requisiti fissati nel regolamento.
3. Termini e definizioni
    Nel contesto del presente documento si applicano i termini  e  le
definizioni delle linee  guida  relative  all'accreditamento  e  alla
certificazione.  Tali  termini   e   definizioni   prevalgono   sulle
definizioni dell'ISO a eccezione del termine «cliente». Tale  termine
viene utilizzato  nel  presente  documento  in  senso  conforme  alla
definizione di cui al paragrafo 3.1 della norma ISO/IEC 17065/2012 e,
quindi, deve intendersi riferito tanto al «richiedente» (il  soggetto
che richiede la certificazione), quanto al «cliente» (il soggetto che
ha ottenuto la certificazione).
4. Requisiti generali in materia di accreditamento
    4.1. aspetti giuridici e contrattuali
      4.1.1. responsabilita' giuridica: l'organismo di certificazione
(nel seguito «OdC»), oltre a soddisfare il requisito di cui al  punto
4.1.1 della norma ISO/IEC 17065:2012, e' in grado di  dimostrare  (in
qualsiasi momento) ad Accredia di disporre  di  procedure  aggiornate
atte a comprovare  la  conformita'  alle  responsabilita'  giuridiche
fissate  nei  termini  di  accreditamento,   compresi   i   requisiti
aggiuntivi con riguardo all'applicazione del regolamento.
    L'OdC, nella  richiesta  di  accreditamento,  assume  formalmente
l'impegno di osservare ogni normativa  applicabile  allo  svolgimento
delle sue funzioni e, in particolare, le disposizioni  rilevanti  del
regolamento e del codice.
    L'OdC e' in grado di fornire prova dell'esistenza di procedure  e
misure conformi  al  regolamento  finalizzate  al  controllo  e  alla
gestione dei dati personali dell'organizzazione  cliente  nel  quadro
del processo di certificazione.
    L'OdC informa  Accredia  e  il  Garante,  in  caso  di  modifiche
significative della propria situazione di fatto o di diritto.
    L'OdC conferma ad Accredia che non  sono  in  corso  procedimenti
dinanzi al Garante tali da implicare il mancato  soddisfacimento  dei
requisiti di accreditamento. Accredia verifica tali informazioni  con
il Garante  prima  di  avviare  le  attivita'  relative  al  rilascio
dell'accreditamento.
Nota esplicativa.
    Prova  dell'esistenza  di  procedure   e   misure   conformi   al
regolamento  finalizzate  al  controllo  e  alla  gestione  dei  dati
personali trattati dall'OdC puo' essere costituita dalla designazione
di un RPD ai sensi dell'art. 37 del regolamento  e  dall'adozione  di
politiche e procedure per la protezione  dei  dati  (data  protection
policy) ai sensi dell'art. 24, paragrafo 2 del regolamento.
    Per modifiche  significative  della  situazione  di  fatto  o  di
diritto si intendono quelle modifiche ai  requisiti  sulla  base  dei
quali l'OdC e' stato accreditato che incidono sulla sua capacita'  di
rilasciare certificazioni credibili  e  affidabili;  con  particolare
riferimento ai requisiti relativi a  responsabilita',  imparzialita',
capacita' finanziaria, riservatezza, trasparenza, competenza,  rapida
ed efficace risposta ai reclami.
      4.1.2. accordo di  certificazione:  l'OdC  dimostra,  oltre  al
rispetto dei requisiti della norma ISO/IEC 17065:2012, che  i  propri
accordi di certificazione:
        1.  impongano  al  cliente  di  ottemperare  sempre  sia   ai
requisiti generici di certificazione  ai  sensi  del  punto  4.1.2.2,
lettera a), della norma ISO/IEC 17065:2012, sia ai criteri  approvati
dal Garante o dal Comitato europeo per la  protezione  dei  dati  (di
seguito «Comitato») in conformita' dell'art. 43, paragrafo 2, lettera
b) e dell'art. 42, paragrafo 5 del regolamento;
        2. impongano  al  cliente  di  garantire  nei  confronti  del
Garante la  piena  trasparenza  della  procedura  di  certificazione,
compresi  gli  aspetti  contrattualmente  riservati   relativi   alla
conformita' in materia di protezione dei dati a norma  dell'art.  42,
paragrafo 7 e dell'art. 58, paragrafo 1, lettera c) del regolamento;
        3. non limitino la responsabilita' del cliente in merito alla
conformita' al regolamento e lascino impregiudicati  i  compiti  e  i
poteri  del  Garante  in  linea  con  l'art.  42,  paragrafo  5   del
regolamento;
        4.  impongano  al  cliente  di  fornire  all'OdC   tutte   le
informazioni e l'accesso alle attivita' di trattamento  necessarie  a
espletare la  procedura  di  certificazione  a  norma  dell'art.  42,
paragrafo 6 del regolamento;
        5. impongano al cliente di rispettare tutte le scadenze e  le
procedure applicabili. Nell'accordo di certificazione  devono  essere
pattuite le  scadenze  e  le  procedure  derivanti,  a  esempio,  dal
programma di certificazione o da altre normative  che  devono  essere
osservate e rispettate;
        6. con riguardo al punto 4.1.2.2, lettera  c),  n.  1,  della
norma ISO/IEC 17065:2012, fissino regole sulla validita', sul rinnovo
e sulla revoca in conformita' dell'art. 42, paragrafo 7  e  dell'art.
43, paragrafo 4 del regolamento, inclusa la  definizione  di  congrui
intervalli di tempo per la rivalutazione o il  riesame  periodico  in
linea con l'art. 42, paragrafo 7 del regolamento;
        7. consentano  all'OdC  di  divulgare  al  Garante  tutte  le
informazioni necessarie al  rilascio  della  certificazione  a  norma
dell'art.  42,  paragrafo  8  e  dell'art.  43,   paragrafo   5   del
regolamento;
        8. contemplino regole in merito alle  precauzioni  necessarie
per le indagini sui reclami ai sensi del punto 4.1.2.2,  lettera  c),
n. 2,  e,  inoltre,  in  conformita'  della  lettera  j),  contengano
indicazioni esplicite  sulla  struttura  e  sulla  procedura  per  la
gestione dei  reclami  in  conformita'  dell'art.  43,  paragrafo  2,
lettera d) del regolamento;
        9. oltre a soddisfare i requisiti di  cui  al  punto  4.1.2.2
della norma ISO/IEC  17065:2012,  disciplinino  anche,  se  presenti,
tutte   le   conseguenze   della   revoca   o    della    sospensione
dell'accreditamento dell'OdC che si ripercuotono sul cliente;
        10. impongano al cliente di informare senza indebito  ritardo
l'OdC e il Garante, su richiesta, in caso di modifiche  significative
della propria situazione di fatto o di diritto o dei propri prodotti,
processi e servizi oggetto della certificazione.
Nota esplicativa.
    Le informazioni che il cliente fornisce all'OdC riguardano  anche
gli  eventuali  procedimenti  in  corso  dinanzi  al  Garante  o   le
violazioni  della  disciplina  in  materia  di  protezione  dei  dati
personali tali da implicare il mancato soddisfacimento dei criteri di
certificazione.
    Per modifiche  significative  della  situazione  di  fatto  o  di
diritto si tenga anche conto delle indicazioni contenute nella Nota 3
al requisito 4.1.2 della ISO 17065:2012.
    Per modifiche  significative  dei  propri  prodotti,  processi  e
servizi  si  intendono  quelle  tali  da  configurare  una   modifica
dell'oggetto della certificazione, in quanto comportano  integrazioni
o variazioni significative dell'oggetto della  certificazione  ovvero
della tipologia di un prodotto, dell'ambito di un  processo  o  delle
modalita' di erogazione di un servizio [es. interfacce, trasferimenti
ad altri sistemi e organizzazioni, protocolli, canali e/o piattaforme
di erogazione, metodi  per  il  trattamento,  tecnologie  utilizzate,
logica  degli  algoritmi  per  le  decisioni  automatizzate,   misure
tecniche e organizzative, modifica del responsabile del  trattamento,
...].
      4.1.3. Utilizzo di sigilli e marchi  di  protezione  dei  dati:
certificati, i marchi e i sigilli devono essere usati  esclusivamente
in conformita' degli articoli 42 e 43 del regolamento e  delle  linee
guida relative all'accreditamento e alla certificazione.
    4.2. Gestione dell'imparzialita'
    Accredia garantisce che, oltre a soddisfare il requisito  di  cui
al punto 4.2 della norma ISO/IEC 17065:2012:
      1. l'OdC sia conforme ai seguenti requisiti aggiuntivi:
        a. fornisca prova  separata  della  propria  indipendenza  in
linea con l'art. 43, paragrafo 2,  lettera  a)  del  regolamento,  in
particolare per quanto riguarda il finanziamentodell'organismo, nella
misura  in  cui  tale  aspetto  incida  sulla  garanzia   della   sua
imparzialita';
        b.  fornisca  la  prova  di  cui  al  punto  precedente,   su
richiesta, al Garante, per quanto riguarda il finanziamentodell'OdC;
        c. i suoi compiti e le sue funzioni  non  diano  adito  a  un
conflitto di interessi in linea con l'art. 43, paragrafo  2,  lettera
e) del regolamento;
      2. l'OdC non abbia alcun collegamento rilevante con il  cliente
che valuta.
Nota esplicativa.
    Per il concetto di imparzialita' si tenga anche conto  di  quanto
contenuto della Nota 2 del par. 3.2 della ISO 17021-1:2015.
    L'OdC  rappresenta  una  terza  parte  indipendente  che  non  ha
relazione con i soggetti che deve sottoporre a  valutazione  ai  fini
del rilascio della certificazione. La direzione (top management) e il
personale dell'OdC responsabile della valutazione di conformita'  non
devono aver ricoperto alcun ruolo  nella  progettazione,  produzione,
fornitura,  installazione,  acquisizione  del  prodotto,  processo  o
servizio oggetto di  valutazione,  ne'  esserne  i  proprietari,  gli
utenti  o  i  manutentori,  e  non  possono  agire  in  qualita'   di
rappresentanti  autorizzati  di  soggetti  che  abbiano  ricoperto  o
ricoprano i suddetti ruoli.
    Imparzialita'  e  indipendenza  possono  essere   comprovate,   a
esempio, attraverso la seguente documentazione:
      statuto e atto costitutivo dell'OdC;
      regole  e  procedure  di  composizione,  nomina,  modalita'  di
remunerazione e durata del mandato dei componenti dell'OdC incaricati
di assumere le decisioni attinenti alle attivita' di certificazione;
      documentazione comprovante i rapporti commerciali,  finanziari,
contrattuali o di altro  genere  che  intercorrono  tra  l'OdC  e  il
cliente.
    Riguardo il conflitto di interessi, quest'ultimo puo' sussistere,
per esempio:
      a) qualora l'OdC abbia una qualsiasi relazione economica con il
cliente tale da incidere  sul  proprio  fatturato  o  generare  anche
parzialmente condizionamenti di natura economica;
      b) qualora l'OdC, o i suoi soci, abbiano quote o partecipazioni
in societa' che offrono consulenza  rispetto  a  prodotti,  processi,
servizi oggetto di certificazione;
      c) qualora l'OdC svolga attivita' assimilabili alla  consulenza
non adeguatamente mitigate, quali a esempio:
        fornire personale che assume il ruolo di  RPD  (art.  37  del
regolamento);
        altre attivita' di valutazione della conformita', in presenza
o meno di accreditamento;
        altre attivita' quali, a esempio, la verifica dell'osservanza
della normativa vigente, prove di  penetrazione  (penetration  test),
rilevamento delle intrusioni (intrusion detection).
    Per maggiori dettagli su imparzialita' e conflitto  di  interessi
si veda anche la Guida EA-2/20 Consultancy, and the  independence  of
conformity assessment bodies (4) .
    4.3. Responsabilita' e finanziamento
      Accredia verifica regolarmente che l'OdC, oltre a rispettare il
requisito di cui al  punto  4.3.1  della  norma  ISO/IEC  17065:2012,
disponga di idonee  misure  (a  esempio  un'assicurazione  o  riserve
finanziarie) tali da coprire le proprie  responsabilita'  nelle  aree
geografiche in cui opera.
    L'OdC,  quale  attestazione  della  piena  osservanza,  piu'   in
generale, degli obblighi di legge in materia, conferma di non  essere
oggetto di procedure concorsuali o fallimentari, di essere in  regola
con il versamento dei contributi pensionistici  e  assistenziali,  di
non essere oggetto di procedimenti coattivi di riscossione tributi  e
che  i  suoi  rappresentanti  legali  non  hanno  riportato  condanne
definitive per  reati  colposi  o  dolosi  collegati  alle  attivita'
dell'OdC.
    L'OdC dimostra anche l'osservanza dei requisiti di cui alla norma
ISO/IEC 17021-1:2015, punto 5.3.2, ossia di aver  valutato  i  rischi
derivanti dalle attivita' di  certificazione  e  di  avere  adottato,
sulla base di tale pregressa valutazione, misure idonee a mitigare  i
rischi individuati. A  tale  fine,  l'OdC  mette  a  disposizione  di
Accredia e del Garante, su richiesta, la documentazione pertinente.
Nota esplicativa.
    I rischi derivanti  dalle  attivita'  di  certificazione  possono
comprendere, ma non limitarsi:
      agli obiettivi dell'audit;
      al campionamento utilizzato nel processo di audit;
      all'imparzialita' reale e percepita;
      alle questioni relative a responsabilita' e obblighi giuridici;
      all'organizzazione del cliente sottoposta ad  audit  e  al  suo
ambiente operativo;
      all'impatto dell'audit sul cliente e le sue attivita';
      alla salute e sicurezza dei gruppi di audit;
      alle dichiarazioni fuorvianti da parte del cliente;
      all'utilizzo di marchi.
    Misure idonee alla mitigazione  dei  rischi  individuati  possono
comprendere la stipula di polizze assicurative sufficienti a  coprire
eventuali richieste  di  risarcimento,  accantonamenti  in  bilancio,
ecc...
    Nella definizione dei relativi  importi,  l'OdC  dovrebbe  tenere
conto delle risultanze della valutazione del rischio.
    L'analisi del rischio  dovrebbe  essere  sottoposta  a  revisione
periodica, almeno annuale, per identificare nuovi rischi o  modifiche
ai medesimi in riferimento alle attivita' e alle relazioni dell'OdC o
del suo personale.
    4.4. Condizioni non discriminatorie
      Non si formulano requisiti aggiuntivi  rispetto  al  punto  4.4
della norma ISO/IEC 17065:2012.
    4.5. Riservatezza
      Oltre a rispettare il requisito di cui al punto 4.5 della norma
ISO/IEC 17065:2012, l'OdC e' responsabile della gestione di tutte  le
informazioni raccolte o utilizzate durante le attivita'  relative  al
rilascio della certificazione e,  a  tal  fine,  garantisce  ai  suoi
clienti (attuali e potenziali) che  il  proprio  personale,  in  modo
particolare il personale dedicato alle attivita' di valutazione e  di
decisione, mantenga riservate tali informazioni,  fermo  restando  il
rispetto di eventuali obblighi di legge che prevedano diversamente.
    4.6. Informazioni disponibili al pubblico
      Oltre al rispetto del requisito di cui al punto 4.6 della norma
ISO/IEC 17065:2012, Accredia esige dall'OdC almeno che:
        1. tutte le  versioni  (attuali  e  precedenti)  dei  criteri
approvati  utilizzati  ai  sensi  dell'art.  42,  paragrafo   5   del
regolamento, cosi' come tutte le procedure di  certificazione,  siano
pubblicate e facilmente  accessibili  al  pubblico,  con  indicazione
generale del rispettivo periodo di validita';
        2. le informazioni sulle procedure di gestione dei reclami  e
sui ricorsi siano rese pubbliche a norma dell'art. 43,  paragrafo  2,
lettera d) del regolamento.
5. Requisiti strutturali
    5.1. Struttura organizzativa e alta direzione: non  si  formulano
requisiti aggiuntivi  rispetto  al  punto  5.1  della  norma  ISO/IEC
17065:2012;
    5.2.  Meccanismi  di  salvaguardia  dell'imparzialita':  non   si
formulano requisiti aggiuntivi rispetto  al  punto  5.2  della  norma
ISO/IEC 17065:2012.
6. Requisiti per le risorse umane
    6.1. Personale dell'organismo di certificazione
      Accredia  garantisce  che  il  personale  dell'OdC,   oltre   a
rispettare i requisiti di cui alla  sezione  6  della  norma  ISO/IEC
17065:2012:
        1.  abbia  dimostrato  competenze  adeguate  e  costantemente
aggiornate  (insieme  di  conoscenze  ed  esperienze)  riguardo  alla
protezione  dei  dati  a  norma  dell'art.  43,   paragrafo   1   del
regolamento;
        2.  sia  indipendente  e  costantemente  competente  riguardo
all'oggetto della certificazione a norma dell'art. 43,  paragrafo  2,
lettera a)  del  regolamento,  e  non  presenti  alcun  conflitto  di
interessi  a  norma  dell'art.  43,  paragrafo  2,  lettera  e)   del
regolamento;
        3. si impegni a rispettare i  criteri  di  cui  all'art.  42,
paragrafo 5 e dell'art. 43, paragrafo 2, lettera b) del regolamento;
        4. con riguardo  al  personale  dell'OdC  responsabile  delle
decisioni relative alle certificazioni (decision maker),  soddisfi  i
seguenti requisiti di onorabilita':
          a)  non  trovarsi  o  non  essersi  trovato  in  una  delle
condizioni previste dall'art. 2382 del codice civile;
          b) non essere  stato  radiato  da  albi  professionali  per
motivi disciplinari ne' per altri motivi;
          c) non aver riportato condanne per delitti non colposi o  a
pena  detentiva  per  contravvenzioni,  salvi   gli   effetti   della
riabilitazione;
          d) non essere o non essere stato  sottoposto  a  misure  di
prevenzione o di sicurezza personali di carattere processual-penale;
        5. disponga di conoscenze ed esperienze pertinenti e adeguate
per quanto riguarda l'applicazione della legislazione in  materia  di
protezione dei dati;
        6. disponga di conoscenze ed esperienze pertinenti e adeguate
per quanto riguarda le pertinenti misure tecniche e organizzative  di
protezione dei dati;
        7. sia in grado di dimostrare di avere adeguata e  aggiornata
esperienza nei settori menzionati nei requisiti aggiuntivi di cui  ai
punti 6.1.1, 6.1.4 e 6.1.5, nello specifico:
          per il personale con competenze tecniche:
          di avere ottenuto una qualifica in un pertinente settore di
competenza tecnica pari ad almeno il livello  6  dell'EQF  (5)  o  un
titolo abilitante riconosciuto (p. es. Dipl. Ing.) per la  pertinente
professione  regolamentata,  oppure  di  disporre  di   significativa
esperienza professionale nello stesso settore;
          al personale responsabile  delle  decisioni  relative  alla
certificazione   e'   richiesta    una    significativa    esperienza
professionale nell'identificazione e nell'attuazione delle misure  di
protezione dei dati;
          al personale responsabile delle  valutazioni  e'  richiesta
un'esperienza professionale nell'ambito della protezione tecnica  dei
dati e conoscenze ed esperienze in materia di  procedure  comparabili
(es. certificazioni/audit) e, se del  caso,  iscrizione  al  relativo
albo professionale.
    Il  personale  dovra'  dimostrare  di  mantenere  aggiornate   le
conoscenze specifiche del settore riguardo alle competenze tecniche e
di audit mediante formazione permanente documentata.
per il personale con competenze giuridiche:
      studi giuridici in un'universita' dell'UE o riconosciuta da uno
stato  di  durata  pari  ad  almeno  otto  semestri,   compresa   una
specializzazione post-laurea  (LL.M)  o  titoli  equivalenti,  oppure
significativa esperienza professionale;
      il  personale  responsabile  delle  decisioni   relative   alla
certificazione   deve   dimostrare   una   significativa   esperienza
professionale nell'ambito della disciplina della protezione dei  dati
e, se del caso, deve essere iscritto al relativo albo professionale;
      il personale responsabile  delle  valutazioni  deve  dimostrare
almeno  due  anni  di  esperienza  professionale  nell'ambito   della
disciplina della protezione dei dati, e conoscenze ed  esperienze  in
materia di procedure comparabili (es. certificazioni/audit) e, se del
caso, deve essere iscritto al relativo albo professionale;
      il personale  dovra'  dimostrare  di  mantenere  aggiornate  le
conoscenze specifiche del settore riguardo alle competenze tecniche e
di audit mediante formazione permanente documentata.
    L'OdC  definisce  e  illustra  ad  Accredia  quali  requisiti  di
esperienza professionale siano adeguati in rapporto all'ambito  dello
schema di certificazione e all'oggetto della valutazione.
Nota esplicativa.
    Si considera  «adeguato»  il  livello  di  competenza  necessario
all'effettivo svolgimento delle funzioni dell'OdC in  relazione  allo
schema   di   certificazione   per   il   quale    viene    richiesto
l'accreditamento, avuto riguardo  in  particolare  alle  specificita'
del/i settore/i a cui si applica lo schema, alla categoria  dei  dati
trattati e alla  complessita'  delle  attivita'  di  trattamento,  ai
diversi interessi coinvolti, nonche' ai rischi per gli interessati.
    Si considera «pertinente» l'esperienza attinente all'ambito della
certificazione.
    Per il  personale  responsabile  delle  decisioni  relative  alla
certificazione tali requisiti si intendono soddisfatti, per  esempio,
se il personale, con adeguata esperienza  in  ambito  certificazioni,
possiede una certificazione accreditata  secondo  la  UNI  11697:2017
almeno di Specialista privacy o  e'  in  possesso  dei  requisiti  di
conoscenza,  abilita'  e  competenza  e   di   accesso   ai   profili
professionali previsti da tale norma tecnica e riportati in  Allegato
1.
    Per il personale responsabile delle valutazioni (ossia  i  membri
del gruppo di verifica) tali requisiti si intendono soddisfatti,  per
esempio, se il  personale  possiede  una  certificazione  accreditata
secondo la UNI 11697:2017 del profilo di Valutatore privacy o  e'  in
possesso dei requisiti di conoscenza,  abilita'  e  competenza  e  di
accesso al suddetto profilo  professionale  previsti  da  tale  norma
tecnica e riportati in Allegato 1.
    6.2. Risorse per la valutazione
      Non si formulano requisiti aggiuntivi  rispetto  al  punto  6.2
della norma ISO/IEC 17065:2012.
7. Requisiti di processo
    7.1. Aspetti generali
      Oltre al rispetto del requisito di cui al punto 7.1 della norma
ISO/IEC 17065:2012, Accredia garantisce che:
        1. nel presentare la domanda di accreditamento l'OdC soddisfi
i presenti  requisiti  aggiuntivi  stabiliti  del  Garante  ai  sensi
dell'art. 43, paragrafo 1, lettera b) del regolamento, in  modo  tale
che i loro  compiti  e  obblighi  non  diano  adito  a  conflitto  di
interessi  a  norma  dell'art.  43,  paragrafo  2,  lettera  e)   del
regolamento;
        2. prima di cominciare a utilizzare in un nuovo Stato membro,
attraverso una sede distaccata, un sigillo europeo di protezione  dei
dati  precedentemente  approvato,  l'OdC  informi  le  autorita'   di
controllo interessate.
    7.2. Domanda
      Oltre a quanto previsto  dal  punto  7.2  della  norma  ISO/IEC
17065:2012, l'OdC garantisce che:
        1. l'oggetto della certificazione (Oggetto della valutazione,
OdV) sia descritto  in  dettaglio  nella  domanda  di  certificazione
compresi le interfacce  e  i  flussi  di  dati  ad  altri  sistemi  e
organizzazioni, i protocolli e le altre garanzie;
        2. nella domanda sia specificata la eventuale  contitolarita'
circa  il  trattamento  oggetto  di  certificazione  e/o  l'eventuale
ricorso a responsabili del trattamento e, qualora il cliente  sia  un
contitolare e/o responsabile del trattamento, siano descritti i  suoi
compiti e le sue responsabilita', nonche' riportati il/i pertinente/i
contratto/i o altro atto giuridico volto a regolare  i  rapporti  tra
titolare e contitolare e/o responsabile del trattamento.
    7.3. Esame della domanda
      Oltre a quanto previsto  dal  punto  7.3  della  norma  ISO/IEC
17065:2012, l'OdC garantisce che:
        1. nell'accordo di certificazione siano stabiliti  metodi  di
valutazione vincolanti con  riguardo  all'oggetto  della  valutazione
(OdV);
        2. la valutazione di cui al punto 7.3, lettera e) tenga conto
in misura appropriata sia delle competenze  tecniche  sia  di  quelle
giuridiche in materia di protezione dei dati e assicuri  la  presenza
di entrambe;
    7.4. Valutazione
      Oltre a quanto previsto  dal  punto  7.4  della  norma  ISO/IEC
17065:2012, l'OdC garantisce che i propri processi di  certificazione
descrivano  metodi  di  valutazione   sufficienti   a   valutare   la
conformita' del/i trattamento/i ai criteri di certificazione, tra cui
a esempio, laddove applicabili:
        1. un metodo per valutare la necessita' e la proporzionalita'
del/i trattamento/i rispetto al loro scopo e agli interessati;
        2. un metodo per valutare la copertura, la composizione e  la
valutazione di tutti i rischi presi in  considerazione  dal  titolare
del trattamento e dal responsabile del trattamento con riguardo  alle
conseguenze giuridiche a norma degli articoli 30, 32,  35  e  36  del
regolamento e alla definizione delle misure tecniche e  organizzative
a norma degli articoli 24, 25 e 32 del regolamento, nella  misura  in
cui   i   suddetti   articoli   si   applicano   all'oggetto    della
certificazione;
        3. un metodo per  valutare  i  mezzi  di  tutela  incluse  le
garanzie e le procedure atte ad assicurare  la  protezione  dei  dati
personali nell'ambito  del/i  trattamento/i  collegato/i  all'oggetto
della certificazione nonche' a dimostrare il rispetto  dei  requisiti
giuridici definiti nei criteri; e
        4.  documentazione  riguardante  i  metodi  e   le   relative
risultanze.
    L'OdC  garantisce  che   tali   metodi   di   valutazione   siano
standardizzati e applicabili di regola. Cio' significa che metodi  di
valutazione comparabili sono utilizzati per  oggetti  di  valutazione
(OdV) comparabili. Qualsiasi deroga  a  tale  procedura  e'  motivata
dall'OdC.
    Oltre a quanto previsto  dal  punto  7.4.2  della  norma  ISO/IEC
17065:2012, e' ammessa la possibilita' di affidare l'esecuzione della
valutazione a esperti esterni riconosciuti dall'OdC  sulla  base  dei
requisiti di cui al precedente punto 6.1.
    Oltre a quanto previsto  dal  punto  7.4.5  della  norma  ISO/IEC
17065:2012,  e'  prevista  la  possibilita'  che  una  certificazione
preesistente, che  copra  parte  dell'oggetto  della  certificazione,
possa essere tenuta  in  considerazione  ai  fini  della  valutazione
relativa rilascio di una certificazione di  protezione  dei  dati  ai
sensi  degli  articoli  42  e  43  del  regolamento.   Tuttavia,   la
preesistente certificazione, o la relativa  dichiarazione,  non  puo'
considerarsi, di per se', sostitutiva  delle  valutazioni  (parziali)
riguardanti la certificazione ai sensi  del  regolamento,  ne'  della
relazione  di  certificazione  e   l'OdC,   comunque,   verifica   la
conformita' ai criteri di  certificazione  in  relazione  all'oggetto
della certificazione. Pertanto, il rilascio della  certificazione  di
protezione dei  dati,  in  ogni  caso,  avviene  sulla  base  di  una
relazione  di  valutazione  completa  o  di  informazioni   tali   da
consentire una valutazione delle certificazioni esistenti e dei  suoi
risultati che comprenda anche un'analisi comparativa (gap analysis) a
cura dell'OdC circa l'eventuale scostamento fra i criteri,  i  metodi
di  valutazione  e  quanto  rileva   nello   specifico   oggetto   di
certificazione.
    Oltre a quanto previsto  dal  punto  7.4.6  della  norma  ISO/IEC
17065:2012,  l'OdC  specifica,  tramite  idonea  documentazione,   le
modalita'  con  cui  sono  fornite   al   cliente   le   informazioni
obbligatorie a norma del punto 7.4.6 in  merito  alle  eventuali  non
conformita' riscontrate. Devono essere definite almeno le tipologie e
le tempistiche di tali informazioni.
    Oltre a quanto previsto  dal  punto  7.4.9  della  norma  ISO/IEC
17065:2012, la  documentazione  e'  resa  pienamente  accessibile  al
Garante,  su  richiesta.  Il  Garante   si   riserva,   inoltre,   la
possibilita' di far partecipare agli audit di certificazione  proprio
personale in qualita' di osservatore.
Nota esplicativa.
    I mezzi di tutela comprendono tutti gli strumenti e le  procedure
idonei a conseguire l'applicazione  della  normativa  in  materia  di
protezione  dei  dati  nello  specifico  contesto  dello  schema   di
certificazione, alla luce delle disposizioni del  GDPR  e  di  quelle
nazionali pertinenti.
    La documentazione di cui al requisito aggiuntivo del punto  7.4.6
puo' corrispondere allo schema  di  certificazione,  ovvero,  qualora
l'OdC non sia il  titolare  dello  schema,  a  un  diverso  documento
relativo al processo di certificazione.
    7.5. Riesame
      Oltre a quanto previsto  dal  punto  7.5  della  norma  ISO/IEC
17065:2012, sono richieste procedure per la concessione,  il  riesame
periodico  e  la  revoca  delle  rispettive  certificazioni  a  norma
dell'art. 43, paragrafi 2 e 3 del regolamento.
    7.6. Decisione relativa alla certificazione
      Oltre a quanto previsto dal punto  7.6.1  della  norma  ISO/IEC
17065:2012, l'OdC:
        1. specifica  nelle  procedure  in  che  modo  garantisce  la
propria  indipendenza  e  responsabilita'   rispetto   alle   singole
decisioni di rilascio di certificazione;
        2. verifica con il suo  cliente,  prima  dell'adozione  della
decisione  sulla  certificazione,  che  questi  non  sia  oggetto  di
eventuali procedimenti  dinanzi  al  Garante  tali  da  implicare  il
mancato soddisfacimento dei criteri di certificazione.
    7.7. Documentazione riguardante la certificazione
      Oltre a quanto previsto dal  punto  7.7.1,  lettera  e),  della
norma ISO/IEC 17065:2012 e in conformita' dell'art. 42,  paragrafo  7
del regolamento il periodo di validita' delle certificazioni non puo'
essere superiore a tre anni.
      Oltre a quanto previsto dal  punto  7.7.1,  lettera  e),  della
norma ISO/IEC 17065:2012, e' obbligatoriamente documentata  anche  la
sorveglianza periodica prevista al successivo punto 7.9.
      Oltre a quanto previsto dal  punto  7.7.1,  lettera  f),  della
norma   ISO/IEC   17065:2012,   l'OdC   denomina   l'oggetto    della
certificazione all'interno della relativa  documentazione  (indicando
la versione o altre caratteristiche analoghe, laddove applicabili).
    7.8. Elenco dei prodotti, processi e servizi certificati
      Oltre a quanto previsto  dal  punto  7.8  della  norma  ISO/IEC
17065:2012, l'OdC:
        1.  conserva  le  informazioni  riguardanti  i  prodotti,   i
processi e i servizi certificati in modo che siano disponibili sia al
personale interno sia al pubblico. L'OdC  fornisce  al  pubblico  una
sintesi della relazione di valutazione.  Scopo  di  tale  sintesi  e'
contribuire   a   una   maggiore   trasparenza   sull'oggetto   della
certificazione e  sulle  modalita'  della  relativa  valutazione.  La
sintesi illustrera' tra l'altro:
          (a)  l'ambito  della  certificazione  e   una   descrizione
significativa dell'oggetto della certificazione (OdV),
          (b) i rispettivi  criteri  di  certificazione  (inclusa  la
versione o lo stato funzionale),
          (c) i metodi di valutazione e i test effettuati, nonche'
          (d) i(l) risultato/i.
        2. a norma dell'art. 43, paragrafo 5 del regolamento  informa
il Garante in merito ai motivi del  rilascio  o  della  revoca  della
certificazione.
    7.9. Sorveglianza
      Oltre a quanto previsto dai punti 7.9.1, 7.9.2  e  7.9.3  della
norma ISO/IEC 17065:2012 e in conformita' dell'art. 43, paragrafo  2,
lettera c) del regolamento, durante il periodo di sorveglianza  l'OdC
prevede misure di sorveglianza periodica, stabilite sulla base di una
valutazione del rischio, al fine della verifica della sussistenza dei
requisiti di mantenimento della certificazione.
Nota esplicativa.
    Le procedure di sorveglianza, anche in  termini  di  strutture  e
risorse a cio' dedicate, devono essere trasparenti, appropriate  allo
schema  di  certificazione  per  cui  si  richiede  l'accreditamento,
efficaci e verificabili,  nonche'  praticabili  dal  punto  di  vista
operativo. Tali  procedure  possono  prevedere  la  pubblicazione  di
relazioni riguardanti le verifiche effettuate, di rapporti  periodici
o  sintetici  sulle  attivita'  svolte  dall'OdC  e  le   complessive
risultanze di tali attivita'.
    7.10. Modifiche che influenzano la certificazione
      Oltre a quanto previsto dai punti 7.10.1 e 7.10.2  della  norma
ISO/IEC   17065:2012,   tra   le   modifiche   che   influenzano   la
certificazione di cui l'OdC tiene conto rientrano: le modifiche  alla
legislazione in materia di protezione dei dati,  l'adozione  di  atti
delegati della  Commissione  europea  in  conformita'  dell'art.  43,
paragrafi 8 e 9 del regolamento,  le  decisioni  e  i  documenti  del
Comitato, la giurisprudenza in materia di  protezione  dei  dati,  le
modifiche relative allo stato dell'arte.
    Le modifiche possono essere gestite con procedure che  prevedano,
a esempio, periodi transitori, processi di approvazione da parte  del
Garante, nuova valutazione  dell'oggetto  della  certificazione,  ove
pertinente, e misure adeguate  per  la  revoca  della  certificazione
qualora  il  trattamento  oggetto  di  certificazione  non  sia  piu'
conforme ai criteri aggiornati.
    7.11.   Termine,   riduzione,   sospensione   o   revoca    della
certificazione
      Oltre a quanto previsto dal punto 7.11.1  della  norma  ISO/IEC
17065:2012, l'OdC stabilisce procedure per informare  senza  indebito
ritardo e per iscritto il  Garante  e  Accredia,  se  pertinente,  in
merito alle misure messe in atto e al mantenimento,  alla  riduzione,
alla sospensione e alla revoca delle certificazioni anche  a  seguito
di reclami o ricorsi trattati conformemente al punto 7.13.
    In  conformita'  dell'art.  58,  paragrafo  2,  lettera  h)   del
regolamento,  l'OdC  e'  tenuto  a  rispettare  le  decisioni  e   le
prescrizioni del  Garante  che  gli  ingiungano  di  revocare  o  non
rilasciare la certificazione a un cliente se il Garante ritiene che i
criteri per la certificazione non sono o non sono piu' soddisfatti.
    7.12. Registrazioni
      Oltre a quanto previsto dal punto 7.11.1  della  norma  ISO/IEC
17065:2012, l'OdC conserva tutta la documentazione in forma completa,
comprensibile, aggiornata e verificabile per un periodo di  tre  anni
dalla scadenza della certificazione.
    7.13. Reclami e ricorsi, art. 43, paragrafo  2,  lettera  d)  del
regolamento
      Fatto salvo il diritto degli interessati di presentare  reclamo
al  Garante  o  ricorso  all'autorita'  giudiziaria  ai  sensi  degli
articoli 77 e 79 del regolamento e degli art. 140-bis ss. del codice,
l'OdC  garantisce   che   un   interessato   ovvero   un   organismo,
organizzazione o associazione rappresentativa o  attiva  nel  settore
della protezione dati personali, possa proporre reclamo.
    La procedura di gestione  dei  reclami  rispetta  i  principi  di
partecipazione,  imparzialita'  e  garanzia  del  contradditorio.  In
particolare, tale procedura prevede che l'OdC informi  il  reclamante
dello stato o dell'esito del reclamo entro tempi ragionevoli, tali da
consentire un'analisi accurata di quanto lamentato.
    Oltre a quanto previsto dal  punto  7.13.1  della  norma  ISO/IEC
17065:2012, l'OdC definisce:
      (a) i soggetti che possono presentare reclami e appelli,
      (b) i soggetti dell'OdC che trattano tali reclami e appelli,
      (c) le verifiche effettuate in tale contesto,
      (d) le possibilita' di consultazione delle parti interessate,
      (e) le modalita' con  cui  garantisce  la  separazione  tra  le
attivita' di certificazione e la gestione di appelli e reclami.
    Oltre a quanto previsto dal  punto  7.13.2  della  norma  ISO/IEC
17065:2012, l'OdC definisce:
      (a) come e a chi dovra'  essere  trasmessa  la  conferma  della
ricezione del reclamo o dell'appello,
      (b) i termini entro i quali la stessa dovra' essere trasmessa,
      (c) le successive procedure.
Nota esplicativa.
    Per «tempi ragionevoli» entro cui  l'OdC  informa  il  reclamante
dello stato o dell'esito del reclamo si  intendono,  di  regola,  tre
mesi.
8. Requisiti del sistema di gestione
    Un requisito generale del  sistema  di  gestione  in  conformita'
della sezione 8 della norma ISO/IEC 17065:2012 e'  la  necessita'  di
documentare,  valutare,   controllare   e   monitorare   in   maniera
indipendente l'attuazione, da parte dell'OdC accreditato, nell'ambito
dell'applicazione  del  meccanismo  di  certificazione,  di  tutti  i
requisiti contenuti nelle precedenti sezioni.
    Il principio fondamentale della gestione e' la definizione di  un
sistema in base al quale gli obiettivi della stessa siano fissati  in
modo efficace ed efficiente (nello specifico l'attuazione dei servizi
di certificazione, per mezzo di adeguate specifiche). Cio' presuppone
la trasparenza e la verificabilita' dell'attuazione dei requisiti  di
accreditamento da parte dell'OdC, nonche' la  conformita'  permanente
agli stessi.
    A  tal  fine  il  sistema  di  gestione  deve   specificare   una
metodologia per il soddisfacimento e la  verifica  continua  di  tali
requisiti, in conformita' alla disciplina di protezione dei dati.
    Tali principi di gestione e la loro documentata  attuazione  sono
trasparenti e sono divulgati dall'OdC accreditato  nell'ambito  della
procedura di accreditamento a norma  dell'art.  58  del  regolamento,
nonche', successivamente, su richiesta del Garante, durante eventuali
indagini condotte a titolo di revisione in materia di protezione  dei
dati a norma dell'art. 58, paragrafo 1, lettera b)  del  regolamento,
ovvero  in  sede  di  riesame  delle  certificazioni  rilasciate   in
conformita'  dell'art.  42,  paragrafo  7,  a  norma  dell'art.   58,
paragrafo 1, lettera c) del regolamento.
    In  particolare  l'OdC  accreditato   rende   permanentemente   e
continuamente noto al pubblico quali certificazioni ha  rilasciato  e
su quali basi (ovvero i meccanismi o gli schemi  di  certificazione),
nonche' la loro validita' e il quadro di riferimento e le  condizioni
a cui e' subordinata (cfr. considerando 100 del regolamento).
    Ai fini della trasparenza l'OdC:
      a) tiene traccia dei principi alla base  della  valutazione  di
conformita' (es. norme tecniche di riferimento, norme  legislative  o
regolamentari, ecc.);
      b)  documenta  le  specifiche  metodologie   utilizzate   nella
definizione delle procedure di audit ai  fini  della  valutazione  di
conformita';
      c)  documenta  le  attivita'  ispettive  e   di   audit   e   i
miglioramenti  apportati  alle  procedure   definite,   comprese   le
motivazioni e la tempistica di tali miglioramenti;
      d) affida a soggetti terzi verifiche  dei  propri  processi  di
valutazione della conformita';
      e)  documenta  e  monitora  il  rispetto  degli   obblighi   di
imparzialita';
      f) motiva  eventuali  variazioni  dei  criteri  di  trasparenza
documentale  e  di  processo  (in  rapporto  a  singoli   schemi   di
certificazione, alle modalita' di verifica della conformita' rispetto
a tali schemi, ai requisiti minimi fissati  nei  contratti  stipulati
con i clienti).
    8.1. Requisiti generali del sistema di gestione
      Non si formulano requisiti aggiuntivi  rispetto  al  punto  8.1
della norma ISO/IEC 17065:2012.
    8.2. Documentazione del sistema di gestione
      Non si formulano requisiti aggiuntivi  rispetto  al  punto  8.2
della norma ISO/IEC 17065:2012.
    8.3. Tenuta sotto controllo dei documenti
      Non si formulano requisiti aggiuntivi  rispetto  al  punto  8.3
della norma ISO/IEC 17065:2012.
    8.4. Tenuta sotto controllo delle registrazioni
      Non si formulano requisiti aggiuntivi  rispetto  al  punto  8.4
della norma ISO/IEC 17065:2012.
    8.5. Riesame della direzione
      Non si formulano requisiti aggiuntivi  rispetto  al  punto  8.5
della norma ISO/IEC 17065:2012.
    8.6. Audit interni
      Non si formulano requisiti aggiuntivi  rispetto  al  punto  8.6
della norma ISO/IEC 17065:2012.
    8.7. Azioni correttive
      Non si formulano requisiti aggiuntivi  rispetto  al  punto  8.7
della norma ISO/IEC 17065:2012.
    8.8. Azioni preventive
      Non si formulano requisiti aggiuntivi  rispetto  al  punto  8.8
della norma ISO/IEC 17065:2012.
9. Ulteriori requisiti aggiuntivi
    9.1. Aggiornamento dei metodi di valutazione
      L'OdC istituisce procedure atte a guidare  l'aggiornamento  dei
metodi di valutazione affinche' possano essere applicati nel contesto
della valutazione di cui al punto 7.4.  L'aggiornamento  ha  luogo  a
seguito di modifiche al quadro giuridico, ai rischi pertinenti,  allo
stato dell'arte e ai costi di  attuazione  delle  misure  tecniche  e
organizzative.
    Tali procedure consentono, con riguardo ai metodi di valutazione,
l'individuazione e la documentazione di modifiche che interessano  il
quadro giuridico di riferimento, gli elementi del contratto stipulato
fra il cliente e l'OdC, le  fonti  di  rischio  (nuove  o  emergenti,
comprese vulnerabilita' tecniche), lo  stato  dell'arte  relativo  ai
trattamenti e alle misure tecniche e organizzative atte  a  garantire
l'osservanza dei principi di protezione dei dati e la  sicurezza  dei
trattamenti.
    9.2. Mantenimento delle competenze
      L'OdC stabilisce procedure atte a garantire la  formazione  del
proprio   personale   nell'ottica   dell'aggiornamento   delle   loro
competenze, tenuto conto degli sviluppi elencati al punto 9.1.
    9.3. Responsabilita' e competenze
      9.3.1. Comunicazione  tra  l'OdC  e  i  propri  clienti:  l'OdC
prevede  procedure  finalizzate  a  mettere  in  atto  meccanismi   e
strutture di  comunicazione  adeguate  con  il  cliente.  Tra  queste
rientrano:
        1. il mantenimento della documentazione relativa ai compiti e
alle responsabilita' dell'OdC, al fine di:
          a. rispondere a richieste di informazioni; o
          b. consentire i  necessari  contatti  in  caso  di  reclami
relativi a una certificazione;
        2. il mantenimento di una procedura di gestione delle domande
di certificazione, al fine di:
          a. fornire  informazioni  sullo  stato  e  l'esito  di  una
domanda;
          b. consentire  le  valutazioni  del  Garante  in  merito  a
riscontri e decisioni della medesima Autorita'.
      9.3.2. Documentazione delle attivita' di  valutazione:  non  si
formulano requisiti aggiuntivi;
      9.3.3. Gestione  dei  reclami:  l'OdC  definisce,  quale  parte
integrante del sistema di gestione, un  meccanismo  di  gestione  dei
reclami e appelli che attui in particolare  i  requisiti  di  cui  al
punto 4.1.2.2, lettere c) e j), al punto 4.6, lettera d), e al  punto
7.13 della norma ISO/IEC 17065:2012;
      9.3.4. Gestione delle riduzioni, sospensioni e  revoche:  l'OdC
integra nel proprio sistema di  gestione  le  procedure  in  caso  di
riduzione, sospensione o revoca dell'accreditamento e riguardanti  in
particolare la relativa notifica ai propri clienti.

(1) https://www.gpdp.it (doc. web 9099622).

(2) Guidelines 4/2018 on the accreditation  of  certification  bodies
    under Article  43  of  the  General  Data  Protection  Regulation
    (2016/679) - Version 3.0 (4 giugno 2019).

(3) Guidelines 1/2018 on certification and identifying  certification
    criteria in accordance with Articles 42 and 43 of the  Regulation
    - Version 3.0 (4 giugno 2019).

(4) https://european-accreditation.org/wp-content/uploads/2020/04/EA-
    2-20_Consultancy_rev00_April-2020.pdf

(5) Cfr. lo strumento  di  confronto  dei  quadri  delle  qualifiche,
    disponibile                                         all'indirizzo
    https://ec.europa.eu/ploteus/en/compare?.
                                                             Allegato

    ALLEGATO 1 - APPENDICE B UNI 11697:2017 - REQUISITI PER L'ACCESSO
AI PROFILI PROFESSIONALI

              Parte di provvedimento in formato grafico

 ALLEGATO 1 - APPENDICE B UNI 11697:2017 - REQUISITI PER L'ACCESSO
AI PROFILI PROFESSIONALI 
 
              Parte di provvedimento in formato grafico

Nessun commento: