GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
DELIBERA 29 luglio 2020
Requisiti aggiuntivi di accreditamento degli organismi di
certificazione. (Delibera n. 148). (20A04280)
(GU n.201 del 12-8-2020)
IL GARANTE PER LA PROTEZIONE
DEI DATI PERSONALI
Nella riunione odierna, alla quale hanno preso parte il prof.
Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni,
vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza,
componenti e l'avv. Giuseppe Busia, Segretario generale;
Visto il regolamento (UE) n. 2016/679 del Parlamento europeo e del
Consiglio del 27 aprile 2016 relativo alla protezione delle persone
fisiche con riguardo al trattamento dei dati personali, nonche' alla
libera circolazione di tali dati e che abroga la direttiva 95/46/CE
(di seguito «Regolamento»);
Visto il decreto legislativo 30 giugno 2003, n. 196 (Codice in
materia di protezione dei dati personali, di seguito il «Codice»)
come novellato dal decreto legislativo 10 agosto 2018, n. 101 recante
«Disposizioni per l'adeguamento della normativa nazionale alle
disposizioni del regolamento (UE) n. 2016/679»;
Visto l'art. 42 del regolamento, il quale prevede che i titolari
e/o responsabili del trattamento possano aderire a meccanismi di
certificazione della protezione dei dati nonche' a sigilli e marchi
di protezione dei dati (di seguito «meccanismi di certificazione») al
fine di dimostrare la conformita' al regolamento dei trattamenti da
loro effettuati (cfr. cons. 100 del regolamento);
Considerato, in particolare, che l'adesione a un meccanismo di
certificazione rilasciato a norma dell'art. 42, del regolamento puo'
costituire un elemento di responsabilizzazione (c.d. accountability),
in quanto consente ai titolari e/o ai responsabili del trattamento
che vi aderiscono di dimostrare la conformita' dei medesimi
trattamenti ad alcune disposizioni o principi del regolamento, o al
regolamento nel suo insieme (cfr. cons. 77 e 81, nonche' articoli 24,
par. 3, 28, par. 5, 32, par. 3 e 42, par. 2 del regolamento);
Visto che nell'ambito dell'istituzione di meccanismi di
certificazione e' previsto che gli organismi di certificazione (di
seguito «OdC»), che rilasciano certificazioni a norma dell'art. 42,
par. 5 del regolamento, debbano essere accreditati, in base a quanto
stabilito dall'art. 43, par. 1 del regolamento, dall'autorita' di
controllo competente o dall'organismo nazionale di accreditamento, o
da entrambi;
Considerato che lo scopo dell'accreditamento consiste nel fornire
una dichiarazione autorevole in ordine alla competenza di un
determinato organismo a svolgere un'attivita' di certificazione (cfr.
cons. 15 del regolamento (CE) n. 765/2008 del Parlamento europeo e
del Consiglio, del 9 luglio 2008, di seguito «Regolamento (CE) n.
765/2008») e che cio' consente di creare fiducia nel meccanismo
stesso di certificazione;
Visto che l'art. 2-septiesdecies del Codice attribuisce ad
Accredia, quale ente unico nazionale di accreditamento istituito ai
sensi del regolamento (CE) n. 765/2008, le funzioni di accreditamento
degli OdC, ovvero di attestare che un determinato OdC sia qualificato
a rilasciare le certificazioni ai sensi dell'art. 42, par. 5 del
regolamento in conformita' a quanto previsto dall'art. 43, par. 1,
lettera b) dello stesso;
Considerato che l'art. 43, par. 3 del regolamento prevede che
l'accreditamento degli OdC abbia luogo in base ai requisiti approvati
dall'autorita' di controllo competente ai sensi dell'art. 55 del
regolamento e che se l'accreditamento e' effettuato dall'organismo
nazionale di accreditamento ai sensi dell'art. 43, par. 1, lettera b)
del regolamento, i suddetti requisiti si aggiungono a quelli della
norma tecnica EN-ISO/IEC 17065:2012 (di seguito «requisiti
aggiuntivi»);
Considerato che l'autorita' di controllo competente presenta al
Comitato europeo per la protezione di dati (di seguito «Comitato»),
ai sensi del meccanismo di coerenza di cui all'art. 63 del
regolamento, uno schema di requisiti «aggiuntivi» per
l'accreditamento di un OdC;
Viste le Linee guida 4/2019 in materia di accreditamento degli
organismi di certificazione a norma dell'art. 43 del regolamento,
adottate il 4 giugno 2019, dal Comitato all'esito della relativa
consultazione pubblica e preso atto degli orientamenti ivi resi in
ordine all'interpretazione e all'attuazione delle disposizioni di cui
all'art. 43 del regolamento, volti a individuare un sistema di regole
coerente e armonizzato per l'accreditamento degli OdC;
Visto in particolare il quadro organico di riferimento per i
requisiti di accreditamento, delineato nell'Allegato 1 alle citate
Linee guida, che integra la norma tecnica EN-ISO/IEC 17065:2012 e
fornisce le indicazioni necessarie al fine di armonizzare
l'elaborazione di tali requisiti aggiuntivi da parte delle autorita'
di controllo nazionali;
Tenuto conto che queste ultime hanno facolta' di individuare
ulteriori requisiti aggiuntivi rispetto a quelli indicati nel
predetto allegato 1, purche' gli stessi siano conformi al diritto
nazionale (cfr. allegato 1, Linee guida 4/2019, p. 14);
Considerato che l'art. 57, par. 1, lettera p) del regolamento
prevede che ciascuna autorita' di controllo, sul proprio territorio,
definisca e pubblichi i requisiti per l'accreditamento degli OdC, ai
sensi dell'art. 43 del regolamento;
Rilevato che, ai sensi dell'art. 55 del regolamento in combinato
disposto con l'art. 2-bis del codice, il Garante e' l'autorita' di
controllo competente ad approvare i predetti requisiti di
accreditamento «aggiuntivi» aventi validita' nazionale,
nell'esercizio del potere conferitole ai sensi dell'art. 57, par. 1,
lettera p) del regolamento;
Visto lo schema di «Requisiti di accreditamento "aggiuntivi" con
riguardo alla norma EN-ISO/IEC 17065:2012 e in conformita' dell'art.
43, paragrafi 1, lettera b) e 3, del Regolamento generale sulla
protezione dei dati» approvato dal Garante in data 14 maggio 2020 e
sottoposto in data 15 maggio 2020 al Comitato per il prescritto
parere (art. 43, par. 3 e art. 64, par. 1, lettera c), del
regolamento);
Viste le osservazioni rese dal Comitato nel parere adottato il 23
luglio 2020 (disponibile su https://edpb.europa.eu/) e comunicato al
Garante dal segretariato del CEPD il 25 luglio 2020;
Ritenuto, in ottemperanza a quanto previsto dall'art. 64, par. 7,
del regolamento, di aderire alle osservazioni contenute nel suddetto
parere e di modificare lo schema di requisiti di accreditamento in
conformita' a tali osservazioni, dandone comunicazione alla
presidente del Comitato;
Ritenuto quindi ai sensi dell'art. 57, par. 1, lettera p), del
regolamento di approvare i «Requisiti di accreditamento "aggiuntivi"
con riguardo alla norma EN-ISO/IEC 17065:2012 e in conformita'
dell'art. 43, paragrafi 1, lettera b) e 3, del Regolamento generale
sulla protezione dei dati», opportunamente modificati alla luce del
suddetto parere ed allegati al presente provvedimento del quale
formano parte integrante;
Vista la documentazione in atti;
Viste le osservazioni formulate dal Segretario generale ai sensi
dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore il prof. Pasquale Stanzione;
Tutto cio' premesso il Garante:
a) ai sensi dell'art. 57, par. 1, lettera p) del regolamento
approva i «Requisiti di accreditamento "aggiuntivi" con riguardo alla
norma EN-ISO/IEC 17065:2012 e in conformita' dell'art. 43, paragrafi
1, lettera b) e 3, del Regolamento generale sulla protezione dei
dati», in allegato al presente provvedimento del quale formano parte
integrante;
b) ai sensi dell'art. 64, par. 7 del regolamento comunica alla
presidente del Comitato il presente provvedimento, che recepisce i
rilievi formulati nel parere richiamato in premessa;
c) invia copia della presente deliberazione all'Ufficio
pubblicazione leggi e decreti del Ministero della giustizia ai fini
della sua pubblicazione nella Gazzetta Ufficiale della Repubblica
italiana.
Roma, 29 luglio 2020
Il Presidente e Relatore: Stanzione
Il Segretario generale: Busia
Allegato
Requisiti di accreditamento «aggiuntivi» dell'Autorita' di controllo
italiana con riguardo alla norma ISO/IEC 17065:2012 e in
conformita' dell'art. 43, paragrafi 1, lettera b) e 3, del
Regolamento generale sulla protezione dei dati
I numeri delle sezioni utilizzati nel presente documento
corrispondono a quelli utilizzati nella norma ISO/IEC 17065:2012.
I requisiti di accreditamento di seguito indicati sono corredati
da alcune note esplicative, riportate in corsivo, che non hanno
carattere vincolante, essendo volte a fornire indicazioni pratiche ed
esempi che possono agevolare l'applicazione dei medesimi requisiti
sia per la predisposizione della richiesta di accreditamento sia per
il mantenimento dell'accreditamento stesso.
0. Premessa
Il decreto legislativo 30 giugno 2003, n. 196 (Codice per la
protezione dei dati personali, di seguito «Codice»), come modificato
dal decreto legislativo del 10 agosto 2018, n. 101, ha individuato in
Accredia, in quanto ente unico nazionale di accreditamento, istituito
ai sensi del regolamento (CE) n. 765/2008, l'organismo nazionale
deputato all'accreditamento degli organismi di certificazione secondo
quanto previsto nell'art. 43, par. 1, lettera b), del regolamento n.
2016/679 (di seguito «Regolamento»).
Fermo restando quanto previsto dall'art. 2-septiesdecies del
Codice, il Garante per la protezione dei dati personali (nel seguito
«Garante») e Accredia hanno sottoscritto, in data 20 marzo 2019, una
convenzione (1) volta a favorire lo scambio di informazioni in merito
alle attivita' di accreditamento e certificazione previste dal
regolamento (articoli 42 e 43 del regolamento), nonche' a valorizzare
le reciproche competenze.
1. Ambito di applicazione
L'ambito di applicazione della norma ISO/IEC 17065:2012 e'
definito in conformita' del regolamento. Ulteriori informazioni sono
riportate nelle linee guida relative all'accreditamento (2) e alla
certificazione (3) .
2. Riferimenti normativi
Il regolamento prevale sulla norma ISO/IEC 17065:2012. Qualora i
requisiti aggiuntivi o il meccanismo di certificazione facciano
riferimento ad altre norme ISO, esse dovranno essere interpretate in
linea con i requisiti fissati nel regolamento.
3. Termini e definizioni
Nel contesto del presente documento si applicano i termini e le
definizioni delle linee guida relative all'accreditamento e alla
certificazione. Tali termini e definizioni prevalgono sulle
definizioni dell'ISO a eccezione del termine «cliente». Tale termine
viene utilizzato nel presente documento in senso conforme alla
definizione di cui al paragrafo 3.1 della norma ISO/IEC 17065/2012 e,
quindi, deve intendersi riferito tanto al «richiedente» (il soggetto
che richiede la certificazione), quanto al «cliente» (il soggetto che
ha ottenuto la certificazione).
4. Requisiti generali in materia di accreditamento
4.1. aspetti giuridici e contrattuali
4.1.1. responsabilita' giuridica: l'organismo di certificazione
(nel seguito «OdC»), oltre a soddisfare il requisito di cui al punto
4.1.1 della norma ISO/IEC 17065:2012, e' in grado di dimostrare (in
qualsiasi momento) ad Accredia di disporre di procedure aggiornate
atte a comprovare la conformita' alle responsabilita' giuridiche
fissate nei termini di accreditamento, compresi i requisiti
aggiuntivi con riguardo all'applicazione del regolamento.
L'OdC, nella richiesta di accreditamento, assume formalmente
l'impegno di osservare ogni normativa applicabile allo svolgimento
delle sue funzioni e, in particolare, le disposizioni rilevanti del
regolamento e del codice.
L'OdC e' in grado di fornire prova dell'esistenza di procedure e
misure conformi al regolamento finalizzate al controllo e alla
gestione dei dati personali dell'organizzazione cliente nel quadro
del processo di certificazione.
L'OdC informa Accredia e il Garante, in caso di modifiche
significative della propria situazione di fatto o di diritto.
L'OdC conferma ad Accredia che non sono in corso procedimenti
dinanzi al Garante tali da implicare il mancato soddisfacimento dei
requisiti di accreditamento. Accredia verifica tali informazioni con
il Garante prima di avviare le attivita' relative al rilascio
dell'accreditamento.
Nota esplicativa.
Prova dell'esistenza di procedure e misure conformi al
regolamento finalizzate al controllo e alla gestione dei dati
personali trattati dall'OdC puo' essere costituita dalla designazione
di un RPD ai sensi dell'art. 37 del regolamento e dall'adozione di
politiche e procedure per la protezione dei dati (data protection
policy) ai sensi dell'art. 24, paragrafo 2 del regolamento.
Per modifiche significative della situazione di fatto o di
diritto si intendono quelle modifiche ai requisiti sulla base dei
quali l'OdC e' stato accreditato che incidono sulla sua capacita' di
rilasciare certificazioni credibili e affidabili; con particolare
riferimento ai requisiti relativi a responsabilita', imparzialita',
capacita' finanziaria, riservatezza, trasparenza, competenza, rapida
ed efficace risposta ai reclami.
4.1.2. accordo di certificazione: l'OdC dimostra, oltre al
rispetto dei requisiti della norma ISO/IEC 17065:2012, che i propri
accordi di certificazione:
1. impongano al cliente di ottemperare sempre sia ai
requisiti generici di certificazione ai sensi del punto 4.1.2.2,
lettera a), della norma ISO/IEC 17065:2012, sia ai criteri approvati
dal Garante o dal Comitato europeo per la protezione dei dati (di
seguito «Comitato») in conformita' dell'art. 43, paragrafo 2, lettera
b) e dell'art. 42, paragrafo 5 del regolamento;
2. impongano al cliente di garantire nei confronti del
Garante la piena trasparenza della procedura di certificazione,
compresi gli aspetti contrattualmente riservati relativi alla
conformita' in materia di protezione dei dati a norma dell'art. 42,
paragrafo 7 e dell'art. 58, paragrafo 1, lettera c) del regolamento;
3. non limitino la responsabilita' del cliente in merito alla
conformita' al regolamento e lascino impregiudicati i compiti e i
poteri del Garante in linea con l'art. 42, paragrafo 5 del
regolamento;
4. impongano al cliente di fornire all'OdC tutte le
informazioni e l'accesso alle attivita' di trattamento necessarie a
espletare la procedura di certificazione a norma dell'art. 42,
paragrafo 6 del regolamento;
5. impongano al cliente di rispettare tutte le scadenze e le
procedure applicabili. Nell'accordo di certificazione devono essere
pattuite le scadenze e le procedure derivanti, a esempio, dal
programma di certificazione o da altre normative che devono essere
osservate e rispettate;
6. con riguardo al punto 4.1.2.2, lettera c), n. 1, della
norma ISO/IEC 17065:2012, fissino regole sulla validita', sul rinnovo
e sulla revoca in conformita' dell'art. 42, paragrafo 7 e dell'art.
43, paragrafo 4 del regolamento, inclusa la definizione di congrui
intervalli di tempo per la rivalutazione o il riesame periodico in
linea con l'art. 42, paragrafo 7 del regolamento;
7. consentano all'OdC di divulgare al Garante tutte le
informazioni necessarie al rilascio della certificazione a norma
dell'art. 42, paragrafo 8 e dell'art. 43, paragrafo 5 del
regolamento;
8. contemplino regole in merito alle precauzioni necessarie
per le indagini sui reclami ai sensi del punto 4.1.2.2, lettera c),
n. 2, e, inoltre, in conformita' della lettera j), contengano
indicazioni esplicite sulla struttura e sulla procedura per la
gestione dei reclami in conformita' dell'art. 43, paragrafo 2,
lettera d) del regolamento;
9. oltre a soddisfare i requisiti di cui al punto 4.1.2.2
della norma ISO/IEC 17065:2012, disciplinino anche, se presenti,
tutte le conseguenze della revoca o della sospensione
dell'accreditamento dell'OdC che si ripercuotono sul cliente;
10. impongano al cliente di informare senza indebito ritardo
l'OdC e il Garante, su richiesta, in caso di modifiche significative
della propria situazione di fatto o di diritto o dei propri prodotti,
processi e servizi oggetto della certificazione.
Nota esplicativa.
Le informazioni che il cliente fornisce all'OdC riguardano anche
gli eventuali procedimenti in corso dinanzi al Garante o le
violazioni della disciplina in materia di protezione dei dati
personali tali da implicare il mancato soddisfacimento dei criteri di
certificazione.
Per modifiche significative della situazione di fatto o di
diritto si tenga anche conto delle indicazioni contenute nella Nota 3
al requisito 4.1.2 della ISO 17065:2012.
Per modifiche significative dei propri prodotti, processi e
servizi si intendono quelle tali da configurare una modifica
dell'oggetto della certificazione, in quanto comportano integrazioni
o variazioni significative dell'oggetto della certificazione ovvero
della tipologia di un prodotto, dell'ambito di un processo o delle
modalita' di erogazione di un servizio [es. interfacce, trasferimenti
ad altri sistemi e organizzazioni, protocolli, canali e/o piattaforme
di erogazione, metodi per il trattamento, tecnologie utilizzate,
logica degli algoritmi per le decisioni automatizzate, misure
tecniche e organizzative, modifica del responsabile del trattamento,
...].
4.1.3. Utilizzo di sigilli e marchi di protezione dei dati:
certificati, i marchi e i sigilli devono essere usati esclusivamente
in conformita' degli articoli 42 e 43 del regolamento e delle linee
guida relative all'accreditamento e alla certificazione.
4.2. Gestione dell'imparzialita'
Accredia garantisce che, oltre a soddisfare il requisito di cui
al punto 4.2 della norma ISO/IEC 17065:2012:
1. l'OdC sia conforme ai seguenti requisiti aggiuntivi:
a. fornisca prova separata della propria indipendenza in
linea con l'art. 43, paragrafo 2, lettera a) del regolamento, in
particolare per quanto riguarda il finanziamentodell'organismo, nella
misura in cui tale aspetto incida sulla garanzia della sua
imparzialita';
b. fornisca la prova di cui al punto precedente, su
richiesta, al Garante, per quanto riguarda il finanziamentodell'OdC;
c. i suoi compiti e le sue funzioni non diano adito a un
conflitto di interessi in linea con l'art. 43, paragrafo 2, lettera
e) del regolamento;
2. l'OdC non abbia alcun collegamento rilevante con il cliente
che valuta.
Nota esplicativa.
Per il concetto di imparzialita' si tenga anche conto di quanto
contenuto della Nota 2 del par. 3.2 della ISO 17021-1:2015.
L'OdC rappresenta una terza parte indipendente che non ha
relazione con i soggetti che deve sottoporre a valutazione ai fini
del rilascio della certificazione. La direzione (top management) e il
personale dell'OdC responsabile della valutazione di conformita' non
devono aver ricoperto alcun ruolo nella progettazione, produzione,
fornitura, installazione, acquisizione del prodotto, processo o
servizio oggetto di valutazione, ne' esserne i proprietari, gli
utenti o i manutentori, e non possono agire in qualita' di
rappresentanti autorizzati di soggetti che abbiano ricoperto o
ricoprano i suddetti ruoli.
Imparzialita' e indipendenza possono essere comprovate, a
esempio, attraverso la seguente documentazione:
statuto e atto costitutivo dell'OdC;
regole e procedure di composizione, nomina, modalita' di
remunerazione e durata del mandato dei componenti dell'OdC incaricati
di assumere le decisioni attinenti alle attivita' di certificazione;
documentazione comprovante i rapporti commerciali, finanziari,
contrattuali o di altro genere che intercorrono tra l'OdC e il
cliente.
Riguardo il conflitto di interessi, quest'ultimo puo' sussistere,
per esempio:
a) qualora l'OdC abbia una qualsiasi relazione economica con il
cliente tale da incidere sul proprio fatturato o generare anche
parzialmente condizionamenti di natura economica;
b) qualora l'OdC, o i suoi soci, abbiano quote o partecipazioni
in societa' che offrono consulenza rispetto a prodotti, processi,
servizi oggetto di certificazione;
c) qualora l'OdC svolga attivita' assimilabili alla consulenza
non adeguatamente mitigate, quali a esempio:
fornire personale che assume il ruolo di RPD (art. 37 del
regolamento);
altre attivita' di valutazione della conformita', in presenza
o meno di accreditamento;
altre attivita' quali, a esempio, la verifica dell'osservanza
della normativa vigente, prove di penetrazione (penetration test),
rilevamento delle intrusioni (intrusion detection).
Per maggiori dettagli su imparzialita' e conflitto di interessi
si veda anche la Guida EA-2/20 Consultancy, and the independence of
conformity assessment bodies (4) .
4.3. Responsabilita' e finanziamento
Accredia verifica regolarmente che l'OdC, oltre a rispettare il
requisito di cui al punto 4.3.1 della norma ISO/IEC 17065:2012,
disponga di idonee misure (a esempio un'assicurazione o riserve
finanziarie) tali da coprire le proprie responsabilita' nelle aree
geografiche in cui opera.
L'OdC, quale attestazione della piena osservanza, piu' in
generale, degli obblighi di legge in materia, conferma di non essere
oggetto di procedure concorsuali o fallimentari, di essere in regola
con il versamento dei contributi pensionistici e assistenziali, di
non essere oggetto di procedimenti coattivi di riscossione tributi e
che i suoi rappresentanti legali non hanno riportato condanne
definitive per reati colposi o dolosi collegati alle attivita'
dell'OdC.
L'OdC dimostra anche l'osservanza dei requisiti di cui alla norma
ISO/IEC 17021-1:2015, punto 5.3.2, ossia di aver valutato i rischi
derivanti dalle attivita' di certificazione e di avere adottato,
sulla base di tale pregressa valutazione, misure idonee a mitigare i
rischi individuati. A tale fine, l'OdC mette a disposizione di
Accredia e del Garante, su richiesta, la documentazione pertinente.
Nota esplicativa.
I rischi derivanti dalle attivita' di certificazione possono
comprendere, ma non limitarsi:
agli obiettivi dell'audit;
al campionamento utilizzato nel processo di audit;
all'imparzialita' reale e percepita;
alle questioni relative a responsabilita' e obblighi giuridici;
all'organizzazione del cliente sottoposta ad audit e al suo
ambiente operativo;
all'impatto dell'audit sul cliente e le sue attivita';
alla salute e sicurezza dei gruppi di audit;
alle dichiarazioni fuorvianti da parte del cliente;
all'utilizzo di marchi.
Misure idonee alla mitigazione dei rischi individuati possono
comprendere la stipula di polizze assicurative sufficienti a coprire
eventuali richieste di risarcimento, accantonamenti in bilancio,
ecc...
Nella definizione dei relativi importi, l'OdC dovrebbe tenere
conto delle risultanze della valutazione del rischio.
L'analisi del rischio dovrebbe essere sottoposta a revisione
periodica, almeno annuale, per identificare nuovi rischi o modifiche
ai medesimi in riferimento alle attivita' e alle relazioni dell'OdC o
del suo personale.
4.4. Condizioni non discriminatorie
Non si formulano requisiti aggiuntivi rispetto al punto 4.4
della norma ISO/IEC 17065:2012.
4.5. Riservatezza
Oltre a rispettare il requisito di cui al punto 4.5 della norma
ISO/IEC 17065:2012, l'OdC e' responsabile della gestione di tutte le
informazioni raccolte o utilizzate durante le attivita' relative al
rilascio della certificazione e, a tal fine, garantisce ai suoi
clienti (attuali e potenziali) che il proprio personale, in modo
particolare il personale dedicato alle attivita' di valutazione e di
decisione, mantenga riservate tali informazioni, fermo restando il
rispetto di eventuali obblighi di legge che prevedano diversamente.
4.6. Informazioni disponibili al pubblico
Oltre al rispetto del requisito di cui al punto 4.6 della norma
ISO/IEC 17065:2012, Accredia esige dall'OdC almeno che:
1. tutte le versioni (attuali e precedenti) dei criteri
approvati utilizzati ai sensi dell'art. 42, paragrafo 5 del
regolamento, cosi' come tutte le procedure di certificazione, siano
pubblicate e facilmente accessibili al pubblico, con indicazione
generale del rispettivo periodo di validita';
2. le informazioni sulle procedure di gestione dei reclami e
sui ricorsi siano rese pubbliche a norma dell'art. 43, paragrafo 2,
lettera d) del regolamento.
5. Requisiti strutturali
5.1. Struttura organizzativa e alta direzione: non si formulano
requisiti aggiuntivi rispetto al punto 5.1 della norma ISO/IEC
17065:2012;
5.2. Meccanismi di salvaguardia dell'imparzialita': non si
formulano requisiti aggiuntivi rispetto al punto 5.2 della norma
ISO/IEC 17065:2012.
6. Requisiti per le risorse umane
6.1. Personale dell'organismo di certificazione
Accredia garantisce che il personale dell'OdC, oltre a
rispettare i requisiti di cui alla sezione 6 della norma ISO/IEC
17065:2012:
1. abbia dimostrato competenze adeguate e costantemente
aggiornate (insieme di conoscenze ed esperienze) riguardo alla
protezione dei dati a norma dell'art. 43, paragrafo 1 del
regolamento;
2. sia indipendente e costantemente competente riguardo
all'oggetto della certificazione a norma dell'art. 43, paragrafo 2,
lettera a) del regolamento, e non presenti alcun conflitto di
interessi a norma dell'art. 43, paragrafo 2, lettera e) del
regolamento;
3. si impegni a rispettare i criteri di cui all'art. 42,
paragrafo 5 e dell'art. 43, paragrafo 2, lettera b) del regolamento;
4. con riguardo al personale dell'OdC responsabile delle
decisioni relative alle certificazioni (decision maker), soddisfi i
seguenti requisiti di onorabilita':
a) non trovarsi o non essersi trovato in una delle
condizioni previste dall'art. 2382 del codice civile;
b) non essere stato radiato da albi professionali per
motivi disciplinari ne' per altri motivi;
c) non aver riportato condanne per delitti non colposi o a
pena detentiva per contravvenzioni, salvi gli effetti della
riabilitazione;
d) non essere o non essere stato sottoposto a misure di
prevenzione o di sicurezza personali di carattere processual-penale;
5. disponga di conoscenze ed esperienze pertinenti e adeguate
per quanto riguarda l'applicazione della legislazione in materia di
protezione dei dati;
6. disponga di conoscenze ed esperienze pertinenti e adeguate
per quanto riguarda le pertinenti misure tecniche e organizzative di
protezione dei dati;
7. sia in grado di dimostrare di avere adeguata e aggiornata
esperienza nei settori menzionati nei requisiti aggiuntivi di cui ai
punti 6.1.1, 6.1.4 e 6.1.5, nello specifico:
per il personale con competenze tecniche:
di avere ottenuto una qualifica in un pertinente settore di
competenza tecnica pari ad almeno il livello 6 dell'EQF (5) o un
titolo abilitante riconosciuto (p. es. Dipl. Ing.) per la pertinente
professione regolamentata, oppure di disporre di significativa
esperienza professionale nello stesso settore;
al personale responsabile delle decisioni relative alla
certificazione e' richiesta una significativa esperienza
professionale nell'identificazione e nell'attuazione delle misure di
protezione dei dati;
al personale responsabile delle valutazioni e' richiesta
un'esperienza professionale nell'ambito della protezione tecnica dei
dati e conoscenze ed esperienze in materia di procedure comparabili
(es. certificazioni/audit) e, se del caso, iscrizione al relativo
albo professionale.
Il personale dovra' dimostrare di mantenere aggiornate le
conoscenze specifiche del settore riguardo alle competenze tecniche e
di audit mediante formazione permanente documentata.
per il personale con competenze giuridiche:
studi giuridici in un'universita' dell'UE o riconosciuta da uno
stato di durata pari ad almeno otto semestri, compresa una
specializzazione post-laurea (LL.M) o titoli equivalenti, oppure
significativa esperienza professionale;
il personale responsabile delle decisioni relative alla
certificazione deve dimostrare una significativa esperienza
professionale nell'ambito della disciplina della protezione dei dati
e, se del caso, deve essere iscritto al relativo albo professionale;
il personale responsabile delle valutazioni deve dimostrare
almeno due anni di esperienza professionale nell'ambito della
disciplina della protezione dei dati, e conoscenze ed esperienze in
materia di procedure comparabili (es. certificazioni/audit) e, se del
caso, deve essere iscritto al relativo albo professionale;
il personale dovra' dimostrare di mantenere aggiornate le
conoscenze specifiche del settore riguardo alle competenze tecniche e
di audit mediante formazione permanente documentata.
L'OdC definisce e illustra ad Accredia quali requisiti di
esperienza professionale siano adeguati in rapporto all'ambito dello
schema di certificazione e all'oggetto della valutazione.
Nota esplicativa.
Si considera «adeguato» il livello di competenza necessario
all'effettivo svolgimento delle funzioni dell'OdC in relazione allo
schema di certificazione per il quale viene richiesto
l'accreditamento, avuto riguardo in particolare alle specificita'
del/i settore/i a cui si applica lo schema, alla categoria dei dati
trattati e alla complessita' delle attivita' di trattamento, ai
diversi interessi coinvolti, nonche' ai rischi per gli interessati.
Si considera «pertinente» l'esperienza attinente all'ambito della
certificazione.
Per il personale responsabile delle decisioni relative alla
certificazione tali requisiti si intendono soddisfatti, per esempio,
se il personale, con adeguata esperienza in ambito certificazioni,
possiede una certificazione accreditata secondo la UNI 11697:2017
almeno di Specialista privacy o e' in possesso dei requisiti di
conoscenza, abilita' e competenza e di accesso ai profili
professionali previsti da tale norma tecnica e riportati in Allegato
1.
Per il personale responsabile delle valutazioni (ossia i membri
del gruppo di verifica) tali requisiti si intendono soddisfatti, per
esempio, se il personale possiede una certificazione accreditata
secondo la UNI 11697:2017 del profilo di Valutatore privacy o e' in
possesso dei requisiti di conoscenza, abilita' e competenza e di
accesso al suddetto profilo professionale previsti da tale norma
tecnica e riportati in Allegato 1.
6.2. Risorse per la valutazione
Non si formulano requisiti aggiuntivi rispetto al punto 6.2
della norma ISO/IEC 17065:2012.
7. Requisiti di processo
7.1. Aspetti generali
Oltre al rispetto del requisito di cui al punto 7.1 della norma
ISO/IEC 17065:2012, Accredia garantisce che:
1. nel presentare la domanda di accreditamento l'OdC soddisfi
i presenti requisiti aggiuntivi stabiliti del Garante ai sensi
dell'art. 43, paragrafo 1, lettera b) del regolamento, in modo tale
che i loro compiti e obblighi non diano adito a conflitto di
interessi a norma dell'art. 43, paragrafo 2, lettera e) del
regolamento;
2. prima di cominciare a utilizzare in un nuovo Stato membro,
attraverso una sede distaccata, un sigillo europeo di protezione dei
dati precedentemente approvato, l'OdC informi le autorita' di
controllo interessate.
7.2. Domanda
Oltre a quanto previsto dal punto 7.2 della norma ISO/IEC
17065:2012, l'OdC garantisce che:
1. l'oggetto della certificazione (Oggetto della valutazione,
OdV) sia descritto in dettaglio nella domanda di certificazione
compresi le interfacce e i flussi di dati ad altri sistemi e
organizzazioni, i protocolli e le altre garanzie;
2. nella domanda sia specificata la eventuale contitolarita'
circa il trattamento oggetto di certificazione e/o l'eventuale
ricorso a responsabili del trattamento e, qualora il cliente sia un
contitolare e/o responsabile del trattamento, siano descritti i suoi
compiti e le sue responsabilita', nonche' riportati il/i pertinente/i
contratto/i o altro atto giuridico volto a regolare i rapporti tra
titolare e contitolare e/o responsabile del trattamento.
7.3. Esame della domanda
Oltre a quanto previsto dal punto 7.3 della norma ISO/IEC
17065:2012, l'OdC garantisce che:
1. nell'accordo di certificazione siano stabiliti metodi di
valutazione vincolanti con riguardo all'oggetto della valutazione
(OdV);
2. la valutazione di cui al punto 7.3, lettera e) tenga conto
in misura appropriata sia delle competenze tecniche sia di quelle
giuridiche in materia di protezione dei dati e assicuri la presenza
di entrambe;
7.4. Valutazione
Oltre a quanto previsto dal punto 7.4 della norma ISO/IEC
17065:2012, l'OdC garantisce che i propri processi di certificazione
descrivano metodi di valutazione sufficienti a valutare la
conformita' del/i trattamento/i ai criteri di certificazione, tra cui
a esempio, laddove applicabili:
1. un metodo per valutare la necessita' e la proporzionalita'
del/i trattamento/i rispetto al loro scopo e agli interessati;
2. un metodo per valutare la copertura, la composizione e la
valutazione di tutti i rischi presi in considerazione dal titolare
del trattamento e dal responsabile del trattamento con riguardo alle
conseguenze giuridiche a norma degli articoli 30, 32, 35 e 36 del
regolamento e alla definizione delle misure tecniche e organizzative
a norma degli articoli 24, 25 e 32 del regolamento, nella misura in
cui i suddetti articoli si applicano all'oggetto della
certificazione;
3. un metodo per valutare i mezzi di tutela incluse le
garanzie e le procedure atte ad assicurare la protezione dei dati
personali nell'ambito del/i trattamento/i collegato/i all'oggetto
della certificazione nonche' a dimostrare il rispetto dei requisiti
giuridici definiti nei criteri; e
4. documentazione riguardante i metodi e le relative
risultanze.
L'OdC garantisce che tali metodi di valutazione siano
standardizzati e applicabili di regola. Cio' significa che metodi di
valutazione comparabili sono utilizzati per oggetti di valutazione
(OdV) comparabili. Qualsiasi deroga a tale procedura e' motivata
dall'OdC.
Oltre a quanto previsto dal punto 7.4.2 della norma ISO/IEC
17065:2012, e' ammessa la possibilita' di affidare l'esecuzione della
valutazione a esperti esterni riconosciuti dall'OdC sulla base dei
requisiti di cui al precedente punto 6.1.
Oltre a quanto previsto dal punto 7.4.5 della norma ISO/IEC
17065:2012, e' prevista la possibilita' che una certificazione
preesistente, che copra parte dell'oggetto della certificazione,
possa essere tenuta in considerazione ai fini della valutazione
relativa rilascio di una certificazione di protezione dei dati ai
sensi degli articoli 42 e 43 del regolamento. Tuttavia, la
preesistente certificazione, o la relativa dichiarazione, non puo'
considerarsi, di per se', sostitutiva delle valutazioni (parziali)
riguardanti la certificazione ai sensi del regolamento, ne' della
relazione di certificazione e l'OdC, comunque, verifica la
conformita' ai criteri di certificazione in relazione all'oggetto
della certificazione. Pertanto, il rilascio della certificazione di
protezione dei dati, in ogni caso, avviene sulla base di una
relazione di valutazione completa o di informazioni tali da
consentire una valutazione delle certificazioni esistenti e dei suoi
risultati che comprenda anche un'analisi comparativa (gap analysis) a
cura dell'OdC circa l'eventuale scostamento fra i criteri, i metodi
di valutazione e quanto rileva nello specifico oggetto di
certificazione.
Oltre a quanto previsto dal punto 7.4.6 della norma ISO/IEC
17065:2012, l'OdC specifica, tramite idonea documentazione, le
modalita' con cui sono fornite al cliente le informazioni
obbligatorie a norma del punto 7.4.6 in merito alle eventuali non
conformita' riscontrate. Devono essere definite almeno le tipologie e
le tempistiche di tali informazioni.
Oltre a quanto previsto dal punto 7.4.9 della norma ISO/IEC
17065:2012, la documentazione e' resa pienamente accessibile al
Garante, su richiesta. Il Garante si riserva, inoltre, la
possibilita' di far partecipare agli audit di certificazione proprio
personale in qualita' di osservatore.
Nota esplicativa.
I mezzi di tutela comprendono tutti gli strumenti e le procedure
idonei a conseguire l'applicazione della normativa in materia di
protezione dei dati nello specifico contesto dello schema di
certificazione, alla luce delle disposizioni del GDPR e di quelle
nazionali pertinenti.
La documentazione di cui al requisito aggiuntivo del punto 7.4.6
puo' corrispondere allo schema di certificazione, ovvero, qualora
l'OdC non sia il titolare dello schema, a un diverso documento
relativo al processo di certificazione.
7.5. Riesame
Oltre a quanto previsto dal punto 7.5 della norma ISO/IEC
17065:2012, sono richieste procedure per la concessione, il riesame
periodico e la revoca delle rispettive certificazioni a norma
dell'art. 43, paragrafi 2 e 3 del regolamento.
7.6. Decisione relativa alla certificazione
Oltre a quanto previsto dal punto 7.6.1 della norma ISO/IEC
17065:2012, l'OdC:
1. specifica nelle procedure in che modo garantisce la
propria indipendenza e responsabilita' rispetto alle singole
decisioni di rilascio di certificazione;
2. verifica con il suo cliente, prima dell'adozione della
decisione sulla certificazione, che questi non sia oggetto di
eventuali procedimenti dinanzi al Garante tali da implicare il
mancato soddisfacimento dei criteri di certificazione.
7.7. Documentazione riguardante la certificazione
Oltre a quanto previsto dal punto 7.7.1, lettera e), della
norma ISO/IEC 17065:2012 e in conformita' dell'art. 42, paragrafo 7
del regolamento il periodo di validita' delle certificazioni non puo'
essere superiore a tre anni.
Oltre a quanto previsto dal punto 7.7.1, lettera e), della
norma ISO/IEC 17065:2012, e' obbligatoriamente documentata anche la
sorveglianza periodica prevista al successivo punto 7.9.
Oltre a quanto previsto dal punto 7.7.1, lettera f), della
norma ISO/IEC 17065:2012, l'OdC denomina l'oggetto della
certificazione all'interno della relativa documentazione (indicando
la versione o altre caratteristiche analoghe, laddove applicabili).
7.8. Elenco dei prodotti, processi e servizi certificati
Oltre a quanto previsto dal punto 7.8 della norma ISO/IEC
17065:2012, l'OdC:
1. conserva le informazioni riguardanti i prodotti, i
processi e i servizi certificati in modo che siano disponibili sia al
personale interno sia al pubblico. L'OdC fornisce al pubblico una
sintesi della relazione di valutazione. Scopo di tale sintesi e'
contribuire a una maggiore trasparenza sull'oggetto della
certificazione e sulle modalita' della relativa valutazione. La
sintesi illustrera' tra l'altro:
(a) l'ambito della certificazione e una descrizione
significativa dell'oggetto della certificazione (OdV),
(b) i rispettivi criteri di certificazione (inclusa la
versione o lo stato funzionale),
(c) i metodi di valutazione e i test effettuati, nonche'
(d) i(l) risultato/i.
2. a norma dell'art. 43, paragrafo 5 del regolamento informa
il Garante in merito ai motivi del rilascio o della revoca della
certificazione.
7.9. Sorveglianza
Oltre a quanto previsto dai punti 7.9.1, 7.9.2 e 7.9.3 della
norma ISO/IEC 17065:2012 e in conformita' dell'art. 43, paragrafo 2,
lettera c) del regolamento, durante il periodo di sorveglianza l'OdC
prevede misure di sorveglianza periodica, stabilite sulla base di una
valutazione del rischio, al fine della verifica della sussistenza dei
requisiti di mantenimento della certificazione.
Nota esplicativa.
Le procedure di sorveglianza, anche in termini di strutture e
risorse a cio' dedicate, devono essere trasparenti, appropriate allo
schema di certificazione per cui si richiede l'accreditamento,
efficaci e verificabili, nonche' praticabili dal punto di vista
operativo. Tali procedure possono prevedere la pubblicazione di
relazioni riguardanti le verifiche effettuate, di rapporti periodici
o sintetici sulle attivita' svolte dall'OdC e le complessive
risultanze di tali attivita'.
7.10. Modifiche che influenzano la certificazione
Oltre a quanto previsto dai punti 7.10.1 e 7.10.2 della norma
ISO/IEC 17065:2012, tra le modifiche che influenzano la
certificazione di cui l'OdC tiene conto rientrano: le modifiche alla
legislazione in materia di protezione dei dati, l'adozione di atti
delegati della Commissione europea in conformita' dell'art. 43,
paragrafi 8 e 9 del regolamento, le decisioni e i documenti del
Comitato, la giurisprudenza in materia di protezione dei dati, le
modifiche relative allo stato dell'arte.
Le modifiche possono essere gestite con procedure che prevedano,
a esempio, periodi transitori, processi di approvazione da parte del
Garante, nuova valutazione dell'oggetto della certificazione, ove
pertinente, e misure adeguate per la revoca della certificazione
qualora il trattamento oggetto di certificazione non sia piu'
conforme ai criteri aggiornati.
7.11. Termine, riduzione, sospensione o revoca della
certificazione
Oltre a quanto previsto dal punto 7.11.1 della norma ISO/IEC
17065:2012, l'OdC stabilisce procedure per informare senza indebito
ritardo e per iscritto il Garante e Accredia, se pertinente, in
merito alle misure messe in atto e al mantenimento, alla riduzione,
alla sospensione e alla revoca delle certificazioni anche a seguito
di reclami o ricorsi trattati conformemente al punto 7.13.
In conformita' dell'art. 58, paragrafo 2, lettera h) del
regolamento, l'OdC e' tenuto a rispettare le decisioni e le
prescrizioni del Garante che gli ingiungano di revocare o non
rilasciare la certificazione a un cliente se il Garante ritiene che i
criteri per la certificazione non sono o non sono piu' soddisfatti.
7.12. Registrazioni
Oltre a quanto previsto dal punto 7.11.1 della norma ISO/IEC
17065:2012, l'OdC conserva tutta la documentazione in forma completa,
comprensibile, aggiornata e verificabile per un periodo di tre anni
dalla scadenza della certificazione.
7.13. Reclami e ricorsi, art. 43, paragrafo 2, lettera d) del
regolamento
Fatto salvo il diritto degli interessati di presentare reclamo
al Garante o ricorso all'autorita' giudiziaria ai sensi degli
articoli 77 e 79 del regolamento e degli art. 140-bis ss. del codice,
l'OdC garantisce che un interessato ovvero un organismo,
organizzazione o associazione rappresentativa o attiva nel settore
della protezione dati personali, possa proporre reclamo.
La procedura di gestione dei reclami rispetta i principi di
partecipazione, imparzialita' e garanzia del contradditorio. In
particolare, tale procedura prevede che l'OdC informi il reclamante
dello stato o dell'esito del reclamo entro tempi ragionevoli, tali da
consentire un'analisi accurata di quanto lamentato.
Oltre a quanto previsto dal punto 7.13.1 della norma ISO/IEC
17065:2012, l'OdC definisce:
(a) i soggetti che possono presentare reclami e appelli,
(b) i soggetti dell'OdC che trattano tali reclami e appelli,
(c) le verifiche effettuate in tale contesto,
(d) le possibilita' di consultazione delle parti interessate,
(e) le modalita' con cui garantisce la separazione tra le
attivita' di certificazione e la gestione di appelli e reclami.
Oltre a quanto previsto dal punto 7.13.2 della norma ISO/IEC
17065:2012, l'OdC definisce:
(a) come e a chi dovra' essere trasmessa la conferma della
ricezione del reclamo o dell'appello,
(b) i termini entro i quali la stessa dovra' essere trasmessa,
(c) le successive procedure.
Nota esplicativa.
Per «tempi ragionevoli» entro cui l'OdC informa il reclamante
dello stato o dell'esito del reclamo si intendono, di regola, tre
mesi.
8. Requisiti del sistema di gestione
Un requisito generale del sistema di gestione in conformita'
della sezione 8 della norma ISO/IEC 17065:2012 e' la necessita' di
documentare, valutare, controllare e monitorare in maniera
indipendente l'attuazione, da parte dell'OdC accreditato, nell'ambito
dell'applicazione del meccanismo di certificazione, di tutti i
requisiti contenuti nelle precedenti sezioni.
Il principio fondamentale della gestione e' la definizione di un
sistema in base al quale gli obiettivi della stessa siano fissati in
modo efficace ed efficiente (nello specifico l'attuazione dei servizi
di certificazione, per mezzo di adeguate specifiche). Cio' presuppone
la trasparenza e la verificabilita' dell'attuazione dei requisiti di
accreditamento da parte dell'OdC, nonche' la conformita' permanente
agli stessi.
A tal fine il sistema di gestione deve specificare una
metodologia per il soddisfacimento e la verifica continua di tali
requisiti, in conformita' alla disciplina di protezione dei dati.
Tali principi di gestione e la loro documentata attuazione sono
trasparenti e sono divulgati dall'OdC accreditato nell'ambito della
procedura di accreditamento a norma dell'art. 58 del regolamento,
nonche', successivamente, su richiesta del Garante, durante eventuali
indagini condotte a titolo di revisione in materia di protezione dei
dati a norma dell'art. 58, paragrafo 1, lettera b) del regolamento,
ovvero in sede di riesame delle certificazioni rilasciate in
conformita' dell'art. 42, paragrafo 7, a norma dell'art. 58,
paragrafo 1, lettera c) del regolamento.
In particolare l'OdC accreditato rende permanentemente e
continuamente noto al pubblico quali certificazioni ha rilasciato e
su quali basi (ovvero i meccanismi o gli schemi di certificazione),
nonche' la loro validita' e il quadro di riferimento e le condizioni
a cui e' subordinata (cfr. considerando 100 del regolamento).
Ai fini della trasparenza l'OdC:
a) tiene traccia dei principi alla base della valutazione di
conformita' (es. norme tecniche di riferimento, norme legislative o
regolamentari, ecc.);
b) documenta le specifiche metodologie utilizzate nella
definizione delle procedure di audit ai fini della valutazione di
conformita';
c) documenta le attivita' ispettive e di audit e i
miglioramenti apportati alle procedure definite, comprese le
motivazioni e la tempistica di tali miglioramenti;
d) affida a soggetti terzi verifiche dei propri processi di
valutazione della conformita';
e) documenta e monitora il rispetto degli obblighi di
imparzialita';
f) motiva eventuali variazioni dei criteri di trasparenza
documentale e di processo (in rapporto a singoli schemi di
certificazione, alle modalita' di verifica della conformita' rispetto
a tali schemi, ai requisiti minimi fissati nei contratti stipulati
con i clienti).
8.1. Requisiti generali del sistema di gestione
Non si formulano requisiti aggiuntivi rispetto al punto 8.1
della norma ISO/IEC 17065:2012.
8.2. Documentazione del sistema di gestione
Non si formulano requisiti aggiuntivi rispetto al punto 8.2
della norma ISO/IEC 17065:2012.
8.3. Tenuta sotto controllo dei documenti
Non si formulano requisiti aggiuntivi rispetto al punto 8.3
della norma ISO/IEC 17065:2012.
8.4. Tenuta sotto controllo delle registrazioni
Non si formulano requisiti aggiuntivi rispetto al punto 8.4
della norma ISO/IEC 17065:2012.
8.5. Riesame della direzione
Non si formulano requisiti aggiuntivi rispetto al punto 8.5
della norma ISO/IEC 17065:2012.
8.6. Audit interni
Non si formulano requisiti aggiuntivi rispetto al punto 8.6
della norma ISO/IEC 17065:2012.
8.7. Azioni correttive
Non si formulano requisiti aggiuntivi rispetto al punto 8.7
della norma ISO/IEC 17065:2012.
8.8. Azioni preventive
Non si formulano requisiti aggiuntivi rispetto al punto 8.8
della norma ISO/IEC 17065:2012.
9. Ulteriori requisiti aggiuntivi
9.1. Aggiornamento dei metodi di valutazione
L'OdC istituisce procedure atte a guidare l'aggiornamento dei
metodi di valutazione affinche' possano essere applicati nel contesto
della valutazione di cui al punto 7.4. L'aggiornamento ha luogo a
seguito di modifiche al quadro giuridico, ai rischi pertinenti, allo
stato dell'arte e ai costi di attuazione delle misure tecniche e
organizzative.
Tali procedure consentono, con riguardo ai metodi di valutazione,
l'individuazione e la documentazione di modifiche che interessano il
quadro giuridico di riferimento, gli elementi del contratto stipulato
fra il cliente e l'OdC, le fonti di rischio (nuove o emergenti,
comprese vulnerabilita' tecniche), lo stato dell'arte relativo ai
trattamenti e alle misure tecniche e organizzative atte a garantire
l'osservanza dei principi di protezione dei dati e la sicurezza dei
trattamenti.
9.2. Mantenimento delle competenze
L'OdC stabilisce procedure atte a garantire la formazione del
proprio personale nell'ottica dell'aggiornamento delle loro
competenze, tenuto conto degli sviluppi elencati al punto 9.1.
9.3. Responsabilita' e competenze
9.3.1. Comunicazione tra l'OdC e i propri clienti: l'OdC
prevede procedure finalizzate a mettere in atto meccanismi e
strutture di comunicazione adeguate con il cliente. Tra queste
rientrano:
1. il mantenimento della documentazione relativa ai compiti e
alle responsabilita' dell'OdC, al fine di:
a. rispondere a richieste di informazioni; o
b. consentire i necessari contatti in caso di reclami
relativi a una certificazione;
2. il mantenimento di una procedura di gestione delle domande
di certificazione, al fine di:
a. fornire informazioni sullo stato e l'esito di una
domanda;
b. consentire le valutazioni del Garante in merito a
riscontri e decisioni della medesima Autorita'.
9.3.2. Documentazione delle attivita' di valutazione: non si
formulano requisiti aggiuntivi;
9.3.3. Gestione dei reclami: l'OdC definisce, quale parte
integrante del sistema di gestione, un meccanismo di gestione dei
reclami e appelli che attui in particolare i requisiti di cui al
punto 4.1.2.2, lettere c) e j), al punto 4.6, lettera d), e al punto
7.13 della norma ISO/IEC 17065:2012;
9.3.4. Gestione delle riduzioni, sospensioni e revoche: l'OdC
integra nel proprio sistema di gestione le procedure in caso di
riduzione, sospensione o revoca dell'accreditamento e riguardanti in
particolare la relativa notifica ai propri clienti.
(1) https://www.gpdp.it (doc. web 9099622).
(2) Guidelines 4/2018 on the accreditation of certification bodies
under Article 43 of the General Data Protection Regulation
(2016/679) - Version 3.0 (4 giugno 2019).
(3) Guidelines 1/2018 on certification and identifying certification
criteria in accordance with Articles 42 and 43 of the Regulation
- Version 3.0 (4 giugno 2019).
(4) https://european-accreditation.org/wp-content/uploads/2020/04/EA-
2-20_Consultancy_rev00_April-2020.pdf
(5) Cfr. lo strumento di confronto dei quadri delle qualifiche,
disponibile all'indirizzo
https://ec.europa.eu/ploteus/en/compare?.
Allegato
ALLEGATO 1 - APPENDICE B UNI 11697:2017 - REQUISITI PER L'ACCESSO
AI PROFILI PROFESSIONALI
Parte di provvedimento in formato grafico
ALLEGATO 1 - APPENDICE B UNI 11697:2017 - REQUISITI PER L'ACCESSO
AI PROFILI PROFESSIONALI
Parte di provvedimento in formato grafico
Nessun commento:
Posta un commento