Artigo 43

Organismos de certificação

1. Sem prejuízo das atribuições e poderes da autoridade de controlo competente nos termos dos artigos 57.° e 58.°, um organismo de certificação que tenha um nível adequado de competência em matéria de proteção de dados emite e renova a certificação, após informar a autoridade de controlo para que esta possa exercer as suas competências nos termos do artigo 58.°, n.° 2, alínea h), sempre que necessário. Os Estados-Membros asseguram que estes organismos de certificação são acreditados:

(a)

Pela autoridade de controlo que é competente nos termos do artigo 55.° ou 56.°;

(b)

Pelo organismo nacional de acreditação, designado nos termos do Regulamento (CE) n.o 765/2008 do Parlamento Europeu e do Conselho (20), em conformidade com a norma EN-ISO/IEC 17065/2012 e com os requisitos adicionais estabelecidos pela autoridade de controlo que é competente nos termos do artigo 55.° ou 56.°.

2. Os organismos de certificação referidos no n.° 1 são acreditados em conformidade com o mesmo, apenas se:

(a)

Tiverem demonstrado que gozam de independência e dispõem dos conhecimentos necessários em relação ao objeto da certificação, de forma satisfatória para a autoridade de controlo competente;

(b)

Se tiverem comprometido a respeitar os critérios referidos no artigo 42.°, n.° 5, e aprovados pela autoridade de controlo que é competente por força do artigo 55.° ou 56.° ou pelo Comité por força do artigo 63.°;

(c)

Tiverem estabelecido procedimentos para a emissão, revisão periódica e retirada de procedimentos de certificação, selos e marcas de proteção de dados;

(d)

Tiverem estabelecido procedimentos e estruturas para tratar reclamações relativas a violações da certificação ou à forma como a certificação tenha sido ou esteja a ser implementada pelo responsável pelo tratamento ou subcontratante, e para tornar estes procedimentos e estruturas transparentes para os titulares dos dados e o público; e

(e)

Demonstrarem, de forma satisfatória para a autoridade de controlo competente, que as suas funções e atribuições não implicam um conflito de interesses.

3. A acreditação dos organismos de certificação referida nos n.°ˢ 1 e 2 do presente artigo, é efetuada com base nos critérios aprovados pela autoridade de controlo que é competente por força do artigo 55.° ou 56.° ou pelo Comité por força do artigo 63.°. No caso de acreditações nos termos do n.° 1, alínea b), do presente artigo, esses requisitos complementam os requisitos previstos no Regulamento (CE) n.o 765/2008 e as regras técnicas que descrevem os métodos e procedimentos dos organismos de certificação.

4. Os organismos de certificação a que se refere o n.° 1 são responsáveis pela correta avaliação necessária à certificação, ou pela revogação dessa certificação, sem prejuízo da responsabilidade que cabe ao responsável pelo tratamento ou ao subcontratante pelo cumprimento do presente regulamento. A acreditação é emitida por um período máximo de cinco anos e pode ser renovada nas mesmas condições, desde que o organismo de certificação reúna os requisitos estabelecidos no presente artigo.

5. Os organismos de certificação a que se refere o n.° 1 fornecem às autoridades de controlo competentes os motivos que levaram à concessão ou revogação da certificação solicitada.

6. Os requisitos referidos no n.° 3 do presente artigo, e os critérios referidos no artigo 42.°, n.° 5, são publicados pela autoridade de controlo sob uma forma facilmente acessível. As autoridades de controlo também comunicam estes requisitos e estas informações ao Comité. O Comité recolhe todos os procedimentos de certificação e selos de proteção de dados aprovados num registo e disponibiliza-os ao público por todos os meios adequados.

7. Sem prejuízo do capítulo VIII, a autoridade de controlo competente ou o organismo nacional de acreditação revoga uma acreditação do organismo de certificação nos termos do n.° 1 do presente artigo, se as condições para a acreditação não estiverem ou tiverem deixado de estar reunidas, ou se as medidas tomadas pelo organismo de certificação violarem o presente regulamento.

8. A Comissão fica habilitada a adotar atos delegados nos termos do artigo 92.°, a fim de especificar os requisitos a ter em conta relativamente aos procedimentos de certificação em matéria de proteção de dados referidos no artigo 42.°, n.° 1.

9. A Comissão pode adotar atos de execução estabelecendo normas técnicas para os procedimentos de certificação e os selos e marcas em matéria de proteção de dados, e regras para promover e reconhecer esses procedimentos de certificação, selos e marcas. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 93.o, n.° 2.

What does it mean?

Formação de sensibilização

Certifique-se de que toda a sua empresa está equipada com a formação de sensibilização necessária sobre os princípios básicos do RGPD e da segurança informática.

Discover

About