Gazzetta n. 201 del 12 agosto 2020 (vai al sommario)
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
DELIBERA 29 luglio 2020
Requisiti aggiuntivi di accreditamento degli organismi di certificazione. (Delibera n. 148).


IL GARANTE PER LA PROTEZIONE
DEI DATI PERSONALI

Nella riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e l'avv. Giuseppe Busia, Segretario generale;
Visto il regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (di seguito «Regolamento»);
Visto il decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito il «Codice») come novellato dal decreto legislativo 10 agosto 2018, n. 101 recante «Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) n. 2016/679»;
Visto l'art. 42 del regolamento, il quale prevede che i titolari e/o responsabili del trattamento possano aderire a meccanismi di certificazione della protezione dei dati nonche' a sigilli e marchi di protezione dei dati (di seguito «meccanismi di certificazione») al fine di dimostrare la conformita' al regolamento dei trattamenti da loro effettuati (cfr. cons. 100 del regolamento);
Considerato, in particolare, che l'adesione a un meccanismo di certificazione rilasciato a norma dell'art. 42, del regolamento puo' costituire un elemento di responsabilizzazione (c.d. accountability), in quanto consente ai titolari e/o ai responsabili del trattamento che vi aderiscono di dimostrare la conformita' dei medesimi trattamenti ad alcune disposizioni o principi del regolamento, o al regolamento nel suo insieme (cfr. cons. 77 e 81, nonche' articoli 24, par. 3, 28, par. 5, 32, par. 3 e 42, par. 2 del regolamento);
Visto che nell'ambito dell'istituzione di meccanismi di certificazione e' previsto che gli organismi di certificazione (di seguito «OdC»), che rilasciano certificazioni a norma dell'art. 42, par. 5 del regolamento, debbano essere accreditati, in base a quanto stabilito dall'art. 43, par. 1 del regolamento, dall'autorita' di controllo competente o dall'organismo nazionale di accreditamento, o da entrambi;
Considerato che lo scopo dell'accreditamento consiste nel fornire una dichiarazione autorevole in ordine alla competenza di un determinato organismo a svolgere un'attivita' di certificazione (cfr. cons. 15 del regolamento (CE) n. 765/2008 del Parlamento europeo e del Consiglio, del 9 luglio 2008, di seguito «Regolamento (CE) n. 765/2008») e che cio' consente di creare fiducia nel meccanismo stesso di certificazione;
Visto che l'art. 2-septiesdecies del Codice attribuisce ad Accredia, quale ente unico nazionale di accreditamento istituito ai sensi del regolamento (CE) n. 765/2008, le funzioni di accreditamento degli OdC, ovvero di attestare che un determinato OdC sia qualificato a rilasciare le certificazioni ai sensi dell'art. 42, par. 5 del regolamento in conformita' a quanto previsto dall'art. 43, par. 1, lettera b) dello stesso;
Considerato che l'art. 43, par. 3 del regolamento prevede che l'accreditamento degli OdC abbia luogo in base ai requisiti approvati dall'autorita' di controllo competente ai sensi dell'art. 55 del regolamento e che se l'accreditamento e' effettuato dall'organismo nazionale di accreditamento ai sensi dell'art. 43, par. 1, lettera b) del regolamento, i suddetti requisiti si aggiungono a quelli della norma tecnica EN-ISO/IEC 17065:2012 (di seguito «requisiti aggiuntivi»);
Considerato che l'autorita' di controllo competente presenta al Comitato europeo per la protezione di dati (di seguito «Comitato»), ai sensi del meccanismo di coerenza di cui all'art. 63 del regolamento, uno schema di requisiti «aggiuntivi» per l'accreditamento di un OdC;
Viste le Linee guida 4/2019 in materia di accreditamento degli organismi di certificazione a norma dell'art. 43 del regolamento, adottate il 4 giugno 2019, dal Comitato all'esito della relativa consultazione pubblica e preso atto degli orientamenti ivi resi in ordine all'interpretazione e all'attuazione delle disposizioni di cui all'art. 43 del regolamento, volti a individuare un sistema di regole coerente e armonizzato per l'accreditamento degli OdC;
Visto in particolare il quadro organico di riferimento per i requisiti di accreditamento, delineato nell'Allegato 1 alle citate Linee guida, che integra la norma tecnica EN-ISO/IEC 17065:2012 e fornisce le indicazioni necessarie al fine di armonizzare l'elaborazione di tali requisiti aggiuntivi da parte delle autorita' di controllo nazionali;
Tenuto conto che queste ultime hanno facolta' di individuare ulteriori requisiti aggiuntivi rispetto a quelli indicati nel predetto allegato 1, purche' gli stessi siano conformi al diritto nazionale (cfr. allegato 1, Linee guida 4/2019, p. 14);
Considerato che l'art. 57, par. 1, lettera p) del regolamento prevede che ciascuna autorita' di controllo, sul proprio territorio, definisca e pubblichi i requisiti per l'accreditamento degli OdC, ai sensi dell'art. 43 del regolamento;
Rilevato che, ai sensi dell'art. 55 del regolamento in combinato disposto con l'art. 2-bis del codice, il Garante e' l'autorita' di controllo competente ad approvare i predetti requisiti di accreditamento «aggiuntivi» aventi validita' nazionale, nell'esercizio del potere conferitole ai sensi dell'art. 57, par. 1, lettera p) del regolamento;
Visto lo schema di «Requisiti di accreditamento "aggiuntivi" con riguardo alla norma EN-ISO/IEC 17065:2012 e in conformita' dell'art. 43, paragrafi 1, lettera b) e 3, del Regolamento generale sulla protezione dei dati» approvato dal Garante in data 14 maggio 2020 e sottoposto in data 15 maggio 2020 al Comitato per il prescritto parere (art. 43, par. 3 e art. 64, par. 1, lettera c), del regolamento);
Viste le osservazioni rese dal Comitato nel parere adottato il 23 luglio 2020 (disponibile su https://edpb.europa.eu/) e comunicato al Garante dal segretariato del CEPD il 25 luglio 2020;
Ritenuto, in ottemperanza a quanto previsto dall'art. 64, par. 7, del regolamento, di aderire alle osservazioni contenute nel suddetto parere e di modificare lo schema di requisiti di accreditamento in conformita' a tali osservazioni, dandone comunicazione alla presidente del Comitato;
Ritenuto quindi ai sensi dell'art. 57, par. 1, lettera p), del regolamento di approvare i «Requisiti di accreditamento "aggiuntivi" con riguardo alla norma EN-ISO/IEC 17065:2012 e in conformita' dell'art. 43, paragrafi 1, lettera b) e 3, del Regolamento generale sulla protezione dei dati», opportunamente modificati alla luce del suddetto parere ed allegati al presente provvedimento del quale formano parte integrante;
Vista la documentazione in atti;
Viste le osservazioni formulate dal Segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore il prof. Pasquale Stanzione;

Tutto cio' premesso il Garante:

a) ai sensi dell'art. 57, par. 1, lettera p) del regolamento approva i «Requisiti di accreditamento "aggiuntivi" con riguardo alla norma EN-ISO/IEC 17065:2012 e in conformita' dell'art. 43, paragrafi 1, lettera b) e 3, del Regolamento generale sulla protezione dei dati», in allegato al presente provvedimento del quale formano parte integrante;
b) ai sensi dell'art. 64, par. 7 del regolamento comunica alla presidente del Comitato il presente provvedimento, che recepisce i rilievi formulati nel parere richiamato in premessa;
c) invia copia della presente deliberazione all'Ufficio pubblicazione leggi e decreti del Ministero della giustizia ai fini della sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.

Roma, 29 luglio 2020

Il Presidente e Relatore: Stanzione

Il Segretario generale: Busia

 
Allegato
Requisiti di accreditamento «aggiuntivi» dell'Autorita' di controllo
italiana con riguardo alla norma ISO/IEC 17065:2012 e in
conformita' dell'art. 43, paragrafi 1, lettera b) e 3, del
Regolamento generale sulla protezione dei dati

I numeri delle sezioni utilizzati nel presente documento corrispondono a quelli utilizzati nella norma ISO/IEC 17065:2012.
I requisiti di accreditamento di seguito indicati sono corredati da alcune note esplicative, riportate in corsivo, che non hanno carattere vincolante, essendo volte a fornire indicazioni pratiche ed esempi che possono agevolare l'applicazione dei medesimi requisiti sia per la predisposizione della richiesta di accreditamento sia per il mantenimento dell'accreditamento stesso. 0. Premessa
Il decreto legislativo 30 giugno 2003, n. 196 (Codice per la protezione dei dati personali, di seguito «Codice»), come modificato dal decreto legislativo del 10 agosto 2018, n. 101, ha individuato in Accredia, in quanto ente unico nazionale di accreditamento, istituito ai sensi del regolamento (CE) n. 765/2008, l'organismo nazionale deputato all'accreditamento degli organismi di certificazione secondo quanto previsto nell'art. 43, par. 1, lettera b), del regolamento n. 2016/679 (di seguito «Regolamento»).
Fermo restando quanto previsto dall'art. 2-septiesdecies del Codice, il Garante per la protezione dei dati personali (nel seguito «Garante») e Accredia hanno sottoscritto, in data 20 marzo 2019, una convenzione (1) volta a favorire lo scambio di informazioni in merito alle attivita' di accreditamento e certificazione previste dal regolamento (articoli 42 e 43 del regolamento), nonche' a valorizzare le reciproche competenze. 1. Ambito di applicazione
L'ambito di applicazione della norma ISO/IEC 17065:2012 e' definito in conformita' del regolamento. Ulteriori informazioni sono riportate nelle linee guida relative all'accreditamento (2) e alla certificazione (3) . 2. Riferimenti normativi
Il regolamento prevale sulla norma ISO/IEC 17065:2012. Qualora i requisiti aggiuntivi o il meccanismo di certificazione facciano riferimento ad altre norme ISO, esse dovranno essere interpretate in linea con i requisiti fissati nel regolamento. 3. Termini e definizioni
Nel contesto del presente documento si applicano i termini e le definizioni delle linee guida relative all'accreditamento e alla certificazione. Tali termini e definizioni prevalgono sulle definizioni dell'ISO a eccezione del termine «cliente». Tale termine viene utilizzato nel presente documento in senso conforme alla definizione di cui al paragrafo 3.1 della norma ISO/IEC 17065/2012 e, quindi, deve intendersi riferito tanto al «richiedente» (il soggetto che richiede la certificazione), quanto al «cliente» (il soggetto che ha ottenuto la certificazione). 4. Requisiti generali in materia di accreditamento
4.1. aspetti giuridici e contrattuali
4.1.1. responsabilita' giuridica: l'organismo di certificazione (nel seguito «OdC»), oltre a soddisfare il requisito di cui al punto 4.1.1 della norma ISO/IEC 17065:2012, e' in grado di dimostrare (in qualsiasi momento) ad Accredia di disporre di procedure aggiornate atte a comprovare la conformita' alle responsabilita' giuridiche fissate nei termini di accreditamento, compresi i requisiti aggiuntivi con riguardo all'applicazione del regolamento.
L'OdC, nella richiesta di accreditamento, assume formalmente l'impegno di osservare ogni normativa applicabile allo svolgimento delle sue funzioni e, in particolare, le disposizioni rilevanti del regolamento e del codice.
L'OdC e' in grado di fornire prova dell'esistenza di procedure e misure conformi al regolamento finalizzate al controllo e alla gestione dei dati personali dell'organizzazione cliente nel quadro del processo di certificazione.
L'OdC informa Accredia e il Garante, in caso di modifiche significative della propria situazione di fatto o di diritto.
L'OdC conferma ad Accredia che non sono in corso procedimenti dinanzi al Garante tali da implicare il mancato soddisfacimento dei requisiti di accreditamento. Accredia verifica tali informazioni con il Garante prima di avviare le attivita' relative al rilascio dell'accreditamento. Nota esplicativa.
Prova dell'esistenza di procedure e misure conformi al regolamento finalizzate al controllo e alla gestione dei dati personali trattati dall'OdC puo' essere costituita dalla designazione di un RPD ai sensi dell'art. 37 del regolamento e dall'adozione di politiche e procedure per la protezione dei dati (data protection policy) ai sensi dell'art. 24, paragrafo 2 del regolamento.
Per modifiche significative della situazione di fatto o di diritto si intendono quelle modifiche ai requisiti sulla base dei quali l'OdC e' stato accreditato che incidono sulla sua capacita' di rilasciare certificazioni credibili e affidabili; con particolare riferimento ai requisiti relativi a responsabilita', imparzialita', capacita' finanziaria, riservatezza, trasparenza, competenza, rapida ed efficace risposta ai reclami.
4.1.2. accordo di certificazione: l'OdC dimostra, oltre al rispetto dei requisiti della norma ISO/IEC 17065:2012, che i propri accordi di certificazione:
1. impongano al cliente di ottemperare sempre sia ai requisiti generici di certificazione ai sensi del punto 4.1.2.2, lettera a), della norma ISO/IEC 17065:2012, sia ai criteri approvati dal Garante o dal Comitato europeo per la protezione dei dati (di seguito «Comitato») in conformita' dell'art. 43, paragrafo 2, lettera b) e dell'art. 42, paragrafo 5 del regolamento;
2. impongano al cliente di garantire nei confronti del Garante la piena trasparenza della procedura di certificazione, compresi gli aspetti contrattualmente riservati relativi alla conformita' in materia di protezione dei dati a norma dell'art. 42, paragrafo 7 e dell'art. 58, paragrafo 1, lettera c) del regolamento;
3. non limitino la responsabilita' del cliente in merito alla conformita' al regolamento e lascino impregiudicati i compiti e i poteri del Garante in linea con l'art. 42, paragrafo 5 del regolamento;
4. impongano al cliente di fornire all'OdC tutte le informazioni e l'accesso alle attivita' di trattamento necessarie a espletare la procedura di certificazione a norma dell'art. 42, paragrafo 6 del regolamento;
5. impongano al cliente di rispettare tutte le scadenze e le procedure applicabili. Nell'accordo di certificazione devono essere pattuite le scadenze e le procedure derivanti, a esempio, dal programma di certificazione o da altre normative che devono essere osservate e rispettate;
6. con riguardo al punto 4.1.2.2, lettera c), n. 1, della norma ISO/IEC 17065:2012, fissino regole sulla validita', sul rinnovo e sulla revoca in conformita' dell'art. 42, paragrafo 7 e dell'art. 43, paragrafo 4 del regolamento, inclusa la definizione di congrui intervalli di tempo per la rivalutazione o il riesame periodico in linea con l'art. 42, paragrafo 7 del regolamento;
7. consentano all'OdC di divulgare al Garante tutte le informazioni necessarie al rilascio della certificazione a norma dell'art. 42, paragrafo 8 e dell'art. 43, paragrafo 5 del regolamento;
8. contemplino regole in merito alle precauzioni necessarie per le indagini sui reclami ai sensi del punto 4.1.2.2, lettera c), n. 2, e, inoltre, in conformita' della lettera j), contengano indicazioni esplicite sulla struttura e sulla procedura per la gestione dei reclami in conformita' dell'art. 43, paragrafo 2, lettera d) del regolamento;
9. oltre a soddisfare i requisiti di cui al punto 4.1.2.2 della norma ISO/IEC 17065:2012, disciplinino anche, se presenti, tutte le conseguenze della revoca o della sospensione dell'accreditamento dell'OdC che si ripercuotono sul cliente;
10. impongano al cliente di informare senza indebito ritardo l'OdC e il Garante, su richiesta, in caso di modifiche significative della propria situazione di fatto o di diritto o dei propri prodotti, processi e servizi oggetto della certificazione. Nota esplicativa.
Le informazioni che il cliente fornisce all'OdC riguardano anche gli eventuali procedimenti in corso dinanzi al Garante o le violazioni della disciplina in materia di protezione dei dati personali tali da implicare il mancato soddisfacimento dei criteri di certificazione.
Per modifiche significative della situazione di fatto o di diritto si tenga anche conto delle indicazioni contenute nella Nota 3 al requisito 4.1.2 della ISO 17065:2012.
Per modifiche significative dei propri prodotti, processi e servizi si intendono quelle tali da configurare una modifica dell'oggetto della certificazione, in quanto comportano integrazioni o variazioni significative dell'oggetto della certificazione ovvero della tipologia di un prodotto, dell'ambito di un processo o delle modalita' di erogazione di un servizio [es. interfacce, trasferimenti ad altri sistemi e organizzazioni, protocolli, canali e/o piattaforme di erogazione, metodi per il trattamento, tecnologie utilizzate, logica degli algoritmi per le decisioni automatizzate, misure tecniche e organizzative, modifica del responsabile del trattamento, ...].
4.1.3. Utilizzo di sigilli e marchi di protezione dei dati: certificati, i marchi e i sigilli devono essere usati esclusivamente in conformita' degli articoli 42 e 43 del regolamento e delle linee guida relative all'accreditamento e alla certificazione.
4.2. Gestione dell'imparzialita'
Accredia garantisce che, oltre a soddisfare il requisito di cui al punto 4.2 della norma ISO/IEC 17065:2012:
1. l'OdC sia conforme ai seguenti requisiti aggiuntivi:
a. fornisca prova separata della propria indipendenza in linea con l'art. 43, paragrafo 2, lettera a) del regolamento, in particolare per quanto riguarda il finanziamentodell'organismo, nella misura in cui tale aspetto incida sulla garanzia della sua imparzialita';
b. fornisca la prova di cui al punto precedente, su richiesta, al Garante, per quanto riguarda il finanziamentodell'OdC;
c. i suoi compiti e le sue funzioni non diano adito a un conflitto di interessi in linea con l'art. 43, paragrafo 2, lettera e) del regolamento;
2. l'OdC non abbia alcun collegamento rilevante con il cliente che valuta. Nota esplicativa.
Per il concetto di imparzialita' si tenga anche conto di quanto contenuto della Nota 2 del par. 3.2 della ISO 17021-1:2015.
L'OdC rappresenta una terza parte indipendente che non ha relazione con i soggetti che deve sottoporre a valutazione ai fini del rilascio della certificazione. La direzione (top management) e il personale dell'OdC responsabile della valutazione di conformita' non devono aver ricoperto alcun ruolo nella progettazione, produzione, fornitura, installazione, acquisizione del prodotto, processo o servizio oggetto di valutazione, ne' esserne i proprietari, gli utenti o i manutentori, e non possono agire in qualita' di rappresentanti autorizzati di soggetti che abbiano ricoperto o ricoprano i suddetti ruoli.
Imparzialita' e indipendenza possono essere comprovate, a esempio, attraverso la seguente documentazione:
statuto e atto costitutivo dell'OdC;
regole e procedure di composizione, nomina, modalita' di remunerazione e durata del mandato dei componenti dell'OdC incaricati di assumere le decisioni attinenti alle attivita' di certificazione;
documentazione comprovante i rapporti commerciali, finanziari, contrattuali o di altro genere che intercorrono tra l'OdC e il cliente.
Riguardo il conflitto di interessi, quest'ultimo puo' sussistere, per esempio:
a) qualora l'OdC abbia una qualsiasi relazione economica con il cliente tale da incidere sul proprio fatturato o generare anche parzialmente condizionamenti di natura economica;
b) qualora l'OdC, o i suoi soci, abbiano quote o partecipazioni in societa' che offrono consulenza rispetto a prodotti, processi, servizi oggetto di certificazione;
c) qualora l'OdC svolga attivita' assimilabili alla consulenza non adeguatamente mitigate, quali a esempio:
fornire personale che assume il ruolo di RPD (art. 37 del regolamento);
altre attivita' di valutazione della conformita', in presenza o meno di accreditamento;
altre attivita' quali, a esempio, la verifica dell'osservanza della normativa vigente, prove di penetrazione (penetration test), rilevamento delle intrusioni (intrusion detection).
Per maggiori dettagli su imparzialita' e conflitto di interessi si veda anche la Guida EA-2/20 Consultancy, and the independence of conformity assessment bodies (4) .
4.3. Responsabilita' e finanziamento
Accredia verifica regolarmente che l'OdC, oltre a rispettare il requisito di cui al punto 4.3.1 della norma ISO/IEC 17065:2012, disponga di idonee misure (a esempio un'assicurazione o riserve finanziarie) tali da coprire le proprie responsabilita' nelle aree geografiche in cui opera.
L'OdC, quale attestazione della piena osservanza, piu' in generale, degli obblighi di legge in materia, conferma di non essere oggetto di procedure concorsuali o fallimentari, di essere in regola con il versamento dei contributi pensionistici e assistenziali, di non essere oggetto di procedimenti coattivi di riscossione tributi e che i suoi rappresentanti legali non hanno riportato condanne definitive per reati colposi o dolosi collegati alle attivita' dell'OdC.
L'OdC dimostra anche l'osservanza dei requisiti di cui alla norma ISO/IEC 17021-1:2015, punto 5.3.2, ossia di aver valutato i rischi derivanti dalle attivita' di certificazione e di avere adottato, sulla base di tale pregressa valutazione, misure idonee a mitigare i rischi individuati. A tale fine, l'OdC mette a disposizione di Accredia e del Garante, su richiesta, la documentazione pertinente. Nota esplicativa.
I rischi derivanti dalle attivita' di certificazione possono comprendere, ma non limitarsi:
agli obiettivi dell'audit;
al campionamento utilizzato nel processo di audit;
all'imparzialita' reale e percepita;
alle questioni relative a responsabilita' e obblighi giuridici;
all'organizzazione del cliente sottoposta ad audit e al suo ambiente operativo;
all'impatto dell'audit sul cliente e le sue attivita';
alla salute e sicurezza dei gruppi di audit;
alle dichiarazioni fuorvianti da parte del cliente;
all'utilizzo di marchi.
Misure idonee alla mitigazione dei rischi individuati possono comprendere la stipula di polizze assicurative sufficienti a coprire eventuali richieste di risarcimento, accantonamenti in bilancio, ecc...
Nella definizione dei relativi importi, l'OdC dovrebbe tenere conto delle risultanze della valutazione del rischio.
L'analisi del rischio dovrebbe essere sottoposta a revisione periodica, almeno annuale, per identificare nuovi rischi o modifiche ai medesimi in riferimento alle attivita' e alle relazioni dell'OdC o del suo personale.
4.4. Condizioni non discriminatorie
Non si formulano requisiti aggiuntivi rispetto al punto 4.4 della norma ISO/IEC 17065:2012.
4.5. Riservatezza
Oltre a rispettare il requisito di cui al punto 4.5 della norma ISO/IEC 17065:2012, l'OdC e' responsabile della gestione di tutte le informazioni raccolte o utilizzate durante le attivita' relative al rilascio della certificazione e, a tal fine, garantisce ai suoi clienti (attuali e potenziali) che il proprio personale, in modo particolare il personale dedicato alle attivita' di valutazione e di decisione, mantenga riservate tali informazioni, fermo restando il rispetto di eventuali obblighi di legge che prevedano diversamente.
4.6. Informazioni disponibili al pubblico
Oltre al rispetto del requisito di cui al punto 4.6 della norma ISO/IEC 17065:2012, Accredia esige dall'OdC almeno che:
1. tutte le versioni (attuali e precedenti) dei criteri approvati utilizzati ai sensi dell'art. 42, paragrafo 5 del regolamento, cosi' come tutte le procedure di certificazione, siano pubblicate e facilmente accessibili al pubblico, con indicazione generale del rispettivo periodo di validita';
2. le informazioni sulle procedure di gestione dei reclami e sui ricorsi siano rese pubbliche a norma dell'art. 43, paragrafo 2, lettera d) del regolamento. 5. Requisiti strutturali
5.1. Struttura organizzativa e alta direzione: non si formulano requisiti aggiuntivi rispetto al punto 5.1 della norma ISO/IEC 17065:2012;
5.2. Meccanismi di salvaguardia dell'imparzialita': non si formulano requisiti aggiuntivi rispetto al punto 5.2 della norma ISO/IEC 17065:2012. 6. Requisiti per le risorse umane
6.1. Personale dell'organismo di certificazione
Accredia garantisce che il personale dell'OdC, oltre a rispettare i requisiti di cui alla sezione 6 della norma ISO/IEC 17065:2012:
1. abbia dimostrato competenze adeguate e costantemente aggiornate (insieme di conoscenze ed esperienze) riguardo alla protezione dei dati a norma dell'art. 43, paragrafo 1 del regolamento;
2. sia indipendente e costantemente competente riguardo all'oggetto della certificazione a norma dell'art. 43, paragrafo 2, lettera a) del regolamento, e non presenti alcun conflitto di interessi a norma dell'art. 43, paragrafo 2, lettera e) del regolamento;
3. si impegni a rispettare i criteri di cui all'art. 42, paragrafo 5 e dell'art. 43, paragrafo 2, lettera b) del regolamento;
4. con riguardo al personale dell'OdC responsabile delle decisioni relative alle certificazioni (decision maker), soddisfi i seguenti requisiti di onorabilita':
a) non trovarsi o non essersi trovato in una delle condizioni previste dall'art. 2382 del codice civile;
b) non essere stato radiato da albi professionali per motivi disciplinari ne' per altri motivi;
c) non aver riportato condanne per delitti non colposi o a pena detentiva per contravvenzioni, salvi gli effetti della riabilitazione;
d) non essere o non essere stato sottoposto a misure di prevenzione o di sicurezza personali di carattere processual-penale;
5. disponga di conoscenze ed esperienze pertinenti e adeguate per quanto riguarda l'applicazione della legislazione in materia di protezione dei dati;
6. disponga di conoscenze ed esperienze pertinenti e adeguate per quanto riguarda le pertinenti misure tecniche e organizzative di protezione dei dati;
7. sia in grado di dimostrare di avere adeguata e aggiornata esperienza nei settori menzionati nei requisiti aggiuntivi di cui ai punti 6.1.1, 6.1.4 e 6.1.5, nello specifico:
per il personale con competenze tecniche:
di avere ottenuto una qualifica in un pertinente settore di competenza tecnica pari ad almeno il livello 6 dell'EQF (5) o un titolo abilitante riconosciuto (p. es. Dipl. Ing.) per la pertinente professione regolamentata, oppure di disporre di significativa esperienza professionale nello stesso settore;
al personale responsabile delle decisioni relative alla certificazione e' richiesta una significativa esperienza professionale nell'identificazione e nell'attuazione delle misure di protezione dei dati;
al personale responsabile delle valutazioni e' richiesta un'esperienza professionale nell'ambito della protezione tecnica dei dati e conoscenze ed esperienze in materia di procedure comparabili (es. certificazioni/audit) e, se del caso, iscrizione al relativo albo professionale.
Il personale dovra' dimostrare di mantenere aggiornate le conoscenze specifiche del settore riguardo alle competenze tecniche e di audit mediante formazione permanente documentata. per il personale con competenze giuridiche:
studi giuridici in un'universita' dell'UE o riconosciuta da uno stato di durata pari ad almeno otto semestri, compresa una specializzazione post-laurea (LL.M) o titoli equivalenti, oppure significativa esperienza professionale;
il personale responsabile delle decisioni relative alla certificazione deve dimostrare una significativa esperienza professionale nell'ambito della disciplina della protezione dei dati e, se del caso, deve essere iscritto al relativo albo professionale;
il personale responsabile delle valutazioni deve dimostrare almeno due anni di esperienza professionale nell'ambito della disciplina della protezione dei dati, e conoscenze ed esperienze in materia di procedure comparabili (es. certificazioni/audit) e, se del caso, deve essere iscritto al relativo albo professionale;
il personale dovra' dimostrare di mantenere aggiornate le conoscenze specifiche del settore riguardo alle competenze tecniche e di audit mediante formazione permanente documentata.
L'OdC definisce e illustra ad Accredia quali requisiti di esperienza professionale siano adeguati in rapporto all'ambito dello schema di certificazione e all'oggetto della valutazione. Nota esplicativa.
Si considera «adeguato» il livello di competenza necessario all'effettivo svolgimento delle funzioni dell'OdC in relazione allo schema di certificazione per il quale viene richiesto l'accreditamento, avuto riguardo in particolare alle specificita' del/i settore/i a cui si applica lo schema, alla categoria dei dati trattati e alla complessita' delle attivita' di trattamento, ai diversi interessi coinvolti, nonche' ai rischi per gli interessati.
Si considera «pertinente» l'esperienza attinente all'ambito della certificazione.
Per il personale responsabile delle decisioni relative alla certificazione tali requisiti si intendono soddisfatti, per esempio, se il personale, con adeguata esperienza in ambito certificazioni, possiede una certificazione accreditata secondo la UNI 11697:2017 almeno di Specialista privacy o e' in possesso dei requisiti di conoscenza, abilita' e competenza e di accesso ai profili professionali previsti da tale norma tecnica e riportati in Allegato 1.
Per il personale responsabile delle valutazioni (ossia i membri del gruppo di verifica) tali requisiti si intendono soddisfatti, per esempio, se il personale possiede una certificazione accreditata secondo la UNI 11697:2017 del profilo di Valutatore privacy o e' in possesso dei requisiti di conoscenza, abilita' e competenza e di accesso al suddetto profilo professionale previsti da tale norma tecnica e riportati in Allegato 1.
6.2. Risorse per la valutazione
Non si formulano requisiti aggiuntivi rispetto al punto 6.2 della norma ISO/IEC 17065:2012. 7. Requisiti di processo
7.1. Aspetti generali
Oltre al rispetto del requisito di cui al punto 7.1 della norma ISO/IEC 17065:2012, Accredia garantisce che:
1. nel presentare la domanda di accreditamento l'OdC soddisfi i presenti requisiti aggiuntivi stabiliti del Garante ai sensi dell'art. 43, paragrafo 1, lettera b) del regolamento, in modo tale che i loro compiti e obblighi non diano adito a conflitto di interessi a norma dell'art. 43, paragrafo 2, lettera e) del regolamento;
2. prima di cominciare a utilizzare in un nuovo Stato membro, attraverso una sede distaccata, un sigillo europeo di protezione dei dati precedentemente approvato, l'OdC informi le autorita' di controllo interessate.
7.2. Domanda
Oltre a quanto previsto dal punto 7.2 della norma ISO/IEC 17065:2012, l'OdC garantisce che:
1. l'oggetto della certificazione (Oggetto della valutazione, OdV) sia descritto in dettaglio nella domanda di certificazione compresi le interfacce e i flussi di dati ad altri sistemi e organizzazioni, i protocolli e le altre garanzie;
2. nella domanda sia specificata la eventuale contitolarita' circa il trattamento oggetto di certificazione e/o l'eventuale ricorso a responsabili del trattamento e, qualora il cliente sia un contitolare e/o responsabile del trattamento, siano descritti i suoi compiti e le sue responsabilita', nonche' riportati il/i pertinente/i contratto/i o altro atto giuridico volto a regolare i rapporti tra titolare e contitolare e/o responsabile del trattamento.
7.3. Esame della domanda
Oltre a quanto previsto dal punto 7.3 della norma ISO/IEC 17065:2012, l'OdC garantisce che:
1. nell'accordo di certificazione siano stabiliti metodi di valutazione vincolanti con riguardo all'oggetto della valutazione (OdV);
2. la valutazione di cui al punto 7.3, lettera e) tenga conto in misura appropriata sia delle competenze tecniche sia di quelle giuridiche in materia di protezione dei dati e assicuri la presenza di entrambe;
7.4. Valutazione
Oltre a quanto previsto dal punto 7.4 della norma ISO/IEC 17065:2012, l'OdC garantisce che i propri processi di certificazione descrivano metodi di valutazione sufficienti a valutare la conformita' del/i trattamento/i ai criteri di certificazione, tra cui a esempio, laddove applicabili:
1. un metodo per valutare la necessita' e la proporzionalita' del/i trattamento/i rispetto al loro scopo e agli interessati;
2. un metodo per valutare la copertura, la composizione e la valutazione di tutti i rischi presi in considerazione dal titolare del trattamento e dal responsabile del trattamento con riguardo alle conseguenze giuridiche a norma degli articoli 30, 32, 35 e 36 del regolamento e alla definizione delle misure tecniche e organizzative a norma degli articoli 24, 25 e 32 del regolamento, nella misura in cui i suddetti articoli si applicano all'oggetto della certificazione;
3. un metodo per valutare i mezzi di tutela incluse le garanzie e le procedure atte ad assicurare la protezione dei dati personali nell'ambito del/i trattamento/i collegato/i all'oggetto della certificazione nonche' a dimostrare il rispetto dei requisiti giuridici definiti nei criteri; e
4. documentazione riguardante i metodi e le relative risultanze.
L'OdC garantisce che tali metodi di valutazione siano standardizzati e applicabili di regola. Cio' significa che metodi di valutazione comparabili sono utilizzati per oggetti di valutazione (OdV) comparabili. Qualsiasi deroga a tale procedura e' motivata dall'OdC.
Oltre a quanto previsto dal punto 7.4.2 della norma ISO/IEC 17065:2012, e' ammessa la possibilita' di affidare l'esecuzione della valutazione a esperti esterni riconosciuti dall'OdC sulla base dei requisiti di cui al precedente punto 6.1.
Oltre a quanto previsto dal punto 7.4.5 della norma ISO/IEC 17065:2012, e' prevista la possibilita' che una certificazione preesistente, che copra parte dell'oggetto della certificazione, possa essere tenuta in considerazione ai fini della valutazione relativa rilascio di una certificazione di protezione dei dati ai sensi degli articoli 42 e 43 del regolamento. Tuttavia, la preesistente certificazione, o la relativa dichiarazione, non puo' considerarsi, di per se', sostitutiva delle valutazioni (parziali) riguardanti la certificazione ai sensi del regolamento, ne' della relazione di certificazione e l'OdC, comunque, verifica la conformita' ai criteri di certificazione in relazione all'oggetto della certificazione. Pertanto, il rilascio della certificazione di protezione dei dati, in ogni caso, avviene sulla base di una relazione di valutazione completa o di informazioni tali da consentire una valutazione delle certificazioni esistenti e dei suoi risultati che comprenda anche un'analisi comparativa (gap analysis) a cura dell'OdC circa l'eventuale scostamento fra i criteri, i metodi di valutazione e quanto rileva nello specifico oggetto di certificazione.
Oltre a quanto previsto dal punto 7.4.6 della norma ISO/IEC 17065:2012, l'OdC specifica, tramite idonea documentazione, le modalita' con cui sono fornite al cliente le informazioni obbligatorie a norma del punto 7.4.6 in merito alle eventuali non conformita' riscontrate. Devono essere definite almeno le tipologie e le tempistiche di tali informazioni.
Oltre a quanto previsto dal punto 7.4.9 della norma ISO/IEC 17065:2012, la documentazione e' resa pienamente accessibile al Garante, su richiesta. Il Garante si riserva, inoltre, la possibilita' di far partecipare agli audit di certificazione proprio personale in qualita' di osservatore. Nota esplicativa.
I mezzi di tutela comprendono tutti gli strumenti e le procedure idonei a conseguire l'applicazione della normativa in materia di protezione dei dati nello specifico contesto dello schema di certificazione, alla luce delle disposizioni del GDPR e di quelle nazionali pertinenti.
La documentazione di cui al requisito aggiuntivo del punto 7.4.6 puo' corrispondere allo schema di certificazione, ovvero, qualora l'OdC non sia il titolare dello schema, a un diverso documento relativo al processo di certificazione.
7.5. Riesame
Oltre a quanto previsto dal punto 7.5 della norma ISO/IEC 17065:2012, sono richieste procedure per la concessione, il riesame periodico e la revoca delle rispettive certificazioni a norma dell'art. 43, paragrafi 2 e 3 del regolamento.
7.6. Decisione relativa alla certificazione
Oltre a quanto previsto dal punto 7.6.1 della norma ISO/IEC 17065:2012, l'OdC:
1. specifica nelle procedure in che modo garantisce la propria indipendenza e responsabilita' rispetto alle singole decisioni di rilascio di certificazione;
2. verifica con il suo cliente, prima dell'adozione della decisione sulla certificazione, che questi non sia oggetto di eventuali procedimenti dinanzi al Garante tali da implicare il mancato soddisfacimento dei criteri di certificazione.
7.7. Documentazione riguardante la certificazione
Oltre a quanto previsto dal punto 7.7.1, lettera e), della norma ISO/IEC 17065:2012 e in conformita' dell'art. 42, paragrafo 7 del regolamento il periodo di validita' delle certificazioni non puo' essere superiore a tre anni.
Oltre a quanto previsto dal punto 7.7.1, lettera e), della norma ISO/IEC 17065:2012, e' obbligatoriamente documentata anche la sorveglianza periodica prevista al successivo punto 7.9.
Oltre a quanto previsto dal punto 7.7.1, lettera f), della norma ISO/IEC 17065:2012, l'OdC denomina l'oggetto della certificazione all'interno della relativa documentazione (indicando la versione o altre caratteristiche analoghe, laddove applicabili).
7.8. Elenco dei prodotti, processi e servizi certificati
Oltre a quanto previsto dal punto 7.8 della norma ISO/IEC 17065:2012, l'OdC:
1. conserva le informazioni riguardanti i prodotti, i processi e i servizi certificati in modo che siano disponibili sia al personale interno sia al pubblico. L'OdC fornisce al pubblico una sintesi della relazione di valutazione. Scopo di tale sintesi e' contribuire a una maggiore trasparenza sull'oggetto della certificazione e sulle modalita' della relativa valutazione. La sintesi illustrera' tra l'altro:
(a) l'ambito della certificazione e una descrizione significativa dell'oggetto della certificazione (OdV),
(b) i rispettivi criteri di certificazione (inclusa la versione o lo stato funzionale),
(c) i metodi di valutazione e i test effettuati, nonche'
(d) i(l) risultato/i.
2. a norma dell'art. 43, paragrafo 5 del regolamento informa il Garante in merito ai motivi del rilascio o della revoca della certificazione.
7.9. Sorveglianza
Oltre a quanto previsto dai punti 7.9.1, 7.9.2 e 7.9.3 della norma ISO/IEC 17065:2012 e in conformita' dell'art. 43, paragrafo 2, lettera c) del regolamento, durante il periodo di sorveglianza l'OdC prevede misure di sorveglianza periodica, stabilite sulla base di una valutazione del rischio, al fine della verifica della sussistenza dei requisiti di mantenimento della certificazione. Nota esplicativa.
Le procedure di sorveglianza, anche in termini di strutture e risorse a cio' dedicate, devono essere trasparenti, appropriate allo schema di certificazione per cui si richiede l'accreditamento, efficaci e verificabili, nonche' praticabili dal punto di vista operativo. Tali procedure possono prevedere la pubblicazione di relazioni riguardanti le verifiche effettuate, di rapporti periodici o sintetici sulle attivita' svolte dall'OdC e le complessive risultanze di tali attivita'.
7.10. Modifiche che influenzano la certificazione
Oltre a quanto previsto dai punti 7.10.1 e 7.10.2 della norma ISO/IEC 17065:2012, tra le modifiche che influenzano la certificazione di cui l'OdC tiene conto rientrano: le modifiche alla legislazione in materia di protezione dei dati, l'adozione di atti delegati della Commissione europea in conformita' dell'art. 43, paragrafi 8 e 9 del regolamento, le decisioni e i documenti del Comitato, la giurisprudenza in materia di protezione dei dati, le modifiche relative allo stato dell'arte.
Le modifiche possono essere gestite con procedure che prevedano, a esempio, periodi transitori, processi di approvazione da parte del Garante, nuova valutazione dell'oggetto della certificazione, ove pertinente, e misure adeguate per la revoca della certificazione qualora il trattamento oggetto di certificazione non sia piu' conforme ai criteri aggiornati.
7.11. Termine, riduzione, sospensione o revoca della certificazione
Oltre a quanto previsto dal punto 7.11.1 della norma ISO/IEC 17065:2012, l'OdC stabilisce procedure per informare senza indebito ritardo e per iscritto il Garante e Accredia, se pertinente, in merito alle misure messe in atto e al mantenimento, alla riduzione, alla sospensione e alla revoca delle certificazioni anche a seguito di reclami o ricorsi trattati conformemente al punto 7.13.
In conformita' dell'art. 58, paragrafo 2, lettera h) del regolamento, l'OdC e' tenuto a rispettare le decisioni e le prescrizioni del Garante che gli ingiungano di revocare o non rilasciare la certificazione a un cliente se il Garante ritiene che i criteri per la certificazione non sono o non sono piu' soddisfatti.
7.12. Registrazioni
Oltre a quanto previsto dal punto 7.11.1 della norma ISO/IEC 17065:2012, l'OdC conserva tutta la documentazione in forma completa, comprensibile, aggiornata e verificabile per un periodo di tre anni dalla scadenza della certificazione.
7.13. Reclami e ricorsi, art. 43, paragrafo 2, lettera d) del regolamento
Fatto salvo il diritto degli interessati di presentare reclamo al Garante o ricorso all'autorita' giudiziaria ai sensi degli articoli 77 e 79 del regolamento e degli art. 140-bis ss. del codice, l'OdC garantisce che un interessato ovvero un organismo, organizzazione o associazione rappresentativa o attiva nel settore della protezione dati personali, possa proporre reclamo.
La procedura di gestione dei reclami rispetta i principi di partecipazione, imparzialita' e garanzia del contradditorio. In particolare, tale procedura prevede che l'OdC informi il reclamante dello stato o dell'esito del reclamo entro tempi ragionevoli, tali da consentire un'analisi accurata di quanto lamentato.
Oltre a quanto previsto dal punto 7.13.1 della norma ISO/IEC 17065:2012, l'OdC definisce:
(a) i soggetti che possono presentare reclami e appelli,
(b) i soggetti dell'OdC che trattano tali reclami e appelli,
(c) le verifiche effettuate in tale contesto,
(d) le possibilita' di consultazione delle parti interessate,
(e) le modalita' con cui garantisce la separazione tra le attivita' di certificazione e la gestione di appelli e reclami.
Oltre a quanto previsto dal punto 7.13.2 della norma ISO/IEC 17065:2012, l'OdC definisce:
(a) come e a chi dovra' essere trasmessa la conferma della ricezione del reclamo o dell'appello,
(b) i termini entro i quali la stessa dovra' essere trasmessa,
(c) le successive procedure. Nota esplicativa.
Per «tempi ragionevoli» entro cui l'OdC informa il reclamante dello stato o dell'esito del reclamo si intendono, di regola, tre mesi. 8. Requisiti del sistema di gestione
Un requisito generale del sistema di gestione in conformita' della sezione 8 della norma ISO/IEC 17065:2012 e' la necessita' di documentare, valutare, controllare e monitorare in maniera indipendente l'attuazione, da parte dell'OdC accreditato, nell'ambito dell'applicazione del meccanismo di certificazione, di tutti i requisiti contenuti nelle precedenti sezioni.
Il principio fondamentale della gestione e' la definizione di un sistema in base al quale gli obiettivi della stessa siano fissati in modo efficace ed efficiente (nello specifico l'attuazione dei servizi di certificazione, per mezzo di adeguate specifiche). Cio' presuppone la trasparenza e la verificabilita' dell'attuazione dei requisiti di accreditamento da parte dell'OdC, nonche' la conformita' permanente agli stessi.
A tal fine il sistema di gestione deve specificare una metodologia per il soddisfacimento e la verifica continua di tali requisiti, in conformita' alla disciplina di protezione dei dati.
Tali principi di gestione e la loro documentata attuazione sono trasparenti e sono divulgati dall'OdC accreditato nell'ambito della procedura di accreditamento a norma dell'art. 58 del regolamento, nonche', successivamente, su richiesta del Garante, durante eventuali indagini condotte a titolo di revisione in materia di protezione dei dati a norma dell'art. 58, paragrafo 1, lettera b) del regolamento, ovvero in sede di riesame delle certificazioni rilasciate in conformita' dell'art. 42, paragrafo 7, a norma dell'art. 58, paragrafo 1, lettera c) del regolamento.
In particolare l'OdC accreditato rende permanentemente e continuamente noto al pubblico quali certificazioni ha rilasciato e su quali basi (ovvero i meccanismi o gli schemi di certificazione), nonche' la loro validita' e il quadro di riferimento e le condizioni a cui e' subordinata (cfr. considerando 100 del regolamento).
Ai fini della trasparenza l'OdC:
a) tiene traccia dei principi alla base della valutazione di conformita' (es. norme tecniche di riferimento, norme legislative o regolamentari, ecc.);
b) documenta le specifiche metodologie utilizzate nella definizione delle procedure di audit ai fini della valutazione di conformita';
c) documenta le attivita' ispettive e di audit e i miglioramenti apportati alle procedure definite, comprese le motivazioni e la tempistica di tali miglioramenti;
d) affida a soggetti terzi verifiche dei propri processi di valutazione della conformita';
e) documenta e monitora il rispetto degli obblighi di imparzialita';
f) motiva eventuali variazioni dei criteri di trasparenza documentale e di processo (in rapporto a singoli schemi di certificazione, alle modalita' di verifica della conformita' rispetto a tali schemi, ai requisiti minimi fissati nei contratti stipulati con i clienti).
8.1. Requisiti generali del sistema di gestione
Non si formulano requisiti aggiuntivi rispetto al punto 8.1 della norma ISO/IEC 17065:2012.
8.2. Documentazione del sistema di gestione
Non si formulano requisiti aggiuntivi rispetto al punto 8.2 della norma ISO/IEC 17065:2012.
8.3. Tenuta sotto controllo dei documenti
Non si formulano requisiti aggiuntivi rispetto al punto 8.3 della norma ISO/IEC 17065:2012.
8.4. Tenuta sotto controllo delle registrazioni
Non si formulano requisiti aggiuntivi rispetto al punto 8.4 della norma ISO/IEC 17065:2012.
8.5. Riesame della direzione
Non si formulano requisiti aggiuntivi rispetto al punto 8.5 della norma ISO/IEC 17065:2012.
8.6. Audit interni
Non si formulano requisiti aggiuntivi rispetto al punto 8.6 della norma ISO/IEC 17065:2012.
8.7. Azioni correttive
Non si formulano requisiti aggiuntivi rispetto al punto 8.7 della norma ISO/IEC 17065:2012.
8.8. Azioni preventive
Non si formulano requisiti aggiuntivi rispetto al punto 8.8 della norma ISO/IEC 17065:2012. 9. Ulteriori requisiti aggiuntivi
9.1. Aggiornamento dei metodi di valutazione
L'OdC istituisce procedure atte a guidare l'aggiornamento dei metodi di valutazione affinche' possano essere applicati nel contesto della valutazione di cui al punto 7.4. L'aggiornamento ha luogo a seguito di modifiche al quadro giuridico, ai rischi pertinenti, allo stato dell'arte e ai costi di attuazione delle misure tecniche e organizzative.
Tali procedure consentono, con riguardo ai metodi di valutazione, l'individuazione e la documentazione di modifiche che interessano il quadro giuridico di riferimento, gli elementi del contratto stipulato fra il cliente e l'OdC, le fonti di rischio (nuove o emergenti, comprese vulnerabilita' tecniche), lo stato dell'arte relativo ai trattamenti e alle misure tecniche e organizzative atte a garantire l'osservanza dei principi di protezione dei dati e la sicurezza dei trattamenti.
9.2. Mantenimento delle competenze
L'OdC stabilisce procedure atte a garantire la formazione del proprio personale nell'ottica dell'aggiornamento delle loro competenze, tenuto conto degli sviluppi elencati al punto 9.1.
9.3. Responsabilita' e competenze
9.3.1. Comunicazione tra l'OdC e i propri clienti: l'OdC prevede procedure finalizzate a mettere in atto meccanismi e strutture di comunicazione adeguate con il cliente. Tra queste rientrano:
1. il mantenimento della documentazione relativa ai compiti e alle responsabilita' dell'OdC, al fine di:
a. rispondere a richieste di informazioni; o
b. consentire i necessari contatti in caso di reclami relativi a una certificazione;
2. il mantenimento di una procedura di gestione delle domande di certificazione, al fine di:
a. fornire informazioni sullo stato e l'esito di una domanda;
b. consentire le valutazioni del Garante in merito a riscontri e decisioni della medesima Autorita'.
9.3.2. Documentazione delle attivita' di valutazione: non si formulano requisiti aggiuntivi;
9.3.3. Gestione dei reclami: l'OdC definisce, quale parte integrante del sistema di gestione, un meccanismo di gestione dei reclami e appelli che attui in particolare i requisiti di cui al punto 4.1.2.2, lettere c) e j), al punto 4.6, lettera d), e al punto 7.13 della norma ISO/IEC 17065:2012;
9.3.4. Gestione delle riduzioni, sospensioni e revoche: l'OdC integra nel proprio sistema di gestione le procedure in caso di riduzione, sospensione o revoca dell'accreditamento e riguardanti in particolare la relativa notifica ai propri clienti.
__________

(1) https://www.gpdp.it (doc. web 9099622).

(2) Guidelines 4/2018 on the accreditation of certification bodies
under Article 43 of the General Data Protection Regulation
(2016/679) - Version 3.0 (4 giugno 2019).

(3) Guidelines 1/2018 on certification and identifying certification
criteria in accordance with Articles 42 and 43 of the Regulation
- Version 3.0 (4 giugno 2019).

(4) https://european-accreditation.org/wp-content/uploads/2020/04/EA-
2-20_Consultancy_rev00_April-2020.pdf

(5) Cfr. lo strumento di confronto dei quadri delle qualifiche,
disponibile all'indirizzo
https://ec.europa.eu/ploteus/en/compare?.
 

ALLEGATO 1 - APPENDICE B UNI 11697:2017 - REQUISITI PER L'ACCESSO AI PROFILI PROFESSIONALI

Parte di provvedimento in formato grafico