Artigo 43º – Organismos de certificação

Artigo 43º

Organismos de certificação

1. Sem prejuízo das atribuições e poderes da autoridade de controlo competente nos termos dos artigos 57º e 58º, um organismo de certificação que tenha um nível adequado de competência em matéria de proteção de dados emite e renova a certificação, após informar a autoridade de controlo para que esta possa exercer as suas competências nos termos do artigo 58º, nº 2, alínea h), sempre que necessário. Os Estados-Membros asseguram que estes organismos de certificação são acreditados:

a) Pela autoridade de controlo que é competente nos termos do artigo 55º ou 56º;

b) Pelo organismo nacional de acreditação, designado nos termos do Regulamento (CE) nº 765/2008 do Parlamento Europeu e do Conselho, em conformidade com a norma EN-ISO/IEC 17065/2012 e com os requisitos adicionais estabelecidos pela autoridade de controlo que é competente nos termos do artigo 55º ou 56º.

2. Os organismos de certificação referidos no n.o 1 são acreditados em conformidade com o mesmo, apenas se:

a) Tiverem demonstrado que gozam de independência e dispõem dos conhecimentos necessários em relação ao objeto da certificação, de forma satisfatória para a autoridade de controlo competente;

b) Se tiverem comprometido a respeitar os critérios referidos no artigo 42º, nº 5, e aprovados pela autoridade de controlo que é competente por força do artigo 55º ou 56º ou pelo Comité por força do artigo 63º;

c) Tiverem estabelecido procedimentos para a emissão, revisão periódica e retirada de procedimentos de certificação, selos e marcas de proteção de dados;

d) Tiverem estabelecido procedimentos e estruturas para tratar reclamações relativas a violações da certificação ou à forma como a certificação tenha sido ou esteja a ser implementada pelo responsável pelo tratamento ou subcontratante, e para tornar estes procedimentos e estruturas transparentes para os titulares dos dados e o público; e

e) Demonstrarem, de forma satisfatória para a autoridade de controlo competente, que as suas funções e atribuições não implicam um conflito de interesses.

3. A acreditação dos organismos de certificação referida nos nºs 1 e 2 do presente artigo, é efetuada com base nos critérios aprovados pela autoridade de controlo que é competente por força do artigo 55º ou 56º ou pelo Comité por força do artigo 63º. No caso de acreditações nos termos do nº 1, alínea b), do presente artigo, esses requisitos complementam os requisitos previstos no Regulamento (CE) nº 765/2008 e as regras técnicas que descrevem os métodos e procedimentos dos organismos de certificação.

4. Os organismos de certificação a que se refere o nº 1 são responsáveis pela correta avaliação necessária à certificação, ou pela revogação dessa certificação, sem prejuízo da responsabilidade que cabe ao responsável pelo tratamento ou ao subcontratante pelo cumprimento do presente regulamento. A acreditação é emitida por um período máximo de cinco anos e pode ser renovada nas mesmas condições, desde que o organismo de certificação reúna os requisitos estabelecidos no presente artigo.

5. Os organismos de certificação a que se refere o nº 1 fornecem às autoridades de controlo competentes os motivos que levaram à concessão ou revogação da certificação solicitada.

6. Os requisitos referidos no nº 3 do presente artigo, e os critérios referidos no artigo 42º, nº 5, são publicados pela autoridade de controlo sob uma forma facilmente acessível. As autoridades de controlo também comunicam estes requisitos e estas informações ao Comité. O Comité recolhe todos os procedimentos de certificação e selos de proteção de dados aprovados num registo e disponibiliza-os ao público por todos os meios adequados.

7. Sem prejuízo do capítulo VIII, a autoridade de controlo competente ou o organismo nacional de acreditação revoga uma acreditação do organismo de certificação nos termos do nº 1 do presente artigo, se as condições para a acreditação não estiverem ou tiverem deixado de estar reunidas, ou se as medidas tomadas pelo organismo de certificação violarem o presente regulamento.

8. A Comissão fica habilitada a adotar atos delegados nos termos do artigo 92º, a fim de especificar os requisitos a ter em conta relativamente aos procedimentos de certificação em matéria de proteção de dados referidos no artigo 42º, nº 1.

9. A Comissão pode adotar atos de execução estabelecendo normas técnicas para os procedimentos de certificação e os selos e marcas em matéria de proteção de dados, e regras para promover e reconhecer esses procedimentos de certificação, selos e marcas. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 93º, nº 2.

Artigo 42º – Certificação

Artigo 42º

Certificação

1. Os Estados-Membros, as autoridades de controlo, o Comité e a Comissão promovem, em especial ao nível da União, a criação de procedimentos de certificação em matéria de proteção de dados, bem como selos e marcas de proteção de dados, para efeitos de comprovação da conformidade das operações de tratamento de responsáveis pelo tratamento e subcontratantes com o presente regulamento. Serão tidas em conta as necessidades específicas das micro, pequenas e médias empresas.

2. Além do cumprimento pelos responsáveis pelo tratamento ou pelos subcontratantes sujeitos ao presente regulamento, os procedimentos de certificação em matéria de proteção de dados, bem como selos ou marcas aprovados de acordo com o nº 5 do presente artigo também podem ser estabelecidos para efeitos de comprovação da existência de garantias adequadas fornecidas por responsáveis pelo tratamento ou por subcontratantes que não estão sujeitos ao presente regulamento por força do artigo 3º no quadro das transferências de dados pessoais para países terceiros ou organizações internacionais nos termos referidos no artigo 46º, nº 2, alínea f). Os responsáveis pelo tratamento ou os subcontratantes assumem compromissos vinculativos e com força executiva, por meio de instrumentos contratuais ou de outros instrumentos juridicamente vinculativos, no sentido de aplicar as garantias adequadas, inclusivamente em relação aos direitos dos titulares dos dados.

3. A certificação é voluntária e está disponível através de um processo transparente.

4. A certificação prevista no presente artigo não diminui a responsabilidade dos responsáveis pelo tratamento e subcontratantes pelo cumprimento do presente regulamento nem prejudica as funções e competências das autoridades de controlo competentes por força do artigo 55º ou 56º.

5. A certificação prevista no presente artigo é emitida pelos organismos de certificação referidos no artigo 43º ou pela autoridade de controlo competente, com base nos critérios por esta aprovados por força do artigo 58º, nº 3, ou pelo Comité por força do artigo 63º. Caso os critérios sejam aprovados pelo Comité, podem ter como resultado uma certificação comum, o Selo Europeu de Proteção de Dados.

6. Os responsáveis pelo tratamento ou subcontratantes que submetem o seu tratamento ao procedimento de certificação fornecem ao organismo de certificação a que se refere o artigo 43º, ou, consoante o caso, à autoridade de controlo competente, todo o acesso às suas atividades de tratamento e toda a informação de que haja necessidade para efetuar o procedimento de certificação.

7. A certificação é emitida aos responsáveis pelo tratamento e subcontratantes por um período máximo de três anos e pode ser renovada nas mesmas condições, desde que os requisitos aplicáveis continuem a estar reunidos. A certificação é retirada, consoante o caso, pelos organismos de certificação referidos no artigo 43º ou pela autoridade de controlo competente, se os requisitos para a certificação não estiverem ou tiverem deixados de estar reunidos.

8. O Comité recolhe todos os procedimentos de certificação e todos os selos e marcas de proteção de dados aprovados num registo e disponibiliza-os ao público por todos os meios adequados.