Regulamento n.º 834/2021
| Data de publicação | 06 Setembro 2021 |
| Seção | Parte B - Assembleia da República |
| Órgão | Comissão Nacional de Proteção de Dados |
Regulamento n.º 834/2021
Sumário: Requisitos adicionais de acreditação para os organismos de certificação.
De acordo com a alínea p) do n.º 1 do artigo 57.º, bem como a alínea b) do n.º 1 do artigo 43.º e o n.º 3 do artigo 43.º, do Regulamento Geral sobre a Proteção de Dados (1), doravante referido como RGPD, compete à Comissão Nacional de Proteção de Dados (CNPD) fixar os requisitos adicionais de acreditação face à ISO/IEC 17065/2012.
Ao abrigo do disposto na alínea e) do n.º 1 do artigo 6.º da Lei n.º 58/2019, de 8 de agosto (2), a CNPD, enquanto autoridade nacional de controlo de proteção de dados, e o Instituto Português de Acreditação, I. P. (IPAC), enquanto organismo nacional de acreditação, estabeleceram através de protocolo os termos de cooperação e articulação entre as duas instituições no âmbito dos procedimentos de acreditação (3).
O presente regulamento define os requisitos adicionais de acreditação, apresentados, na sua estrutura e numeração, em conformidade com as secções correspondentes da ISO/IEC 17065/2012. Deste modo, especifica-se em cada ponto ou secção os requisitos relativos à proteção dos dados pessoais, assinalando-se ainda as situações em que não se impõem requisitos adicionais aos definidos na ISO/IEC 17065/2012.
Na elaboração dos requisitos adicionais de acreditação foram tidas em conta as diretrizes do Comité Europeu para a Proteção de Dados quanto à implementação da acreditação e da certificação do tratamento de dados pessoais (4).
Não se realizou consulta pública, porquanto o presente regulamento reflete, no essencial, as diretrizes aprovadas pelo Comité Europeu para a Proteção de Dados sobre esta matéria, as quais foram já objeto de consulta pública, e a cujo teor, assim como ao parecer emitido pelo mesmo Comité sobre o projeto de regulamento, a CNPD está legalmente vinculada.
Os requisitos adicionais de acreditação são vinculativos, podendo ser objeto de revisão e atualização quando tal se revelar necessário.
Assim, ao abrigo do disposto na alínea b) do n.º 1 do artigo 43.º, no n.º 3 do artigo 43.º e na alínea p) do n.º 1 do artigo 57.º do RGPD, a CNPD determina os seguintes requisitos adicionais de acreditação em relação à ISO/IEC 17065/2012:
1 - Objetivo e âmbito de aplicação
O âmbito de aplicação da ISO/IEC 17065/2012 (doravante, ISO/IEC 17065), que cobre produtos, processos e serviços, é mais lato do que o âmbito da certificação regulada pelo RGPD, pelo que, para o efeito de aplicação do presente regulamento, a ISO/IEC 17065 deve ser aplicada em conformidade com aquele.
A certificação ao abrigo do RGPD tem de abranger o tratamento de dados pessoais, só sendo aplicável às operações de tratamentos de dados realizadas pelos responsáveis e pelos subcontratantes, de acordo com o n.º 1 do artigo 42.º do RGPD.
2 - Referências normativas
O presente regulamento tem como referências normativas os seguintes atos jurídicos:
RGPD;
Lei n.º 58/2019, de 8 de agosto;
DRC001 (Regulamento Geral de Acreditação), publicado pelo IPAC, e documentos nele referenciados.
O RGPD prevalece sobre a ISO/IEC 17065. Sempre que, nos requisitos adicionais ou no procedimento de certificação, se faça referência aos requisitos da ISO/IEC 17065, devem os mesmos ser interpretados em conformidade com o RGPD.
3 - Termos e definições
Adotam-se os termos e definições da ISO/IEC 17065 sempre que não divirjam dos termos e definições do RGPD, tal como interpretados pelo Comité Europeu para a Proteção de Dados nas suas orientações relativas à acreditação e certificação (5), que aqui se dão por reproduzidos.
4 - Requisitos gerais
4.1 - Aspetos legais e contratuais
4.1.1 - O organismo de certificação deve estar em condições de demonstrar, a todo o tempo, ao IPAC que dispõe de procedimentos atualizados suscetíveis de comprovar o cumprimento das responsabilidades jurídicas definidas nos termos da acreditação, incluindo os requisitos adicionais relativos à aplicação do RGPD. Além disso, deve estar em condições de demonstrar que tem procedimentos conformes ao RGPD e medidas específicas para tratar os dados pessoais dos requerentes e clientes (6), no âmbito do processo de certificação.
Em especial, deve informar se tem conhecimento de que está a ser investigado pela CNPD e se foi condenado por violação do regime jurídico de proteção de dados nos últimos 4 (quatro) anos. Independentemente do cumprimento deste dever, o IPAC pode consultar a CNPD para obter a informação necessária no âmbito do procedimento de acreditação.
O procedimento de acreditação pode ficar prejudicado caso tenha havido violação do RGPD e decisão sancionatória emitida pela CNPD, justificando a suspensão do procedimento, até que seja demonstrada pelo requerente a adoção das medidas necessárias à correção daquela violação.
4.1.2 - O organismo de certificação deve demonstrar que o seu contrato de certificação:
a) Exige que o requerente cumpra também os critérios de certificação aprovados pela CNPD ou pelo Comité Europeu para a Proteção de Dados (7);
b) Exige que o requerente garanta a total transparência perante a CNPD no âmbito do procedimento de certificação, em especial o acesso a informação necessária para a verificação do respeito pelo regime de proteção de dados, incluindo informação abrangida por cláusulas contratuais de confidencialidade relativas ao cumprimento do regime de proteção de dados (8);
c) Exige que o requerente garanta o acesso para efeito de realização de testemunhos e visitas de controlo por parte do IPAC;
d) Não diminui a responsabilidade do requerente no cumprimento do regime de proteção de dados pessoais e não prejudica as atribuições e os poderes da CNPD;
e) Exige que o requerente garanta ao organismo de certificação o acesso às suas atividades de tratamento e a toda a informação necessário para a tramitação e conclusão do procedimento de certificação (9);
f) Exige que o requerente observe os prazos e os procedimentos aplicáveis, designadamente os decorrentes do mecanismo de certificação;
g) Especifica as regras de validade, renovação e de retirada da certificação, incluindo a definição de intervalos adequados para a reavaliação ou revisão (10);
h) Legitima o organismo de certificação a disponibilizar à CNPD toda a informação respeitante à fundamentação da concessão da certificação, bem como a fornecer os elementos necessários ao registo público dos procedimentos de certificação pelo Comité Europeu para a Proteção de Dados (11);
i) Inclui regras sobre a investigação de reclamações, vinculando o cliente a garantir a transparência e o acesso às regras e procedimentos de gestão de reclamações (12);
j) Explicita as consequências da retirada ou suspensão da acreditação para o organismo de certificação, incluindo eventual impacto e consequências para o cliente e as medidas que podem ser subsequentemente adotadas;
k) Exige que o requerente informe, logo que disso tome conhecimento, o organismo de certificação da ocorrência de situações de incumprimento do RGPD e da demais legislação de proteção de dados aplicável, declaradas pela CNPD ou pelos Tribunais, ou de outra certificação de proteção de dados que possa afetar a certificação requerida, bem como de qualquer alteração nos produtos, processos ou serviços a que a certificação diga respeito;
l) Define os métodos de avaliação vinculativos quanto ao objeto da certificação.
4.1.3 - O organismo de certificação só pode usar certificados, marcas e selos que cumpram o disposto nos artigos 42.º e 43.º do RGPD e nas diretrizes sobre acreditação e certificação aprovadas pelo Comité Europeu para a Proteção de Dados (13).
4.2 - Gestão da imparcialidade
O organismo de certificação deve demonstrar, de modo satisfatório para a CNPD, que é independente da organização requerente da certificação, conforme exigido na alínea a) do n.º 2 do artigo 43.º do RGPD.
Em especial, deve estar em condições de demonstrar que, nem o organismo de certificação, nem as pessoas que estão autorizadas a tomar decisões ou os trabalhadores que intervêm no procedimento de certificação, têm ligações pessoais com o requerente/cliente. O organismo de certificação deve também demonstrar que não tem comparticipação no requerente/cliente nem é por ele comparticipado, nem financiado; da mesma forma, não pode integrar empresas do mesmo grupo societário do requerente/cliente.
Cabe ainda ao organismo de certificação demonstrar que não existe uma relação económica entre ele e o requerente/cliente, em particular uma relação de subcontratação de tratamentos de dados pessoais.
O organismo de certificação deve demonstrar, de modo satisfatório para a CNPD, que as suas funções e obrigações não implicam um conflito de interesses, conforme requerido na alínea e) do n.º 2 do artigo 43.º do RGPD.
Para o efeito deve criar procedimentos que permitam detetar e analisar o risco de conflito de interesses decorrentes de atividades ou relações do próprio organismo de certificação e do seu pessoal, definindo regras claras que...
Para continuar a ler
PEÇA SUA AVALIAÇÃO