Regulamento n.º 834/2021
| Data de publicação | 06 Setembro 2021 |
| Número da edição | 173 |
| Seção | Serie II |
| Órgão | Comissão Nacional de Proteção de Dados |
N.º 173 6 de setembro de 2021 Pág. 15
Diário da República, 2.ª série
PARTE B
COMISSÃO NACIONAL DE PROTEÇÃO DE DADOS
Regulamento n.º 834/2021
Sumário: Requisitos adicionais de acreditação para os organismos de certificação.
De acordo com a alínea p) do n.º 1 do artigo 57.º, bem como a alínea b) do n.º 1 do artigo 43.º
e o n.º 3 do artigo 43.º, do Regulamento Geral sobre a Proteção de Dados (1), doravante referido
como RGPD, compete à Comissão Nacional de Proteção de Dados (CNPD) fixar os requisitos
adicionais de acreditação face à ISO/IEC 17065/2012.
Ao abrigo do disposto na alínea e) do n.º 1 do artigo 6.º da Lei n.º 58/2019, de 8 de agosto (2),
a CNPD, enquanto autoridade nacional de controlo de proteção de dados, e o Instituto Português
de Acreditação, I. P. (IPAC), enquanto organismo nacional de acreditação, estabeleceram através
de protocolo os termos de cooperação e articulação entre as duas instituições no âmbito dos pro-
cedimentos de acreditação (3).
O presente regulamento define os requisitos adicionais de acreditação, apresentados, na sua
estrutura e numeração, em conformidade com as secções correspondentes da ISO/IEC 17065/2012.
Deste modo, especifica -se em cada ponto ou secção os requisitos relativos à proteção dos dados
pessoais, assinalando -se ainda as situações em que não se impõem requisitos adicionais aos
definidos na ISO/IEC 17065/2012.
Na elaboração dos requisitos adicionais de acreditação foram tidas em conta as diretrizes do
Comité Europeu para a Proteção de Dados quanto à implementação da acreditação e da certificação
do tratamento de dados pessoais (4).
Não se realizou consulta pública, porquanto o presente regulamento reflete, no essencial, as
diretrizes aprovadas pelo Comité Europeu para a Proteção de Dados sobre esta matéria, as quais
foram já objeto de consulta pública, e a cujo teor, assim como ao parecer emitido pelo mesmo
Comité sobre o projeto de regulamento, a CNPD está legalmente vinculada.
Os requisitos adicionais de acreditação são vinculativos, podendo ser objeto de revisão e
atualização quando tal se revelar necessário.
Assim, ao abrigo do disposto na alínea b) do n.º 1 do artigo 43.º, no n.º 3 do artigo 43.º e na
alínea p) do n.º 1 do artigo 57.º do RGPD, a CNPD determina os seguintes requisitos adicionais
de acreditação em relação à ISO/IEC 17065/2012:
1 — Objetivo e âmbito de aplicação
O âmbito de aplicação da ISO/IEC 17065/2012 (doravante, ISO/IEC 17065), que cobre pro-
dutos, processos e serviços, é mais lato do que o âmbito da certificação regulada pelo RGPD, pelo
que, para o efeito de aplicação do presente regulamento, a ISO/IEC 17065 deve ser aplicada em
conformidade com aquele.
A certificação ao abrigo do RGPD tem de abranger o tratamento de dados pessoais, só sendo
aplicável às operações de tratamentos de dados realizadas pelos responsáveis e pelos subcontra-
tantes, de acordo com o n.º 1 do artigo 42.º do RGPD.
2 — Referências normativas
O presente regulamento tem como referências normativas os seguintes atos jurídicos:
RGPD;
Lei n.º 58/2019, de 8 de agosto;
DRC001 (Regulamento Geral de Acreditação), publicado pelo IPAC, e documentos nele re-
ferenciados.
O RGPD prevalece sobre a ISO/IEC 17065. Sempre que, nos requisitos adicionais ou no pro-
cedimento de certificação, se faça referência aos requisitos da ISO/IEC 17065, devem os mesmos
ser interpretados em conformidade com o RGPD.
Para continuar a ler
PEÇA SUA AVALIAÇÃO