Qualora si rilevi una non conformità (NC), rispetto ai requisiti di certificazione, come risultato della sorveglianza o per un qualsiasi altro motivo, l’organismo di certificazione (OdC) deve esaminare la NC e decidere le azioni appropriate, che possono consistere nel:

• mantenimento della certificazione sotto condizioni specificate dall’OdC, in primo luogo: la valutazione del rischio relativo alla NC, le azioni appropriate immediate per il contenimento degli effetti, l’analisi della causa radice e la pianificazione e applicazione delle azioni definite. L’OdC può anche prevedere provvedimenti aggiuntivi (per esempio la sorveglianza incrementata);

• sospensione della certificazione in attesa di azioni correttive da parte dell’organizzazione certificata;

• revoca della certificazione o riduzione del campo di applicazione della certificazione, quando l’organizzazione certificata non ottemperi alla pianificazione delle azioni necessarie a ripristinare la conformità dei trattamenti o non sussistano più le conformità dei trattamenti di dati personali ai criteri dello schema di certificazione dei trattamenti stessi e questi siano in essere e non siano previste le azioni necessarie e immediate conseguenti. La certificazione è quindi revocata, se del caso, dallo stesso OdC che l’ha rilasciata, qualora non siano o non siano più soddisfatti i requisiti per la certificazione.

Anche il Garante per la Protezione dei Dati Personali (GPDP) ha il potere di ingiungere a un OdC di revocare o non rilasciare una determinata certificazione, qualora non siano o non siano più soddisfatti i relativi requisiti.

Fonte: Garante Privacy