Artigo 43.. Organismos de certificação

• 1.   Sem prejuízo das atribuições e poderes da autoridade de controlo competente nos termos dos artigos 57. o e 58. o , um organismo de certificação que tenha um nível adequado de competência em matéria de proteção de dados emite e renova a certificação, após informar a autoridade de controlo para que esta possa exercer as suas competências nos termos do artigo 58. o , n. o  2, alínea h), sempre que necessário. Os Estados-Membros asseguram que estes organismos de certificação são acreditados:

• a)    Pela autoridade de controlo que é competente nos termos do artigo 55. ou 56. ;

• b)    Pelo organismo nacional de acreditação, designado nos termos do Regulamento (CE) n.  765/2008 do Parlamento Europeu e do Conselho , em conformidade com a norma EN-ISO/IEC 17065/2012 e com os requisitos adicionais estabelecidos pela autoridade de controlo que é competente nos termos do artigo 55. ou 56. .

• 2.   Os organismos de certificação referidos no n. o  1 são acreditados em conformidade com o mesmo, apenas se:

• a)    Tiverem demonstrado que gozam de independência e dispõem dos conhecimentos necessários em relação ao objeto da certificação, de forma satisfatória para a autoridade de controlo competente;

• b)    Se tiverem comprometido a respeitar os critérios referidos no artigo 42. , n.  5, e aprovados pela autoridade de controlo que é competente por força do artigo 55. ou 56. ou pelo Comité por força do artigo 63. ;

• c)    Tiverem estabelecido procedimentos para a emissão, revisão periódica e retirada de procedimentos de certificação, selos e marcas de proteção de dados;

• d)    Tiverem estabelecido procedimentos e estruturas para tratar reclamações relativas a violações da certificação ou à forma como a certificação tenha sido ou esteja a ser implementada pelo responsável pelo tratamento ou subcontratante, e para tornar estes procedimentos e estruturas transparentes para os titulares dos dados e o público; e

• e)    Demonstrarem, de forma satisfatória para a autoridade de controlo competente, que as suas funções e atribuições não implicam um conflito de interesses.

• 3.   A acreditação dos organismos de certificação referida nos n. os  1 e 2 do presente artigo, é efetuada com base nos critérios aprovados pela autoridade de controlo que é competente por força do artigo 55. o ou 56. o ou pelo Comité por força do artigo 63. o . No caso de acreditações nos termos do n. o  1, alínea b), do presente artigo, esses requisitos complementam os requisitos previstos no Regulamento (CE) n. o  765/2008 e as regras técnicas que descrevem os métodos e procedimentos dos organismos de certificação.

• 4.   Os organismos de certificação a que se refere o n. o  1 são responsáveis pela correta avaliação necessária à certificação, ou pela revogação dessa certificação, sem prejuízo da responsabilidade que cabe ao responsável pelo tratamento ou ao subcontratante pelo cumprimento do presente regulamento. A acreditação é emitida por um período máximo de cinco anos e pode ser renovada nas mesmas condições, desde que o organismo de certificação reúna os requisitos estabelecidos no presente artigo.

• 5.   Os organismos de certificação a que se refere o n. o  1 fornecem às autoridades de controlo competentes os motivos que levaram à concessão ou revogação da certificação solicitada.

• 6.   Os requisitos referidos no n. o  3 do presente artigo, e os critérios referidos no artigo 42. o , n. o  5, são publicados pela autoridade de controlo sob uma forma facilmente acessível. As autoridades de controlo também comunicam estes requisitos e estas informações ao Comité. O Comité recolhe todos os procedimentos de certificação e selos de proteção de dados aprovados num registo e disponibiliza-os ao público por todos os meios adequados.

• 7.   Sem prejuízo do capítulo VIII, a autoridade de controlo competente ou o organismo nacional de acreditação revoga uma acreditação do organismo de certificação nos termos do n. o  1 do presente artigo, se as condições para a acreditação não estiverem ou tiverem deixado de estar reunidas, ou se as medidas tomadas pelo organismo de certificação violarem o presente regulamento.

• 8.   A Comissão fica habilitada a adotar atos delegados nos termos do artigo 92. o , a fim de especificar os requisitos a ter em conta relativamente aos procedimentos de certificação em matéria de proteção de dados referidos no artigo 42. o , n. o  1.

• 9.   A Comissão pode adotar atos de execução estabelecendo normas técnicas para os procedimentos de certificação e os selos e marcas em matéria de proteção de dados, e regras para promover e reconhecer esses procedimentos de certificação, selos e marcas. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 93. o , n. o  2.