1 Gli organismi che effettuano certificazioni in materia di protezione dei dati secondo l’articolo 13 LPD (organismi di certificazione) devono essere accreditati. L’accreditamento è retto dall’ordinanza del 17 giugno 19962 sull’accreditamento e sulla designazione (OAccD), per quanto la presente ordinanza non disponga altrimenti.
2 Sono necessari due accreditamenti distinti per certificare:
- l’organizzazione e la procedura (sistemi di gestione) relative al trattamento dei dati;
- i prodotti, segnatamente i sistemi e i programmi di trattamento di dati e l’hardware, nonché i servizi e i processi relativi al trattamento dei dati.
3 Gli organismi di certificazione devono disporre di un’organizzazione e di una procedura di certificazione ben definite (programma di certificazione).
4 I requisiti minimi concernenti la qualifica del personale addetto alla certificazione sono disciplinati nell’allegato. Gli organismi di certificazione devono dimostrare di impiegare personale qualificato secondo questi criteri.