1 L’IFPDT informa l’organismo di certificazione se constata gravi lacune presso un fornitore di programmi o sistemi di trattamento di dati personali, un titolare del trattamento o un responsabile del trattamento certificati.
2 L’organismo di certificazione invita senza indugio il fornitore di programmi o sistemi di trattamento di dati personali, il titolare del trattamento o il responsabile del trattamento certificati a eliminare la lacuna riscontrata entro 30 giorni dalla ricezione della comunicazione dell’IFPDT.
3 Se la lacuna non è eliminata entro 30 giorni, l’organismo di certificazione sospende la certificazione. La certificazione va revocata se appare improbabile che venga a crearsi o venga ripristinata una situazione conforme al diritto entro un periodo di tempo ragionevole.
4 Se la lacuna non è eliminata entro il termine previsto dal capoverso 2 e l’organismo di certificazione non ha sospeso o revocato la certificazione, l’IFPDT ordina una misura ai sensi dell’articolo 51 capoverso 1 LPD. Segnatamente, può ordinare la sospensione o la revoca della certificazione. Se indirizza l’ordine all’organismo di certificazione, ne informa il SAS.
