Posted inCertification / News

Conformity

Conformity to LIA Requirements according to ISO/IEC 17020:2012

1. Introduzione: l’Organismo di Ispezione come strumento di verifica
Un Organismo di Ispezione (OdI) ha il compito e la responsabilità di effettuare le valutazioni di conformità degli elementi sottoposti ad ispezione. Le valutazioni di conformità possono essere effettuate generalmente rispetto a regolamenti, a norme, a determinate specifiche tecniche, a schemi di ispezione anche propri, eventualmente integrati da specifiche richieste formalizzate nel contratto tra OdI e Cliente. In particolare si possono  basare o sulla corrispondenza delle caratteristiche dell’oggetto esaminato a determinate specifiche, o su un giudizio professionale rispetto a requisiti generali, dove per requisiti generali si intendono quei requisiti che, per variabilità e per numerosità, non possono essere inclusi in un unico documento.

Gli elementi da sottoporre possono far parte della categoria: Prodotti, intesi come il risultato di uno o più processi, Processi, intesi come insieme di attività correlate o interagenti che trasformano elementi di ingresso in elementi di uscita, Servizi, intesi come risultato di un attività necessariamente effettuata all’interfaccia tra il fornitore ed il cliente, che è generalmente intangibile (Rif. ACCREDIA).

L’OdI deve sempre garantire il possesso della competenza e del know how necessari per svolgere il suo compito ispettivo. Premesso che tutte le ispezioni debbano essere svolte con imparzialità, gli organismi  di ispezione si possono distinguere in tre tipi, in base alla loro indipendenza organizzativa : Tipo A: l’organismo di ispezione che svolge esclusivamente attività di valutazione della conformità ed è pertanto organismo di terza parte; Tipo B: l’organismo di ispezione è una è una parte separata e identificabile di un’organizzazione, e opera solamente per questa organizzazione madre. Tipo C: l’organismo di ispezione è una parte identificabile, ma non necessariamente separata, di un’organizzazione, e può svolgere attività sia per l’organizzazione madre, sia per altre organizzazioni.
Per comprendere le differenze tra ispezione e certificazione, si rimanda all’articolo di ACCREDIA in allegato.

2. L’Organismo di Ispezione che verifica i requisiti della LIA
L’Organismo di Ispezione individuato per verificare i requisiti della LIA è di tipo A ed opera secondo lo standard ISO/IEC 17020:2012. Tale standard specifica i requisiti per la competenza degli organismi che effettuano l’ispezione e per l’imparzialità e la coerenza delle loro attività di ispezione. A titolo esemplificativo si riportano di seguito alcuni requisiti essenziali degli OdI: 1) predisporre un Sistema di Gestione della Qualità; 2) individuare le varie figure coinvolte e definire un organigramma interno; 3) predisporre un Regolamento delle attività ispettive.

2.1. Indipendenza e imparzialità
Le verifiche sono effettuate fornendo Servizi di “terza parte” e rispettando criteri oggettivi di indipendenza e di imparzialità sia tecnica che economica, e quanto altro connesso con tali Servizi. L’OdI ed il suo personale non sono impegnati in attività che possono entrare in conflitto con l’indipendenza di giudizio e con l’integrità professionale in relazione alle loro attività di ispezione. In particolare, essi non sono direttamente coinvolti nelle fasi di progetto, fabbricazione, fornitura, installazione, utilizzo e manutenzione dei Prodotti sottoposti ad ispezione. Il personale dell’OdI non può essere impegnato in altre attività, anche al di fuori dell’OdI, che possano influenzare la sua obiettività ovvero in attività che possano creare conflitti di interesse per le ispezioni.

2.2. Riservatezza e diritto di proprietà
L’OdI assicura la riservatezza delle informazioni ottenute nel corso delle proprie attività di ispezione in ottemperanza al Regolamento Europeo sulla Protezione dei Dati (GDPR) e al Codice della privacy italiano (Decreto Legislativo 30 giugno 2003 n.196 e s.m.i.).
Il Cliente rimane il proprietario degli impianti e dei documenti forniti dallo stesso per l’effettuazione dell’ispezione, compresa la proprietà intellettuale. I documenti forniti dal Cliente mantengono l’identificazione fatta dallo stesso, alla quale è aggiunta l’identificazione interna con il numero di pratica, o come allegati specifici riportati nel Rapporto di Ispezione. Tutto il personale dell’OdI è tenuto alla riservatezza delle informazioni ottenute nel corso delle attività di ispezione ed è tenuto alla tutela dei diritti di proprietà.

3. Step operativi dell’Ispezione (versione del 6 ottobre 2021 – in vigore)
In accordo al Sistema di Gestione della Qualità dell’OdI individuato, a seguito di una esplicita richiesta del Cliente che dovrà pervenire via email/pec, il primo step è rappresentato dall’individuazione del Prodotto da ispezionare e da indicare nell’apposito Modulo 14-01 che il Cliente riceverà, da compilare e rinviare all’OdI. Assieme al Modulo sarà inviato il “Regolamento per la gestione delle attività di Ispezione” ed il “Tariffario delle attività di Ispezione” i cui valori economici sono ispirati esattamente al tariffario applicato dall’ente Accredia.

Una volta che l’OdI riceverà il Modulo 14-01 compilato e firmato, a seguire sarà formulato un relativo “Piano di ispezione e controllo” i cui valori saranno inseriti nell’offerta tecnico-economica che il Cliente riceverà relativamente al servizio richiesto. Se il Cliente accettata l’offerta, seguirà poi la stipula del contratto con l’OdI per il servizio richiesto.

A valle della stipula del contratto, il Cliente dovrà inviare la documentazione di Prodotto richiesta, che sarà oggetto della prima fase di ispezione. La seconda fase dell’ispezione del Prodotto potrà essere effettuata anche presso la sua sede seguendo la check list della metodologia della LIA e andrà a esaminare lo stato attuale del Prodotto sotto i 4 profili di Security, Privacy, ETSI Standards e Leggi Nazionali. E’ utile precisare che qualunque integrazione alla documentazione già inviata all’OdI, in forma di approfondimento o dichiarazione che si renda necessaria durante la fase ispettiva, deve essere prodotta per iscritto, datata e firmata. Tutte le evidenze oggettive sono inserite nel Rapporto di Ispezione.

In assenza di “non conformità” l’esito dell’ispezione è considerato positivo e quindi potrà essere emesso un Certificato di Conformità da esporre su ogni campione di Prodotto. Considerando lo specifico e delicato ambito in cui il Prodotto opererà, il periodo di validità del Certificato di Conformità è di 1 anno se la Versione del Prodotto non cambia. Se la Versione cambia allora occorre richiedere un nuovo servizio di ispezione, se invece la Versione non cambia allora la nuova ispezione è focalizzata alla verifica del mantenimento della conformità già rilevata ed avrà una durata temporale inferiore.

Nota: allo stato attuale l’OdI è in fase di valutazione da parte di ACCREDIA per accertare che lavori secondo la ISO 17020:2012 per l’ambito Volontario. L’OdI si impegna ad avvisare il Cliente ed a rivedere le valutazioni già effettuate senza ulteriori costi, adattandole alle prescrizioni che eventualmente riceverà.


Clicca qui per approfondire la LIA Certification: https://www.lawfulinterceptionacademy.eu/lia-requirements/