REGULAMENTO DELEGADO (UE) 2024/436 DA COMISSÃO

de 20 de outubro de 2023

que completa o Regulamento (UE) 2022/2065 do Parlamento Europeu e do Conselho estabelecendo regras relativas à realização de auditorias das plataformas em linha de muito grande dimensão e dos motores de pesquisa em linha de muito grande dimensão

A COMISSÃO EUROPEIA,

Tendo em conta o Tratado sobre o Funcionamento da União Europeia,

Tendo em conta o Regulamento (UE) 2022/2065 do Parlamento Europeu e do Conselho, de 19 de outubro de 2022, relativo a um mercado único para os serviços digitais e que altera a Diretiva 2000/31/CE (Regulamento dos Serviços Digitais) (1), nomeadamente o artigo 37.o, n.o 7,

Considerando o seguinte:

(1)

As auditorias independentes são um instrumento importante para a supervisão do cumprimento, por parte dos fornecedores de plataformas em linha de muito grande dimensão e de motores de pesquisa em linha de muito grande dimensão, das obrigações que lhes incumbem por força do Regulamento (UE) 2022/2065. Embora o referido regulamento preveja outros instrumentos de responsabilização, em especial por meio do controlo público reforçado dos relatórios de transparência e outros requisitos de divulgação de dados, as organizações de auditoria independentes desempenham, desde cedo, um papel especial na avaliação da conformidade dos fornecedores com o referido regulamento. As conclusões e constatações de tais auditorias independentes e as suas recomendações podem contribuir de forma significativa para a supervisão regulamentar. Ao mesmo tempo, as auditorias independentes constituem uma das várias fontes de informação e análise que os reguladores podem utilizar no âmbito das suas funções de supervisão e controlo.

(2)

A fim de assegurar uma realização eficaz, eficiente, atempada e comparável das auditorias independentes a partir da data de aplicação do Regulamento (UE) 2022/2065, definida nos artigos 92.o e 93.o do referido regulamento, é conveniente que a Comissão estabeleça regras sobre a realização das auditorias, em especial no que diz respeito às obrigações jurídicas dos fornecedores auditados e às etapas processuais destinadas a assegurar que as organizações que realizam auditorias cumprem as condições de independência, inexistência de conflitos de interesses, experiência e ética profissional previstas no artigo 37.o, n.o 3, do Regulamento (UE) 2022/2065.

(3)

A fim de facilitar a realização adequada de auditorias com um elevado nível de especialização e prevenir consequências indesejadas no mercado dos serviços de auditoria, importa clarificar que as auditorias conduzidas em conformidade com o artigo 37.o do Regulamento (UE) 2022/2065 podem ser realizadas por vários auditores. Sempre que necessário, por exemplo por necessidade de conhecimentos especializados específicos para a auditoria de determinadas obrigações ou compromissos, como os relacionados com a conceção e o funcionamento de sistemas algorítmicos, a compreensão dos riscos para os direitos fundamentais ou a propagação de conteúdos ilegais, o fornecedor auditado pode celebrar contratos com diferentes organizações de auditoria, ou um consórcio de organizações, para realizar a auditoria. As organizações de auditoria podem igualmente subcontratar os conhecimentos especializados necessários, desde que tanto a organização de auditoria como os subcontratantes cumpram as condições necessárias em matéria de independência, inexistência de conflitos de interesses, objetividade e ética profissional comprovadas e cumpram conjuntamente as condições relativas à competência técnica. Nesses casos, o fornecedor auditado deve continuar a assegurar que o seu cumprimento de todas as obrigações e compromissos referidos no artigo 37.o, n.o 1, do Regulamento (UE) 2022/2065 é auditado pelo menos uma vez por ano.

(4)

É importante que os pareceres de auditoria referidos no artigo 37.o, n.o 4, alínea g), do Regulamento (UE) 2022/2065 sejam formulados pelas organizações de auditoria com um nível razoável de garantia. Para alcançar um nível razoável de garantia, a organização de auditoria deve ter um nível de confiança elevado, ainda que não absoluto, de que não ficou por detetar na auditoria nenhuma distorção, como omissões, deturpações ou erros. A fim de assegurar esse nível de garantia, a organização de auditoria deve, nomeadamente, obter suficientes elementos de prova e utilizar metodologias de auditoria adequadas na sua avaliação.

(5)

Nos termos do artigo 37.o, n.o 1, do Regulamento (UE) 2022/2065, as auditorias independentes devem realizar-se, no mínimo, uma vez por ano, alinhando-se pelo ciclo anual de avaliações dos riscos referido no artigo 34.o do mesmo regulamento. No entanto, podem ser necessárias auditorias mais frequentes em certos casos. É importante que a sequência das auditorias assegure a continuidade da supervisão da conformidade dos fornecedores auditados com o Regulamento (UE) 2022/2065 e os códigos de conduta e protocolos de crise pertinentes. O fornecedor auditado deve assegurar que o período de referência de uma determinada auditoria que avalie o cumprimento das obrigações e compromissos auditados complementa o período abrangido pela anterior auditoria do cumprimento, por parte do fornecedor, das mesmas obrigações e compromissos e tem início, o mais tardar, quando o período abrangido pela auditoria anterior tiver terminado. Uma vez que a conclusão de uma auditoria inclui tanto a avaliação efetuada pela organização de auditoria como a elaboração de um relatório de auditoria, os fornecedores auditados devem assegurar que a duração da auditoria permite a conclusão de auditorias pelo menos uma vez por ano e que a apresentação dos relatórios de auditoria à Comissão e ao coordenador dos serviços digitais se segue sem demora injustificada, nos termos do artigo 42.o, n.o 4, do Regulamento (UE) 2022/2065.

(6)

Embora não devam, em circunstância alguma, interferir com a realização da auditoria e as suas conclusões, os fornecedores auditados devem cumprir as obrigações que lhes incumbem por força do artigo 37.o do Regulamento (UE) 2022/2065, nomeadamente acordando condições contratuais com a organização de auditoria e verificando, antes de selecionarem uma organização de auditoria, se esta preenche as condições estabelecidas no artigo 37.o, n.o 3, do Regulamento (UE) 2022/2065.

(7)

O fornecedor auditado deve, por exemplo, analisar os contratos que celebrou anteriormente com a organização de auditoria ou os contratos celebrados entre a organização de auditoria e as pessoas coletivas ligadas ao fornecedor auditado. O fornecedor auditado deve também incluir cláusulas nos contratos celebrados com as organizações de auditoria destinadas a garantir o respeito das condições estabelecidas no artigo 37.o, n.o 3, do Regulamento (UE) 2022/2065. Se a organização de auditoria for composta por várias entidades, o fornecedor auditado deve confirmar se todas as entidades cumprem as referidas condições, incluindo, se for caso disso, os eventuais subcontratantes contratados pela organização de auditoria para apoiar, seja de que forma for, a realização da auditoria. Se cada entidade que realize a auditoria deve cumprir individualmente os requisitos de independência e os requisitos relativos à inexistência de conflitos de interesses, os requisitos relativos à competência, conhecimentos especializados ou recursos técnicos devem ser cumpridos conjuntamente pelas entidades, permitindo assim que diferentes entidades realizem diferentes partes da auditoria e contribuam com as capacidades, competências e conhecimentos especializados necessários para a realização da mesma. O relatório de auditoria deve especificar a responsabilidade de cada uma das entidades pelas respetivas partes da auditoria.

(8)

Nos termos do artigo 37.o, n.o 3, alínea a), subalínea i), do Regulamento (UE) 2022/2065, ao verificar se uma organização de auditoria cumpre os requisitos de independência e de inexistência de conflitos de interesses, o fornecedor auditado deve prestar especial atenção por forma a evitar que a organização de auditoria lhe preste serviços que não sejam de auditoria. É conveniente que o fornecedor auditado analise, por exemplo, se foram prestados serviços, como os relacionados com qualquer sistema, software ou processo implicados em questões pertinentes para a obrigação ou compromisso auditado, nomeadamente serviços de consultoria para avaliações do desempenho, da governação e do software, serviços de formação, desenvolvimento ou manutenção de sistemas ou subcontratação da moderação de conteúdos. Esses serviços abrangem igualmente os serviços prestados ao fornecedor auditado que consistam em consultoria ou desenvolvimento de controlos internos ou na avaliação, para fins internos, da conformidade do fornecedor auditado com o Regulamento (UE) 2022/2065 ou os códigos de conduta e protocolos de crise, incluindo quando tal se limite a testes pontuais, como os testes realizados por terceiros ao desempenho de sistemas de moderação de conteúdos. Tal não deve excluir as organizações de auditoria que tenham realizado auditorias financeiras oficiais.

(9)

Atendendo à complexidade e natureza específica das auditorias de conformidade no âmbito do Regulamento (UE) 2022/2065, os conhecimentos especializados da organização de auditoria na matéria são fundamentais para a realização de auditorias com um nível razoável de garantia e para o juízo profissional e o espírito crítico que lhe permitem saber, por exemplo, de que informações necessita para executar os procedimentos de auditoria ou questionar informações contraditórias. Por conseguinte, o fornecedor auditado deve verificar se a organização de auditoria disponibiliza tais conhecimentos especializados, nomeadamente no domínio da gestão de riscos, tanto no que diz respeito aos riscos de auditoria como ao objeto do Regulamento (UE) 2022/2065 e, em especial, aos riscos sociais sistémicos referidos no artigo 34.o do mesmo regulamento. Além disso, o fornecedor auditado deve verificar as competências e capacidades técnicas da organização de auditoria tendo em conta o serviço auditado específico, incluindo os seus conhecimentos especializados na matéria, por exemplo, no que diz respeito ao funcionamento e aos efeitos de sistemas algorítmicos, como sistemas de recomendação e outros sistemas sociotécnicos mantidos pelo fornecedor. Importa que a organização de auditoria tenha a possibilidade de subcontratar ou adquirir (de outro modo) e utilizar os conhecimentos especializados e capacidades necessários, devendo o fornecedor auditado verificar e assegurar que a organização de auditoria está em condições de os obter a tempo da realização da auditoria.

(10)

Ao verificar se as organizações de auditoria cumprem as condições estabelecidas no artigo 37.o, n.o 3, do Regulamento (UE) 2022/2065, o fornecedor auditado deve avaliar os elementos de prova pertinentes, incluindo, se for caso disso, as certificações, declarações e relatórios de auditoria emitidos pela organização de auditoria. Os conhecimentos especializados adequados poderão ser comprovados, por exemplo, pela experiência prática de avaliação e gestão de riscos, bem como por atividades académicas, publicações científicas e experiência em auditorias pertinentes. Os relatórios de auditoria devem conter todos os documentos comprovativos pertinentes que atestem que a organização de auditoria preenche as condições necessárias.

(11)

Nos termos do artigo 37.o, n.o 2, do Regulamento (UE) 2022/2065, o fornecedor auditado deve assegurar toda a cooperação e assistência necessárias para que a organização de auditoria realize a auditoria de forma eficaz, eficiente e atempada, bem como abster-se de interferir, seja de que forma for, nas decisões independentes da organização de auditoria. Por exemplo, o fornecedor auditado não deve, mediante qualquer tipo de limitações ou incentivos contratuais ou de outra natureza, impor, dar orientações ou influenciar de outra forma a organização de auditoria na sua escolha e execução de procedimentos de auditoria, metodologias, recolha e tratamento das informações e elementos de prova da auditoria, análises, testes, pareceres de auditoria ou elaboração de conclusões da auditoria.

(12)

A fim de garantir a cooperação e a assistência necessárias durante a auditoria, o fornecedor auditado deve assegurar que a organização de auditoria tem acesso a todas as informações necessárias para a realização da mesma. O fornecedor auditado deve enviar, tão cedo quanto possível e, em todo o caso, antes de a organização de auditoria dar início aos procedimentos de auditoria, todos os documentos e explicações necessários. Por exemplo, nos termos do artigo 41.o, n.o 3, alíneas d) e e), do Regulamento (UE) 2022/2065, a função de verificação da conformidade do fornecedor auditado consiste em controlar o cumprimento de todas as obrigações e compromissos auditados, o que deve resultar na criação de controlos internos. A organização de auditoria deve, por conseguinte, ter acesso a todas as informações relacionadas com esses controlos, bem como a quaisquer outras informações que descrevam a estratégia do fornecedor auditado para garantir a conformidade. Em particular, o fornecedor auditado deve disponibilizar à organização de auditoria os critérios de referência em que se baseia para assegurar o cumprimento do Regulamento (UE) 2022/2065, de modo que a organização de auditoria possa fundar os critérios de auditoria nessas informações. Além disso, a organização de auditoria deve ter acesso a qualquer análise dos riscos inerentes e dos riscos de controlo que o fornecedor auditado tenha realizado. O fornecedor deve disponibilizar à organização de auditoria informações que facilitem a compreensão do serviço auditado, da sua governação, das competências das respetivas equipas e das estruturas de tomada de decisão, incluindo a sua função de verificação da conformidade, bem como uma apresentação dos seus sistemas informáticos (TI), das estruturas de dados e de registos e da interação entre os diferentes sistemas algorítmicos relevantes para a auditoria.

(13)

Importa que a organização de auditoria possa solicitar, a qualquer momento durante a realização da auditoria, quaisquer outras informações necessárias. O acesso a essas informações deve ser concedido sem demora injustificada, de uma forma que não prejudique de modo algum a realização da auditoria. Tal deve incluir o acesso a dados, incluindo dados pessoais, recolhidos a partir de várias fontes, como documentos, sistemas algorítmicos, bases de dados ou entrevistas, consoante o caso. O fornecedor auditado deve também conceder à organização de auditoria acesso a procedimentos, a processos e a sistemas informáticos, como os sistemas algorítmicos e de informação, incluindo ambientes de teste. A fim de permitir que a organização de auditoria inspecione os sistemas de forma significativa, o fornecedor auditado deve disponibilizar todos os recursos necessários para ajudar a referida organização a aceder e avaliar os sistemas, nomeadamente disponibilizando o seu pessoal competente para responder a perguntas ou operar os ambientes de teste e explicar como funcionam, ou facilitar qualquer outro acesso necessário ao pessoal e às instalações, designadamente edifícios. O acesso a procedimentos e processos pode implicar, por exemplo, o acesso a descrições ou documentos relativos ao processo interno de decisão do fornecedor auditado. O acesso às informações pertinentes também pode implicar a tomada, por parte do fornecedor auditado, de outras medidas acessórias, a fim de cumprir a obrigação de cooperação e assistência que lhe incumbe. Por exemplo, o fornecedor auditado poderá ter de disponibilizar instalações seguras para realizar as entrevistas com o pessoal. Sempre que tal seja necessário para a realização da auditoria, os fornecedores auditados devem cumprir a obrigação de cooperação e assistência para com a organização de auditoria, nomeadamente facilitando o acesso a dados relevantes relacionados com as suas operações que se encontrem na posse de contratantes terceiros. Tal pode ser o caso, por exemplo, dos resultados de ações de moderação de conteúdos, do material de formação ou das orientações utilizados por contratantes terceiros que moderam conteúdos, ou por fornecedores e prestadores de serviços para soluções informáticas, nomeadamente algoritmos e aplicações utilizados em sistemas de recomendação ou sistemas de publicidade utilizados pelo fornecedor auditado.

(14)

A fim de facilitar uma transparência significativa das constatações da auditoria e disponibilizar um formato abrangente e comparável dos relatórios de auditoria a que se refere o artigo 37.o, n.o 4, do Regulamento (UE) 2022/2065 e dos relatórios de execução da auditoria a que se refere o artigo 37.o, n.o 6, do mesmo regulamento, importa que o presente regulamento estabeleça modelos para esses relatórios e exija uma série de anexos para cada um deles. Embora exijam uma comunicação exaustiva de informações, os modelos estabelecidos no presente regulamento não devem afetar os requisitos relativos à publicação de relatórios previstos no artigo 42.o, n.os 4 e 5, do Regulamento (UE) 2022/2065.

(15)

A fim de assegurar que a organização de auditoria recebe toda a assistência necessária do fornecedor auditado, sem interferência na realização da auditoria, que satisfaz todas as condições para a preparação da auditoria e apresenta o relatório de auditoria em tempo útil e com a qualidade necessária para alcançar um nível razoável de garantia, é importante que determinadas regras especifiquem os procedimentos para a preparação da auditoria. Os deveres e responsabilidades do fornecedor auditado e da organização de auditoria, incluindo todos os subcontratantes ou organizações parceiras e o pessoal responsável pela realização da auditoria, devem ser estabelecidos num acordo escrito, incluindo por meio de cláusulas contratuais. O acordo escrito deve igualmente especificar as obrigações e compromissos auditados, a afetação de recursos e as regras de interação e pontos de contacto entre a organização de auditoria e o fornecedor auditado. Todos os documentos comprovativos e contratos devem ser anexados ao relatório de auditoria, incluindo quando os documentos assumem a forma de uma carta de compromisso de auditoria ou de outras condições contratuais.

(16)

A fim de proporcionar uma panorâmica abrangente e facilitar a responsabilização dos fornecedores auditados, o relatório de auditoria deve incluir uma conclusão da avaliação da organização de auditoria sobre o cumprimento, por parte do fornecedor auditado, de cada obrigação ou compromisso auditado. Cada conclusão de auditoria deve assentar num nível razoável de garantia e deve ser «positiva», «positiva com observações» ou «negativa», a fim de fundamentar adequadamente o parecer de auditoria. As conclusões «positivas com observações» não devem dizer respeito à própria avaliação do cumprimento. Tais observações podem dizer respeito, por exemplo, à comunicação de informações pelo fornecedor a pedido da organização de auditoria ou a melhorias na manutenção ou nos controlos efetuados pelo fornecedor auditado, ou registar outros planos de atenuação e melhorias que o fornecedor tencione introduzir. Em todo o caso, sempre que a organização de auditoria considere que o fornecedor auditado cumpre uma obrigação ou compromisso auditado de acordo com os critérios de referência por ele comunicados, mas entender que é necessário incluir observações sobre esses critérios, a conclusão da auditoria deve ser «positiva com observações», uma vez que essas observações podem facultar ao fornecedor informações úteis sobre possibilidades de eventuais alterações dos seus critérios de referência, com base nos conhecimentos e competências especializados da organização de auditoria, bem como em informações de fontes externas. Por exemplo, as observações podem basear-se em orientações da Comissão, formuladas, nomeadamente, através das diretrizes da Comissão a que se refere o artigo 35.o, n.o 3, do Regulamento (UE) 2022/2065, e em quaisquer outras diretrizes pertinentes emitidas pela Comissão no que diz respeito à aplicação desse regulamento, nos relatórios do Comité Europeu dos Serviços Digitais a que se refere o artigo 35.o, n.o 2, do mesmo regulamento, em medidas de execução, nas decisões tomadas pela Comissão nos termos desse regulamento, na jurisprudência pertinente, em especial do Tribunal de Justiça da União Europeia, em consultas públicas ou em fontes fidedignas pertinentes.

(17)

A fim de permitir o controlo público e a supervisão regulamentar, sempre que uma conclusão de auditoria seja «negativa», mas se aplique apenas a um período limitado, e a organização de auditoria considere que o fornecedor auditado cumpriu a obrigação ou o compromisso durante o período auditado remanescente, é necessário que tal se reflita no relatório de auditoria relativo à obrigação ou compromisso em causa. O relatório deve incluir as observações da organização de auditoria sobre quaisquer informações que lhe tenham sido disponibilizadas pelo fornecedor auditado no que diz respeito aos planos de atenuação em vigor ou previstos para corrigir situações de não conformidade.

(18)

Tendo em conta a natureza diversa das obrigações jurídicas estabelecidas no capítulo III do Regulamento (UE) 2022/2065 e dos compromissos voluntários assumidos no âmbito dos códigos de conduta e protocolos de crise em conformidade com os artigos 45.o, 46.o e 48.o do mesmo regulamento, importa que a organização de auditoria emita pareceres de auditoria sobre a conformidade com o referido capítulo e com cada código e protocolo.

(19)

Para que a auditoria se realize com um nível razoável de garantia e se concebam procedimentos de auditoria adequados de acordo com metodologias que reduzam o risco de auditoria para um nível baixo, uma das partes essenciais da metodologia para a realização da auditoria deve consistir na estimativa dos riscos de auditoria, ou seja, o risco de a organização de auditoria emitir um parecer ou conclusão de auditoria inadequado. Por conseguinte, a organização de auditoria deve avaliar o risco de auditoria logo no início da mesma, antes de conceber a metodologia exata e de executar os procedimentos de auditoria. A análise do risco de auditoria é necessária para que a organização de auditoria possa selecionar as metodologias precisas para a auditoria e determinar a exaustividade dos procedimentos de auditoria, a fim de atingir um nível razoável de garantia do parecer de auditoria. A organização de auditoria deve realizar a análise do risco de auditoria no âmbito da avaliação do cumprimento de cada obrigação ou compromisso auditado, tendo em conta os riscos inerentes, os riscos de controlo e os riscos de deteção.

(20)

A fim de avaliar corretamente os riscos de auditoria, a análise do risco de auditoria deve ter em conta a natureza do serviço auditado, nomeadamente o seu perfil de risco, bem como o âmbito e a complexidade da auditoria. Por exemplo, é provável que as plataformas em linha que permitem a celebração de contratos à distância entre consumidores tenham riscos inerentes diferentes dos das plataformas de partilha de vídeos ou dos motores de pesquisa. Além disso, há que ter em conta o contexto social e económico da prestação do serviço auditado, por exemplo, no que diz respeito a grupos de utilizadores típicos, como os menores, ou comportamentos frequentes, como uma elevada incidência de utilização não autêntica e comportamentos coordenados em campanhas de desinformação. O contexto social e económico a ter em conta deve abranger também a probabilidade e, de forma independente, a gravidade da exposição a situações de crise e acontecimentos imprevistos, tal como referido no Regulamento (UE) 2022/2065.

(21)

A fim de assegurar que a análise do risco de auditoria reflete a evolução dos riscos a que o serviço está sujeito, esta análise deve igualmente basear-se em informações de auditorias anteriores de que o fornecedor auditado tenha sido objeto, se for caso disso, e em informações provenientes de fontes como os relatórios de auditoria de outros fornecedores com um perfil de risco semelhante. Para garantir que a análise do risco de auditoria se funda totalmente nos dados mais avançados sobre os riscos em contextos semelhantes àqueles em que o fornecedor auditado desenvolve a sua atividade e em fontes fidedignas com relevância direta para a aplicação do Regulamento (UE) 2022/2065, a análise deve basear-se igualmente em informações provenientes de relatórios publicados pelo Comité Europeu dos Serviços Digitais ou em diretrizes da Comissão, se for caso disso. Entre as outras informações podem igualmente incluir-se as informações provenientes de relatórios de auditoria publicados nos termos do artigo 42.o, n.o 4, do Regulamento (UE) 2022/2065 por outros fornecedores de plataformas em linha de muito grande dimensão ou de motores de pesquisa em linha de muito grande dimensão.

(22)

A organização de auditoria deve elaborar, sem influência do fornecedor auditado, as metodologias de auditoria utilizadas para avaliar o cumprimento das obrigações e compromissos auditados. Os critérios de auditoria devem basear-se nas informações apresentadas pelo fornecedor auditado no que respeita aos critérios de referência por este utilizados para controlar a conformidade. A metodologia pode também ter em conta outras informações disponibilizadas pelo fornecedor auditado, como a análise dos riscos inerentes, caso o fornecedor auditado a tenha efetuado, por exemplo por meio de medidas desenvolvidas pelo responsável pela conformidade ou pelo órgão de administração, nos termos do artigo 41.o do Regulamento (UE) 2022/2065 ou de outras medidas integradas no funcionamento do serviço para as avaliações dos riscos sistémicos a que se refere o artigo 34.o do mesmo regulamento.

(23)

A fim de assegurar que as metodologias de auditoria são adequadas para alcançar um nível razoável de garantia dos pareceres de auditoria, a escolha da metodologia dos procedimentos de auditoria deve ter em conta as especificidades da obrigação ou compromisso auditado e deve ser adaptada, por exemplo, à natureza da obrigação auditada enquanto obrigação de meios ou obrigação de resultados que o fornecedor deve alcançar para estar conforme. Por exemplo, os procedimentos de auditoria destinados a avaliar o cumprimento da apresentação de relatórios de transparência em conformidade com o artigo 15.o do Regulamento (UE) 2022/2065 poderão permitir à organização de auditoria concluir se os relatórios foram publicados dentro dos prazos e nos formatos exigidos no referido regulamento, bem como se estavam completos e se os dados comunicados eram exatos, representativos e estavam devidamente repartidos, nomeadamente por categoria de conteúdos ilegais contra os quais se tenha atuado.

(24)

A escolha da metodologia deve também depender do facto de a avaliação da conformidade exigir ou não interpretações contextuais da organização de auditoria. A seleção de metodologias também deve ser adaptada aos riscos inerentes às atividades realizadas na prestação do serviço e ao contexto em que o serviço é prestado, por exemplo, se o serviço implica a venda de bens suscetíveis de serem ilegais ou se é principalmente utilizado por menores. Por exemplo, as metodologias destinadas a avaliar o cumprimento das obrigações de adotar medidas adequadas e proporcionadas para assegurar um nível elevado de privacidade, proteção e segurança dos menores em conformidade com o artigo 28.o, n.o 1, do Regulamento (UE) 2022/2065 devem permitir que a organização de auditoria compreenda suficientemente a forma como o serviço auditado é utilizado por menores e os potenciais riscos para a sua privacidade, proteção e segurança, bem como o que constitui uma medida adequada e proporcionada no contexto específico do serviço auditado e da sua utilização por menores. Para o efeito, as organizações de auditoria devem dividir a avaliação em fases adequadas. Devem avaliar os riscos de auditoria de acordo com o perfil de risco do fornecedor auditado, nomeadamente se o serviço prestado está disponível ou é utilizado predominantemente por menores. Devem avaliar, por exemplo, se o fornecedor auditado criou ferramentas que permitam garantir a idade, se estas são eficazes e de que forma avalia e controla a sua eficácia. Devem avaliar se o fornecedor auditado adotou medidas adequadas para detetar a utilização incongruente do seu serviço e padrões comportamentais que procurem prejudicar ou sejam suscetíveis de prejudicar menores.

(25)

A seleção de metodologias deve ser adaptada aos riscos de controlo associados às medidas de conformidade adotadas pelo fornecedor auditado, bem como aos riscos de deteção, ou seja, o risco de não se detetarem distorções nas informações que o fornecedor disponibiliza à organização de auditoria. Por exemplo, sempre que uma obrigação auditada seja suscetível de envolver a auditoria de um sistema algorítmico baseado na personalização para os destinatários individuais do serviço auditado e em atualizações recorrentes do sistema algorítmico, como as obrigações de divulgação que incidem sobre os sistemas de recomendação nos termos do artigo 27.o do Regulamento (UE) 2022/2065, a escolha da metodologia deve permitir que a organização de auditoria conceba os testes adequados para minimizar os riscos de deteção. Do mesmo modo, quando a organização de auditoria procura avaliar se foram atenuados todos os riscos pertinentes ligados à conceção, ao funcionamento e à utilização de aplicações baseadas em modelos linguísticos de grande escala, tais como funcionalidades de conversa (chat) ou sistemas de recomendação utilizados pelo fornecedor auditado, deve, em primeiro lugar, avaliar a adequação dos controlos estabelecidos pelo fornecedor. A escolha dos testes deve basear-se na robustez desses controlos internos. Os procedimentos de auditoria devem basear-se numa combinação de metodologias, em especial, mas não exclusivamente, nos casos em que os controlos internos sejam pouco rigorosos, incompletos ou inconclusivos para determinar se as regras são cumpridas, tendo em conta a população de destinatários do serviço auditado. Por exemplo, as metodologias podem incluir procedimentos analíticos substantivos, como a análise das interações entre todos os sistemas algorítmicos utilizados nos sistemas de recomendação e as regras e processos de decisão conexos para estabelecer os principais parâmetros dos sistemas de recomendação, observações de ficheiros cronológicos e registos digitais. As metodologias devem igualmente incluir testes do sistema, tais como testes em ambientes simulados.

(26)

A fim de assegurar que a metodologia é pertinente e está adaptada às novas constatações durante a realização da auditoria, a seleção das metodologias deve guiar-se pelo juízo profissional da organização de auditoria e ser ajustada por forma a dar resposta às novas constatações, em especial quando a organização de auditoria tiver dúvidas razoáveis em relação às informações apresentadas pelo fornecedor auditado. O espírito crítico da organização de auditoria deve assentar nos conhecimentos especializados da mesma, bem como noutras fontes de informação de especial relevância para a aplicação do Regulamento (UE) 2022/2065, tais como os relatórios do Comité Europeu dos Serviços Digitais, as orientações da Comissão, os relatórios de auditoria publicados com base nos códigos de conduta ou protocolos de crise a que se referem os artigos 45.o, 46.o e 48.o do mesmo regulamento, ou ainda as informações que surjam durante a realização da auditoria, inclusive quando relacionadas com acontecimentos, em particular situações de crise, que requeiram a tomada de medidas adicionais por parte do fornecedor auditado para assegurar o cumprimento de determinadas obrigações ou compromissos auditados.

(27)

A fim de assegurar a recolha de suficientes elementos de prova de auditoria durante a auditoria, as organizações de auditoria devem avaliar os controlos internos do fornecedor auditado e realizar procedimentos de auditoria substantivos para avaliar a conformidade do fornecedor auditado. Em certos casos, a organização de auditoria também deve realizar testes.

(28)

Dada a complexidade dos sistemas algorítmicos utilizados pelos fornecedores de plataformas em linha e o seu importante papel no cumprimento de várias obrigações estabelecidas no Regulamento (UE) 2022/2065, importa conferir especial atenção às escolhas metodológicas necessárias e adequadas para auditar os sistemas algorítmicos. Tal é necessário tanto quando os sistemas algorítmicos fazem parte dos controlos instituídos pelo fornecedor auditado, como quando os próprios são objeto das obrigações ou compromissos auditados, como no que diz respeito aos sistemas de recomendação, por exemplo, nos termos dos artigos 27.o, 34.o, 35.o e 38.o do Regulamento (UE) 2022/2065, aos sistemas de publicidade, por exemplo, nos termos dos artigos 26.o, 28.o, 34.o, 35.o e 39.o do referido regulamento, aos sistemas de moderação de conteúdos, por exemplo, nos termos dos artigos 14.o, 15.o, 34.o e 35.o do mesmo regulamento, ou a qualquer outro sistema algorítmico que contribua para os riscos referidos no artigo 34.o do mesmo regulamento.

(29)

Deve igualmente utilizar-se uma combinação de procedimentos analíticos substantivos, incluindo, se for caso disso, os baseados em observações dos processos e atividades do fornecedor auditado na conceção, desenvolvimento, exploração, teste e monitorização de sistemas algorítmicos ou em observações de ficheiros cronológicos e registos digitais gerados pelos sistemas. As metodologias devem ser adaptadas às especificidades dos sistemas algorítmicos, incluindo a sua governação, a interação entre diferentes sistemas algorítmicos e os sistemas de gestão de dados conexos, e às tecnologias subjacentes aos sistemas algorítmicos, tais como modelos generativos ou outros classificadores, algoritmos de seleção ou de pesquisa.

(30)

Além disso, é importante que as metodologias de auditoria dos sistemas algorítmicos incluam testes para, por exemplo, recolher informações que o fornecedor auditado não documentou anteriormente ou para reproduzir e avaliar de forma independente os resultados de indicadores de precisão, testes em ambientes de testagem ou ambientes simulados ou testes em sistemas de produção, incluindo por meio da raspagem de dados ou de testes antagónicos.

(31)

Dado que a elevada qualidade dos elementos de prova da auditoria é uma condição necessária para que a organização de auditoria formule um parecer de auditoria com um nível razoável de garantia, as informações que a organização de auditoria decide utilizar como elementos de prova da auditoria devem ser adequadas e suficientes por forma a reduzir os riscos de auditoria. Além disso, os elementos de prova da auditoria devem ser fiáveis de acordo com o juízo profissional e o espírito crítico da organização de auditoria e, se for caso disso, tendo em conta fontes de informação alternativas. O juízo profissional e o espírito crítico devem compreender uma avaliação crítica dos elementos de prova da auditoria e das possíveis distorções. Estes padrões de qualidade devem aplicar-se a todos os elementos de prova da auditoria, independentemente de terem sido facultados pelo fornecedor auditado ou recolhidos junto de outras fontes.

(32)

A organização de auditoria deve ter em conta uma série de fontes de informação, que poderão abranger, por exemplo, entrevistas com o pessoal ou os contratantes do fornecedor auditado, nomeadamente os responsáveis pela conformidade, engenheiros, cientistas de dados, arquitetos de software ou membros de equipas de auditoria interna. Podem também abranger a documentação técnica sobre a conceção, a implantação, os testes e a monitorização de um sistema pertinente, nomeadamente sobre a qualidade e governação dos dados, bem como sobre as atualizações e versões do sistema, e outros documentos relativos aos processos de governação e decisão do fornecedor auditado, tendo em conta, designadamente, as prioridades, os recursos, a atribuição de tarefas e responsabilidades ou os conhecimentos especializados do pessoal relevante.

(33)

A fim de assegurar a eficiência e a proporcionalidade na realização da auditoria, é importante que a organização de auditoria esteja autorizada a proceder à amostragem dos dados e das informações, tendo o devido cuidado de assegurar a recolha de uma amostra representativa, para poder emitir um parecer de auditoria com um nível razoável de garantia. Por forma a assegurar a transparência e a reprodutibilidade dos procedimentos de auditoria, a organização de auditoria deve justificar as escolhas sobre a dimensão da amostra e o método de amostragem no relatório de auditoria. Por exemplo, a dimensão da amostra e a metodologia devem ser selecionadas tendo em conta a eficácia em termos de consecução do objetivo da auditoria da obrigação ou compromisso específico auditado e de forma a minimizar o risco de a conclusão da auditoria feita à amostra específica ser diferente da conclusão a que se chegaria se a totalidade da população dos elementos de prova fosse sujeita ao procedimento de auditoria. A dimensão e a metodologia da amostra devem ser selecionadas tendo em conta o âmbito completo da auditoria, bem como as alterações internas ou externas do serviço auditado durante o período de análise. Devem também ser adaptadas às especificidades dos sistemas algorítmicos, nomeadamente no que diz respeito à personalização mediante a definição de perfis. No âmbito desta consideração, a organização de auditoria deve, por exemplo, proceder a uma amostragem adequada das diferentes coortes ou partições que possam resultar das técnicas de personalização ou identificar a margem de erro e explicar a razão pela qual se encontra num nível aceitável.

(34)

Dada a novidade de determinadas disposições do Regulamento (UE) 2022/2065, é necessário estabelecer princípios metodológicos, incluindo perguntas de auditoria e orientações adicionais para a seleção das metodologias da auditoria e dos elementos de prova da auditoria, com vista à avaliação do cumprimento das disposições, ou seja, para avaliar a conformidade com os artigos 34.o, 35.o e 36.o do Regulamento (UE) 2022/2065 relativos à realização de avaliações dos riscos e à adoção de medidas de atenuação dos riscos por parte dos fornecedores auditados, bem como à aplicação das obrigações respeitantes à resposta em caso de crise.

(35)

Uma vez que as organizações de auditoria deverão igualmente avaliar a conformidade do fornecedor auditado com o artigo 37.o do Regulamento (UE) 2022/2065, há que fornecer também mais especificações sobre a auditoria exata mediante a qual deve avaliar-se a conformidade, em especial para evitar quaisquer conflitos de interesses para a organização de auditoria.

(36)

Tendo em conta o caráter voluntário dos códigos de conduta e dos protocolos de crise, é necessário prever regras específicas para a auditoria da conformidade com os artigos 45.o, 46.o e 48.o do Regulamento (UE) 2022/2065, nomeadamente para assegurar que as organizações de auditoria dispõem de todas as informações necessárias para realizar auditorias específicas em relação aos compromissos assumidos no âmbito de cada código de conduta e protocolo de crise,

ADOTOU O PRESENTE REGULAMENTO:

SECÇÃO I

Disposições gerais

Artigo 1.o

Objeto

O presente regulamento estabelece as regras relativas à realização de auditorias nos termos do artigo 37.o do Regulamento (UE) 2022/2065 no que diz respeito:

a)	Às etapas processuais destinadas a assegurar que a organização de auditoria a selecionar satisfaz as condições estabelecidas no artigo 37.o, n.o 3, do Regulamento (UE) 2022/2065;

b)	Às etapas processuais para a cooperação e a assistência prestada pelo fornecedor auditado na realização das auditorias, incluindo o acesso a informações pertinentes para obter elementos de prova da auditoria;

c)	À definição e seleção das metodologias de auditoria;

d)	Aos modelos de relatório de auditoria e relatório de execução da auditoria.

Artigo 2.o

Definições

Para efeitos do presente regulamento, entende-se por:

1)	«Organização de auditoria», uma organização individual, um consórcio ou outra combinação de organizações, incluindo quaisquer subcontratantes, que o fornecedor auditado contratou para realizar uma auditoria independente nos termos do artigo 37.o do Regulamento (UE) 2022/2065;

2)	«Serviço auditado», uma plataforma em linha de muito grande dimensão ou um motor de pesquisa em linha de muito grande dimensão designados em conformidade com o artigo 33.o do Regulamento (UE) 2022/2065;

3)	«Fornecedor auditado», o fornecedor de um serviço auditado sujeito a auditorias independentes nos termos do artigo 37.o, n.o 1, do referido regulamento;

4)	«Obrigação ou compromisso auditado», uma obrigação ou um compromisso a que se refere o artigo 37.o, n.o 1, do Regulamento (UE) 2022/2065 que é objeto da auditoria;

5)	«Critérios da auditoria», os critérios com base nos quais a organização de auditoria avalia o cumprimento de cada obrigação ou compromisso auditado;

«Elementos de prova da auditoria», qualquer informação utilizada por uma organização de auditoria para corroborar as constatações e conclusões da auditoria e emitir um parecer de auditoria, incluindo os dados recolhidos a partir de documentos, bases de dados ou sistemas informáticos, entrevistas ou testes realizados;

7)	«Distorção», uma omissão, deturpação ou erro, intencional ou não intencional, nas declarações ou dados comunicados ou facultados pelo fornecedor auditado à organização de auditoria ou no ambiente de teste disponibilizado pelo fornecedor auditado à organização de auditoria;

«Risco de auditoria», o risco de a organização de auditoria emitir um parecer de auditoria incorreto ou chegar a uma conclusão incorreta quanto ao cumprimento, por parte do fornecedor auditado, de uma obrigação ou compromisso auditado, tendo em conta os riscos de deteção, os riscos inerentes e os riscos de controlo em relação à obrigação ou compromisso auditado;

9)	«Risco de deteção», o risco de a organização de auditoria não detetar uma distorção pertinente para a avaliação do cumprimento, por parte do fornecedor auditado, de uma obrigação ou compromisso auditado;

10)	«Risco inerente», o risco de não conformidade intrinsecamente relacionado com a natureza, a conceção, a atividade e a utilização do serviço auditado, bem como com o contexto em que é prestado, e o risco de não conformidade relacionado com a natureza da obrigação ou compromisso auditado;

11)	«Risco de controlo», o risco de uma distorção não ser prevenida, detetada e corrigida atempadamente por meio dos controlos internos do fornecedor auditado;

12)	«Limiar de significância», o limiar acima do qual as divergências ou distorções, por parte do fornecedor auditado, individualmente ou agregadas, afetariam razoavelmente as constatações, conclusões e pareceres da auditoria;

13)

«Nível razoável de garantia», um nível de garantia elevado, mas não absoluto, que permite à organização de auditoria afirmar, no parecer de auditoria e nas conclusões de auditoria, que o fornecedor auditado cumpre, ou não, as obrigações ou compromissos auditados, com base em elementos de prova suficientes e adequados;

14)

«Controlo interno», quaisquer medidas, incluindo processos e testes, concebidas, aplicadas e mantidas pelo fornecedor auditado, incluindo os responsáveis pela conformidade e o órgão de administração, para controlar e assegurar o cumprimento, por parte do fornecedor auditado, da obrigação ou compromisso auditado;

15)	«Investigador habilitado», um investigador habilitado na aceção do artigo 40.o, n.o 8, do Regulamento (UE) 2022/2065;

16)

«Procedimento de auditoria», qualquer técnica aplicada pela organização de auditoria na realização da auditoria, incluindo a recolha de dados, a escolha e aplicação de metodologias, como testes e procedimentos analíticos substantivos, e quaisquer outras medidas tomadas para recolher e analisar informações de modo a recolher elementos de prova da auditoria e formular conclusões de auditoria, com exceção da emissão de um parecer de auditoria ou do relatório de auditoria;

17)	«Teste», uma metodologia de auditoria constituída por medições, experiências ou outras verificações, incluindo verificações de sistemas algorítmicos, por meio da qual a organização de auditoria avalia o cumprimento, por parte do fornecedor auditado, da obrigação ou compromisso auditado;

18)	«Procedimento analítico substantivo», uma metodologia de auditoria utilizada pela organização de auditoria para avaliar as informações de forma a inferir os riscos de auditoria ou o cumprimento da obrigação ou compromisso auditado.

Artigo 3.o

Âmbito da auditoria e nível razoável de garantia

1. A auditoria realiza-se de uma forma e durante um período que permita à organização de auditoria avaliar o cumprimento, por parte do fornecedor auditado, de todas as obrigações e compromissos auditados com um nível razoável de garantia.

2. A auditoria abrange o período que começa imediatamente após o período abrangido pela auditoria anterior e termina numa data que permita à organização de auditoria realizar a auditoria no prazo exigido pelo artigo 37.o, n.o 1, do Regulamento (UE) 2022/2065, nomeadamente formulando a sua avaliação nos termos do n.o 1 com base nos elementos de prova recolhidos e nos procedimentos de auditoria realizados durante esse período, e completando e apresentando o relatório de auditoria nos termos do artigo 37.o, n.o 4, do mesmo regulamento ao fornecedor auditado.

3. Se não tiver sido realizada uma auditoria anterior, a auditoria abrange o período com início quatro meses após a notificação referida no artigo 33.o, n.o 6, primeiro parágrafo, do Regulamento (UE) 2022/2065, e a sua duração deve permitir que o relatório de auditoria previsto no artigo 6.o, n.o 1, seja concluído, o mais tardar, no prazo de um ano a contar do início do período auditado.

SECÇÃO II

Condições para a realização da auditoria

Artigo 4.o

Seleção da organização de auditoria

1. Antes de selecionar uma organização de auditoria com vista à realização da auditoria, o fornecedor auditado deve verificar se a organização a selecionar cumpre os requisitos estabelecidos no artigo 37.o, n.o 3, do Regulamento (UE) 2022/2065.

2. Se a organização de auditoria a selecionar for composta por mais do que uma pessoa coletiva ou pretender recorrer a um ou mais subcontratantes, o fornecedor auditado deve verificar se todas essas pessoas coletivas ou subcontratantes:

a)	Cumprem individualmente os requisitos estabelecidos no artigo 37.o, n.o 3, alíneas a) e c), do Regulamento (UE) 2022/2065;

b)	Cumprem conjuntamente o requisito estabelecido no artigo 37.o, n.o 3, alínea b), do Regulamento (UE) 2022/2065.

Artigo 5.o

Cooperação e assistência entre o fornecedor auditado e a organização de auditoria

1. Num momento acordado com a organização de auditoria e, em todo o caso, antes da realização de qualquer procedimento de auditoria, o fornecedor auditado deve transmitir à organização de auditoria selecionada pelo menos as seguintes informações:

Uma descrição dos controlos internos aplicados em relação a cada obrigação e compromisso auditado, incluindo os indicadores associados e todos os valores medidos, atuais e históricos, e os critérios de referência utilizados pelo fornecedor auditado para alegar ou controlar o cumprimento das obrigações e compromissos auditados, bem como toda a documentação comprovativa;

b)	A análise preliminar dos riscos inerentes e de controlo, caso o fornecedor auditado a tenha realizado, bem como qualquer documentação comprovativa;

Informações sobre quaisquer estruturas pertinentes de tomada de decisão, as competências dos departamentos do fornecedor, incluindo a função de verificação da conformidade prevista no artigo 41.o do Regulamento (UE) 2022/2065, sistemas informáticos pertinentes e as fontes, o tratamento e o armazenamento de dados, bem como explicações sobre os sistemas algorítmicos pertinentes e as interações entre os mesmos.

2. O fornecedor auditado deve conceder à organização de auditoria, sem demora injustificada, acesso a todos os dados necessários para a realização da auditoria, incluindo dados pessoais, documentação, informações sobre procedimentos e processos, bem como aos sistemas informáticos, ambientes de teste, pessoal e instalações do fornecedor, e a quaisquer subcontratantes relevantes.

3. O fornecedor auditado deve disponibilizar todos os recursos necessários e prestar à organização de auditoria a assistência e as explicações necessárias para que esta analise as informações pertinentes e realize os testes, incluindo nos casos em que as informações solicitadas pela organização de auditoria em conformidade com o artigo 37.o, n.o 3, do Regulamento (UE) 2022/2065 se encontrem na posse de um terceiro contratado pelo fornecedor auditado.

SECÇÃO III

Realização de auditorias

Artigo 6.o

Relatório de auditoria e relatório de execução da auditoria

1. O relatório de auditoria referido no artigo 37.o, n.o 4, do Regulamento (UE) 2022/2065 é elaborado pela organização de auditoria, sem interferência do fornecedor auditado. Esse relatório é elaborado em conformidade com o modelo constante do anexo I e contém conclusões pormenorizadas e fundamentadas relativamente a todos os elementos do modelo.

2. Se for caso disso, o relatório de execução da auditoria referido no artigo 37.o, n.o 6, do Regulamento (UE) 2022/2065 é elaborado em conformidade com o modelo constante do anexo II.

Artigo 7.o

Procedimentos para a preparação da auditoria

1. O fornecedor auditado e a organização de auditoria devem celebrar um acordo escrito que estabeleça:

a)	A lista exaustiva das obrigações e compromissos auditados;

b)	As responsabilidades da organização de auditoria, incluindo, se for caso disso, a sua pormenorização em relação a cada pessoa coletiva que constitui a organização de auditoria, e as partes habilitadas a assinar o relatório de auditoria;

c)	Os procedimentos e pontos de contacto disponibilizados pelo fornecedor auditado para que a organização de auditoria solicite o acesso aos dados referidos no artigo 5.o, n.o 2;

d)	O calendário da auditoria, incluindo as datas de início e de termo dos procedimentos de auditoria e da conclusão do relatório de auditoria;

e)	Um procedimento relativo à resolução dos litígios entre o fornecedor auditado e a organização de auditoria decorrentes da realização da auditoria.

2. O acordo a que se refere o n.o 1 e quaisquer outros acordos ou cartas de compromisso entre a organização de auditoria e o fornecedor auditado relacionados com a realização da auditoria devem ser anexados ao relatório de auditoria.

3. Caso sejam introduzidas alterações no acordo referido no n.o 1 durante a realização da auditoria, devem ser explicitadas no relatório de auditoria.

Artigo 8.o

Parecer de auditoria, conclusões de auditoria e recomendações

1. O relatório de auditoria inclui as conclusões da auditoria da organização de auditoria sobre o cumprimento, por parte do fornecedor auditado, de cada uma das obrigações e compromissos auditados. As conclusões da auditoria são:

a)	«Positivas», se a organização de auditoria concluir com um nível razoável de garantia que o fornecedor auditado cumpriu uma obrigação ou compromisso auditado;

«Positivas com observações», se a organização de auditoria concluir com um nível razoável de garantia que o fornecedor auditado cumpriu uma obrigação ou compromisso auditado, mas:

i)	a organização de auditoria incluir observações sobre os critérios de referência facultados pelo fornecedor auditado nos termos do artigo 5.o, n.o 1, alínea a), ou

ii)	a organização de auditoria recomendar melhorias que não têm um efeito substancial na sua conclusão;

c)	«Negativas», se a organização de auditoria concluir com um nível razoável de garantia que o fornecedor auditado não cumpriu uma obrigação ou compromisso auditado.

2. Caso o relatório de auditoria inclua recomendações operacionais nos termos do artigo 37.o, n.o 4, alínea h), do Regulamento (UE) 2022/2065, as recomendações e o respetivo calendário indicado devem ser específicos em relação a cada obrigação ou compromisso auditado cuja conclusão de auditoria seja, nos termos do n.o 1, «positiva com observações» ou «negativa».

3. Sempre que incluam medidas específicas para assegurar a conformidade, as recomendações operacionais a que se refere o n.o 2 devem ser formuladas de forma a explicar a apreciação da organização de auditoria sobre a forma como as medidas afetariam o limiar de significância em comparação com a conclusão da auditoria para a respetiva obrigação ou compromisso auditado.

4. O relatório de auditoria deve incluir um parecer de auditoria, assente nas conclusões da auditoria, sobre o cumprimento, por parte do fornecedor auditado, de todas as obrigações auditadas referidas no artigo 37.o, n.o 1, alínea a), do Regulamento (UE) 2022/2065.

5. O relatório de auditoria deve incluir um ou mais pareceres de auditoria, consoante o caso, assentes nas conclusões relativas a todos os compromissos auditados, sobre o cumprimento, por parte do fornecedor auditado, de todos os compromissos auditados assumidos pelo fornecedor auditado no âmbito de cada código de conduta e protocolo de crise a que se refere o artigo 37.o, n.o 1, alínea b), do Regulamento (UE) 2022/2065.

6. Os pareceres de auditoria nos termos dos n.os 4 e 5 são:

a)	«Positivos», se a organização de auditoria tiver chegado a uma conclusão de auditoria «positiva» relativamente a todas as obrigações ou compromissos auditados;

«Positivos com observações», se a organização de auditoria tiver chegado a, pelo menos, uma conclusão de auditoria «positiva com observações» relativamente a uma obrigação ou compromisso auditado e não tiver chegado a uma conclusão de auditoria «negativa» relativamente a nenhuma das obrigações ou compromissos auditados;

c)	«Negativos», se a organização de auditoria tiver chegado a uma conclusão de auditoria «negativa» relativamente a, pelo menos, umas das obrigações ou compromissos auditados.

7. Se a organização de auditoria considerar que, durante um período limitado no decurso do período referido no artigo 3.o, n.o 2, o fornecedor não cumpriu uma obrigação ou compromisso auditado, o relatório de auditoria deve documentar devidamente essa apreciação.

8. Se a organização de auditoria não puder emitir uma conclusão de auditoria nos termos do n.o 1 ou um parecer de auditoria nos termos dos n.os 4 e 5 com um nível razoável de garantia, o relatório de auditoria deve incluir uma explicação das circunstâncias e dos motivos pelos quais não foi possível alcançar tal nível de garantia.

SECÇÃO IV

Metodologias de auditoria

Artigo 9.o

Análise dos riscos de auditoria

1. O relatório de auditoria deve incluir uma análise fundamentada do risco de auditoria efetuada pela organização de auditoria para a avaliação do cumprimento, por parte do fornecedor auditado, de cada obrigação ou compromisso auditado.

2. A análise do risco de auditoria deve ser efetuada antes da execução dos procedimentos de auditoria e atualizada durante a realização da auditoria, à luz de quaisquer novos elementos de prova de auditoria que, de acordo com o juízo profissional da organização de auditoria, alterem substancialmente a avaliação do risco de auditoria.

3. A análise do risco de auditoria deve ter em conta:

a)	Riscos inerentes;

b)	Riscos de controlo;

c)	Riscos de deteção.

4. A análise do risco de auditoria deve ser efetuada tendo em conta:

a)	A natureza do serviço auditado e o contexto social e económico em que o serviço auditado é prestado, incluindo a probabilidade e a gravidade da exposição a situações de crise e acontecimentos imprevistos;

b)	A natureza das obrigações e compromissos;

Outras informações adequadas, nomeadamente:

i)	se for caso disso, informações de auditorias anteriores a que o serviço auditado tenha sido sujeito,

ii)

se for caso disso, informações provenientes de relatórios emitidos pelo Comité Europeu dos Serviços Digitais ou de orientações da Comissão, incluindo diretrizes emitidas nos termos do artigo 35.o, n.os 2 e 3, do Regulamento (UE) 2022/2065, bem como de quaisquer outras orientações pertinentes sobre a aplicação do Regulamento (UE) 2022/2065 emitidas pela Comissão,

iii)

se for caso disso, informações provenientes de relatórios de auditoria publicados nos termos do artigo 42.o, n.o 4, do Regulamento (UE) 2022/2065 por outros fornecedores de plataformas em linha de muito grande dimensão ou de motores de pesquisa em linha de muito grande dimensão que desenvolvam a sua atividade em condições semelhantes ou prestem serviços semelhantes ao serviço auditado.

Artigo 10.o

Metodologias de auditoria adequadas

1. Sem prejuízo das metodologias de auditoria específicas definidas nos artigos 13.o, 14.o e 15.o, as auditorias devem ser realizadas utilizando metodologias de auditoria adequadas para reduzir os riscos de auditoria avaliados a um nível que permita à organização de auditoria chegar a conclusões de auditoria com um nível razoável de garantia.

2. O relatório de auditoria deve conter uma descrição das metodologias de auditoria concebidas pela organização de auditoria antes da execução de qualquer procedimento de auditoria, incluindo, no mínimo:

a)	Os critérios de auditoria para avaliar o cumprimento de cada obrigação ou compromisso auditado, definidos com base nas informações previstas no artigo 5.o, n.o 1, alínea a), e o limiar de significância tolerado e expresso em termos qualitativos ou quantitativos, consoante o caso;

b)	Todos os testes e procedimentos analíticos substantivos e os elementos de prova da auditoria que a organização de auditoria tenciona utilizar para avaliar o cumprimento de cada obrigação ou compromisso auditado.

O relatório de auditoria deve incluir uma descrição de quaisquer alterações das metodologias utilizadas durante a realização da auditoria em comparação com as metodologias concebidas antes da execução dos procedimentos de auditoria.

3. Se uma organização de auditoria tiver dúvidas razoáveis quanto às informações analisadas no âmbito da realização da auditoria, em especial no que diz respeito às informações apresentadas pelo fornecedor auditado, a escolha e a aplicação da metodologia devem ser adaptadas de modo a proporcionar à organização os elementos de prova de auditoria necessários em conformidade com o artigo 11.o.

4. Considera-se que as dúvidas razoáveis a que se refere o n.o 3 existem, designadamente, em função de um dos seguintes elementos:

a)	Juízo profissional e espírito crítico na análise das informações, nomeadamente no que diz respeito aos controlos internos do fornecedor auditado, que levam a organização de auditoria a formular dúvidas razoáveis;

Indicações externas que indiciem riscos de auditoria, em especial, os relatórios do Comité Europeu dos Serviços Digitais referidos no artigo 35.o, n.o 2, do Regulamento (UE) 2022/2065, as orientações da Comissão, formuladas, nomeadamente, através das diretrizes referidas no artigo 35.o, n.o 3, do mesmo regulamento, e quaisquer outras orientações pertinentes sobre a aplicação do Regulamento (UE) 2022/2065 emitidas pela Comissão, bem como os relatórios de auditoria emitidos em conformidade com os códigos de conduta ou protocolos de crise referidos nos artigos 45.o, 46.o e 48.o do referido regulamento;

c)	Informações relacionadas com acontecimentos ocorridos durante a realização da auditoria, incluindo situações de crise, e que exijam que o fornecedor auditado tome medidas adicionais para garantir o cumprimento de determinadas obrigações ou compromissos auditados.

5. Os procedimentos de auditoria devem, no mínimo, incluir:

a)	A realização dos testes e procedimentos analíticos substantivos para os controlos internos que o fornecedor auditado instituiu relativamente a cada uma das obrigações ou compromissos auditados;

b)	A realização de procedimentos analíticos substantivos para avaliar o cumprimento de cada obrigação e compromisso auditado, incluindo no que diz respeito aos sistemas algorítmicos;

A realização de testes, nomeadamente no que diz respeito aos sistemas algorítmicos, relativos às obrigações e compromissos auditados sobre os quais a organização de auditoria tenha dúvidas razoáveis, na aceção do n.o 4, e às obrigações e compromissos auditados nos casos em que a organização de auditoria considere necessário realizar testes no âmbito da metodologia por si escolhida nos termos do n.o 1.

6. Sempre que as obrigações ou compromissos referidos no artigo 37.o, n.o 1, do Regulamento (UE) 2022/2065 exijam que o fornecedor auditado comunique publicamente determinadas informações, as metodologias de auditoria devem incluir uma avaliação para determinar se as informações comunicadas estão isentas de erros materiais ou omissões que, de outro modo, as poderiam tornar enganosas.

Artigo 11.o

Qualidade dos elementos de prova da auditoria

As conclusões e os pareceres de auditoria devem basear-se em elementos de prova da auditoria que cumpram os seguintes requisitos:

a)	São pertinentes e suficientes para reduzir os riscos de auditoria identificados em conformidade com o artigo 9.o e para permitir que a organização de auditoria apresente conclusões e pareceres de auditoria em conformidade com o artigo 8.o;

b)	São fiáveis, de acordo com o juízo profissional e o espírito crítico da organização de auditoria.

Artigo 12.o

Métodos de amostragem

1. Se os elementos de prova da auditoria se basearem, parcial ou totalmente, numa amostra de dados ou informações, a dimensão da amostra e a metodologia de amostragem devem ser selecionadas com vista a minimizar o risco de deteção e sem interferência do fornecedor auditado.

2. A dimensão da amostra e a metodologia de amostragem devem ser selecionadas por forma a garantir a representatividade dos dados ou informações e, se for caso disso, tendo em conta todos os elementos seguintes:

a)	A representatividade da amostra no período referido no artigo 3.o, n.os 2 e 3;

b)	As alterações relevantes do serviço auditado durante o referido período;

c)	As alterações relevantes do contexto em que o serviço auditado é prestado durante o mesmo período;

d)	As características relevantes dos sistemas algorítmicos, se for caso disso, incluindo a personalização com base na definição de perfis ou noutros critérios;

e)	Outras características ou partições relevantes dos dados, informações e elementos de prova considerados;

f)	Consoante o caso, a representação e a análise adequada das preocupações relacionadas com grupos específicos, tais como menores ou grupos vulneráveis e minorias, em relação à obrigação ou ao compromisso auditado.

3. O relatório de auditoria deve incluir uma justificação da escolha da dimensão da amostra e da metodologia de amostragem.

Artigo 13.o

Metodologias específicas para a auditoria da conformidade com o artigo 34.o do Regulamento (UE) 2022/2065, relativo à avaliação dos riscos

1. A avaliação da conformidade do fornecedor auditado com o artigo 34.o do Regulamento (UE) 2022/2065 deve incluir, designadamente, uma análise de todos os elementos que se seguem:

Se o fornecedor auditado identificou, analisou e avaliou diligentemente os riscos sistémicos na União referidos no artigo 34.o, n.o 1, primeiro parágrafo, do Regulamento (UE) 2022/2065, nomeadamente apreciando:

i)	a forma como o fornecedor auditado identificou os riscos associados ao serviço que presta, tendo em conta os aspetos regionais e linguísticos da utilização do serviço, nomeadamente quando sejam específicos de um Estado-Membro, e se os riscos são adequadamente identificados,

ii)	a forma como o fornecedor auditado analisou e avaliou cada risco, incluindo a forma como teve em conta a probabilidade e a gravidade dos riscos, e se a avaliação foi adequada,

iii)	a forma como o fornecedor auditado identificou, analisou e avaliou os fatores referidos no artigo 34.o, n.o 2, primeiro parágrafo, do Regulamento (UE) 2022/2065, se foram adequadamente identificados e em que medida os fatores influenciam os riscos identificados no n.o 1 do mesmo artigo,

iv)	que fontes de informação o fornecedor auditado utilizou, a forma como recolheu as informações, nomeadamente se, e de que forma, se apoiou em conhecimentos científicos e técnicos,

v)	se, e de que forma, o fornecedor auditado testou os pressupostos relativos aos riscos com os grupos mais afetados pelos riscos específicos;

Se a avaliação dos riscos foi realizada dentro dos prazos estabelecidos no artigo 34.o, n.o 1, segundo parágrafo, do Regulamento (UE) 2022/2065 e, se for caso disso, nos prazos previstos para as atividades consideradas medidas de atenuação dos riscos para a deteção de riscos sistémicos nos termos do artigo 35.o, n.o 1, alínea f), do mesmo regulamento;

A forma como o fornecedor auditado identificou funcionalidades suscetíveis de terem um impacto crítico nos riscos para as quais devem ser realizadas avaliações dos riscos antes da sua implantação, em conformidade com o artigo 34.o, n.o 1, segundo parágrafo, do Regulamento (UE) 2022/2065, se as funcionalidades foram corretamente identificadas e se a avaliação dos riscos foi realizada de forma adequada;

Se o fornecedor auditado identificou corretamente a documentação comprovativa a conservar no que diz respeito à avaliação dos riscos e se instituiu os meios necessários para assegurar a conservação da referida documentação durante, pelo menos, três anos, em aplicação do artigo 34.o, n.o 3, do Regulamento (UE) 2022/2065, bem como se a documentação foi conservada em conformidade.

2. Sem prejuízo de qualquer outra análise necessária para alcançar um nível razoável de garantia, as metodologias de auditoria da conformidade com o artigo 34.o do Regulamento (UE) 2022/2065 devem abranger, pelo menos, uma avaliação, efetuada pela organização de auditoria, dos elementos seguintes:

Os controlos internos que o fornecedor auditado instituiu para acompanhar a realização das avaliações dos riscos relativas a cada fator referido no artigo 34.o, n.o 2, primeiro parágrafo, do Regulamento (UE) 2022/2065, devendo tal avaliação:

i)	basear-se em procedimentos analíticos substantivos relativamente aos referidos controlos internos,

ii)	basear-se em testes destinados a determinar se os controlos internos são fiáveis e diligentemente concebidos, realizados e acompanhados,

iii)

apreciar a forma como o responsável ou responsáveis pela conformidade desempenharam as suas funções no que respeita ao artigo 41.o, n.o 3, alíneas b) ou d), e) e, se aplicável, f), do Regulamento (UE) 2022/2065 e a forma como o órgão de administração do fornecedor auditado participou nas decisões relacionadas com a gestão do risco nos termos do artigo 41.o, n.os 6 e 7, do mesmo regulamento;

As medidas, os meios e os processos instituídos pelo fornecedor auditado para assegurar a conformidade com o artigo 34.o do Regulamento (UE) 2022/2065 e os respetivos resultados, devendo tal avaliação basear-se:

i)	em procedimentos analíticos substantivos,

ii)

em testes, incluindo testes dos sistemas algorítmicos, sempre que a organização de auditoria tenha dúvidas razoáveis na sequência dos resultados dos procedimentos analíticos substantivos e da avaliação dos controlos internos, ou sempre que a organização de auditoria considere necessário realizar testes no âmbito da metodologia por si escolhida nos termos do artigo 10.o, n.o 1.

3. As informações analisadas pela organização de auditoria em apoio da avaliação efetuada nos termos do presente artigo compreendem, nomeadamente:

O relatório de avaliação dos riscos relativo ao período auditado em causa, elaborado pelo fornecedor auditado, incluindo, se necessário, informações confidenciais que não façam parte das informações publicadas nos termos do artigo 42.o, n.o 2, do mesmo regulamento, bem como todos os documentos comprovativos;

b)	Se for caso disso, outros relatórios de avaliações dos riscos do fornecedor auditado e os respetivos documentos comprovativos;

c)	Informações apresentadas pelo fornecedor auditado nos termos do artigo 5.o;

d)	Todos os relatórios de transparência relevantes do fornecedor auditado a que se refere o artigo 15.o, n.o 1, do Regulamento (UE) 2022/2065;

e)	Quaisquer outros resultados de testes, documentação, elementos de prova e declarações feitas em resposta a perguntas escritas ou orais dirigidas pela organização de auditoria ao pessoal do fornecedor auditado, bem como observações formuladas nas instalações, se for caso disso;

f)	Outros elementos de prova pertinentes, nomeadamente assentes em informações disponibilizadas pelo fornecedor auditado;

Se disponíveis, os relatórios a que se referem o artigo 35.o, n.o 2, do Regulamento (UE) 2022/2065 e as orientações da Comissão, incluindo as diretrizes emitidas nos termos do artigo 35.o, n.o 3, do mesmo regulamento, bem como quaisquer outras orientações pertinentes sobre a aplicação do Regulamento (UE) 2022/2065 emitidas pela Comissão.

4. As informações analisadas pela organização de auditoria podem compreender, se for caso disso, as informações a que se refere o artigo 42.o, n.o 4, do Regulamento (UE) 2022/2065, incluindo as provenientes de relatórios de auditoria, avaliação dos riscos e atenuação dos riscos, relativas a outras plataformas em linha de muito grande dimensão ou motores de pesquisa em linha de muito grande dimensão, ou os dados e investigações divulgados publicamente por investigadores habilitados nos termos do artigo 40.o, n.o 8, alínea g), do regulamento.

Artigo 14.o

Metodologias específicas para a auditoria da conformidade com o artigo 35.o do Regulamento (UE) 2022/2065, relativo à atenuação dos riscos

1. A avaliação da conformidade do fornecedor auditado com o artigo 35.o do Regulamento (UE) 2022/2065 deve incluir, nomeadamente, uma análise de todos os elementos seguintes:

a)	A forma como o fornecedor auditado identificou as medidas de atenuação dos riscos para cada um dos riscos sistémicos a que se refere o artigo 34.o, n.o 1, do Regulamento (UE) 2022/2065 e se a identificação das medidas de atenuação dos riscos foi realizada de forma diligente;

A forma como o fornecedor auditado determinou se as medidas de atenuação dos riscos previstas no artigo 35.o, n.o 1, alíneas a) a k), do Regulamento (UE) 2022/2065 eram aplicáveis ao serviço auditado e se a conclusão dessa apreciação era adequada, incluindo no que diz respeito às medidas que não foram aplicadas pelo fornecedor auditado;

Se as medidas de atenuação adotadas pelo fornecedor auditado são razoáveis, proporcionadas e eficazes para atenuar os respetivos riscos, nomeadamente:

i)	Avaliando se as medidas respondem coletivamente a todos os riscos, tendo especialmente em conta os riscos relativos ao exercício dos direitos fundamentais;

ii)	Avaliando comparativamente a forma como os riscos foram abordados antes e depois da adoção das medidas específicas de atenuação dos riscos;

iii)	Avaliando se as medidas de redução dos riscos foram devidamente concebidas e executadas.

2. Sem prejuízo de qualquer outra análise necessária para alcançar um nível razoável de garantia, as metodologias de auditoria da conformidade com o artigo 35.o do Regulamento (UE) 2022/2065 devem abranger, pelo menos, uma avaliação, efetuada pela organização de auditoria, dos seguintes elementos:

Os controlos internos que o fornecedor auditado instituiu para acompanhar a aplicação das medidas de atenuação dos riscos a que se refere o artigo 35.o, n.o 1, do Regulamento (UE) 2022/2065 e se são razoáveis, proporcionados e eficazes, devendo tal avaliação:

i)	Basear-se em procedimentos analíticos substantivos relativamente aos referidos controlos internos;

ii)	Basear-se em testes destinados a determinar se os controlos internos são fiáveis e diligentemente concebidos, realizados e acompanhados;

iii)

Apreciar a forma como o responsável ou responsáveis pela conformidade desempenharam as suas funções no que respeita ao artigo 41.o, n.o 3, alíneas b) ou d), e) e, se aplicável, f), do Regulamento (UE) 2022/2065 e a forma como o órgão de administração do fornecedor foi envolvido nos termos do artigo 41.o, n.os 6 e 7, do mesmo regulamento;

Medidas de atenuação adotadas pelos fornecedores auditados, devendo tal avaliação basear-se:

i)	Em procedimentos analíticos substantivos;

ii)

Em testes, incluindo testes dos sistemas algorítmicos, sempre que a organização de auditoria tenha dúvidas razoáveis na sequência dos resultados dos procedimentos analíticos substantivos e da avaliação dos controlos internos, ou sempre que a organização de auditoria considere necessário realizar testes no âmbito da metodologia por si escolhida nos termos do artigo 10.o, n.o 1.

3. As informações analisadas pela organização de auditoria em apoio da avaliação efetuada nos termos do presente artigo compreendem, nomeadamente:

Os relatórios de avaliação dos riscos e atenuação dos riscos relativos ao período auditado em causa, elaborados pelo fornecedor auditado, incluindo, se necessário, informações confidenciais que não façam parte das informações publicadas nos termos do artigo 42.o, n.o 2, do Regulamento (UE) 2022/2065, bem como todos os documentos comprovativos;

b)	Se for caso disso, outros relatórios de avaliação dos riscos e atenuação dos riscos do fornecedor auditado e os respetivos documentos comprovativos;

c)	Informações apresentadas pelo fornecedor auditado nos termos do artigo 5.o;

d)	Todos os relatórios de transparência relevantes do fornecedor auditado a que se refere o artigo 15.o, n.o 1, do Regulamento (UE) 2022/2065;

Se for caso disso, relatórios anteriores sobre a atenuação dos riscos e respetivos documentos comprovativos que incidam sobre períodos não abrangidos pelo período de auditoria, incluindo, se necessário, informações confidenciais que não façam parte das informações publicadas nos termos do artigo 42.o, n.o 2, do Regulamento (UE) 2022/2065;

f)	Quaisquer outros resultados de testes, documentação, elementos de prova e declarações feitas em resposta a perguntas escritas e/ou orais dirigidas pela organização de auditoria ao pessoal do fornecedor auditado, bem como observações formuladas nas instalações, se for caso disso;

g)	Outros elementos de prova pertinentes, nomeadamente assentes em informações disponibilizadas pelo fornecedor auditado;

Artigo 15.o

Metodologias específicas para a auditoria da conformidade com o artigo 36.o do Regulamento (UE) 2022/2065, relativo ao mecanismo de resposta em caso de crise

1. A avaliação da conformidade do fornecedor auditado com o artigo 36.o, n.o 1, primeiro parágrafo, alínea a), do Regulamento (UE) 2022/2065 deve incluir, nomeadamente, uma análise sobre se, e de que forma, o fornecedor auditado tomou as medidas necessárias, em especial:

a)	Se, e de que forma, o fornecedor auditado identificou os sistemas relevantes envolvidos no funcionamento e na utilização do seu serviço que contribuem significativamente para a ameaça grave e se esses sistemas foram adequadamente identificados;

b)	Se, e de que forma, o fornecedor auditado definiu e acompanhou a contribuição significativa para a ameaça grave e se a sua apreciação foi adequada;

c)	Qualquer outro requisito especificado na decisão da Comissão referida no artigo 36.o, n.o 1 ou n.o 7, segundo parágrafo, do Regulamento (UE) 2022/2065, consoante o caso.

2. A avaliação da conformidade do fornecedor auditado com o artigo 36.o, n.o 1, primeiro parágrafo, alínea b), do Regulamento (UE) 2022/2065 deve incluir, nomeadamente, uma análise sobre se, e de que forma, o fornecedor auditado tomou as medidas necessárias, em especial:

a)	Se, e de que forma, o fornecedor auditado identificou medidas para prevenir, eliminar ou limitar qualquer contribuição para a ameaça grave;

b)	Se, e de que forma, as medidas tomadas pelo fornecedor auditado tiveram em conta a gravidade da ameaça grave e a urgência, e se as medidas eram adequadas a este respeito;

c)	Se, e de que forma, o fornecedor auditado identificou as partes afetadas pelas medidas e os seus interesses legítimos, bem como de que forma avaliou o impacto real ou potencial das medidas nos direitos das mesmas partes, incluindo os direitos fundamentais e os interesses legítimos;

d)	Se as medidas tomadas pelo fornecedor auditado foram eficazes e proporcionadas;

e)	Qualquer outro requisito especificado na decisão da Comissão referida no artigo 36.o, n.o 1 ou n.o 7, segundo parágrafo, do Regulamento (UE) 2022/2065, consoante o caso.

3. A avaliação da conformidade do fornecedor auditado com o artigo 36.o, n.o 1, primeiro parágrafo, alínea c), do Regulamento (UE) 2022/2065 deve incluir, nomeadamente, uma análise da forma como o fornecedor auditado executou a medida exigida, em especial da questão de saber se o fornecedor auditado facultou à Comissão as informações exigidas na decisão da Comissão referida no artigo 36.o, n.o 1 ou n.o 7, segundo parágrafo, do Regulamento (UE) 2022/2065, e se esses relatórios eram exatos.

Artigo 16.o

Auditoria da conformidade com o artigo 37.o do Regulamento (UE) 2022/2065, relativo à auditoria independente

1. O cumprimento das obrigações estabelecidas no artigo 37.o do Regulamento (UE) 2022/2065 e no presente regulamento é avaliado em relação à auditoria ou auditorias referentes ao período anual anterior ao da auditoria em curso.

2. Para além do disposto no n.o 1, a auditoria deve incluir uma avaliação da conformidade do fornecedor auditado com o artigo 37.o, n.o 2, do Regulamento (UE) 2022/2065 no que diz respeito à auditoria em curso.

3. Se a auditoria ou auditorias anteriores referidas no n.o 1 tiverem sido realizadas pela mesma organização de auditoria que a auditoria em curso, ou se a organização de auditoria que realiza a auditoria em curso incluir, pelo menos, uma entidade jurídica que tenha participado na auditoria anterior, o relatório de auditoria deve incluir uma explicação das medidas adotadas pela organização de auditoria para assegurar a objetividade da avaliação.

Artigo 17.o

Auditoria do cumprimento dos códigos de conduta e dos protocolos de crise

1. O fornecedor auditado deve disponibilizar à organização de auditoria:

a)	Uma lista e o texto de todos os códigos de conduta a que se referem os artigos 45.o e 46.o do Regulamento (UE) 2022/2065 e protocolos de crise a que se refere o artigo 48.o do mesmo regulamento dos quais o fornecedor auditado seja signatário;

b)	Uma lista pormenorizada dos compromissos assumidos pelo fornecedor auditado no âmbito desses códigos de conduta e protocolos de crise;

c)	Se for caso disso, os indicadores-chave de desempenho acordados no âmbito de cada código de conduta e protocolo de crise;

Se for caso disso, quaisquer medições, dados e documentação disponíveis, bem como quaisquer relatórios elaborados pelo fornecedor auditado relativos ao cumprimento, por sua parte, dos compromissos assumidos, incluindo o acesso a todas as informações e dados pertinentes relacionados com o funcionamento dos serviços oferecidos pelo fornecedor auditado que sejam relevantes para a aplicação do código de conduta ou do protocolo de crise;

e)	Se for caso disso, outras medições, dados e documentação preparados pelos signatários do código de conduta ou do protocolo de crise, bem como as avaliações da Comissão ou do Comité referidas no artigo 45.o, n.o 4, do Regulamento (UE) 2022/2065.

2. A avaliação do cumprimento, por parte do fornecedor auditado, dos códigos de conduta a que se refere o artigo 45.o do Regulamento (UE) 2022/2065 deve incluir, nomeadamente, a medição dos indicadores-chave de desempenho acordados no código de conduta nos termos do artigo 45.o, n.o 3, do mesmo regulamento, especificando o limiar de significância das conclusões da auditoria e se os dados comunicados são exatos.

SECÇÃO V

Disposições finais

Artigo 18.o

Entrada em vigor

O presente regulamento entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.

O presente regulamento é obrigatório em todos os seus elementos e diretamente aplicável em todos os Estados-Membros.

Feito em Bruxelas, em 20 de outubro de 2023.

Pela Comissão

A Presidente

Ursula VON DER LEYEN

(1) JO L 277 de 27.10.2022, p. 1.