protección de datos certificaciones

Artículo

Newsletter protección de datos 

Certificaciones

En los últimos días, el Comité Europeo de Protección de Datos o CEPD (órgano europeo encargado de garantizar la aplicación coherente del Reglamento General de Protección de Datos (GDPR) en el ámbito de la Unión Europea) ha publicado la versión definitiva de diversas Directrices, de entre la que debemos destacar las Directrices 1/2018, relativas a las certificaciones en materia de protección de datos y a la identificación de los criterios de certificación, publicada el pasado día 4 de junio. Acceda aquí al documento

No podemos perder de vista que, tal y como afirma el Comité, “el GDPR provee un marco de cumplimiento en la materia, moderno y basado en la responsabilidad proactiva”, de forma que, en este nuevo entorno, es la propia entidad que trata los datos (responsable o encargado) quien debe gestionar de manera continuada el cumplimiento, además de ser capaz de demostrarlo. En este contexto, la certificación juega un importante papel. Los propios Considerandos del GDPR la definen como un mecanismo para aumentar la transparencia, permitiendo a los interesados evaluar con mayor rapidez el nivel de protección de datos de los productos y servicios correspondientes.

Hay que comenzar aclarando que la obtención de una certificación no es una obligación legal (es voluntaria), pero desde luego sí parece algo muy recomendable, entre otras cosas porque será un factor a tomar en consideración de cara a fijar la cuantía de una eventual multa derivada de una infracción en esta materia (art. 83.2 GDPR). Es más, el Reglamento se refiere en diversas ocasiones a la certificación como un elemento para acreditar el cumplimiento, por ejemplo, respecto de la adopción de medidas técnicas y organizativas apropiadas (arts. 24, 25 y 32 GDPR), o como elemento para demostrar la situación de cumplimiento del encargado del tratamiento (art. 28 GDPR).

La certificación podrá ser expedida por la AEPD o por organismos de certificación acreditados, pero en todo caso conforme a criterios que deben ser aprobados por la AEPD o por el CEPD. 

En cuanto a los aspectos a tener en consideración por los criterios de certificación, las Directrices 1/2018 indican que, entre otros, serán los relativos a la licitud y al cumplimiento de los principios relativos al tratamiento, los derechos de los interesados, el cumplimiento de la obligación de comunicar las violaciones de seguridad, el cumplimiento de la obligación de protección de los datos desde el diseño y por defecto, la realización de las oportunas evaluaciones de impacto, así como la adopción de las medidas técnicas y organizativas apropiadas, debiendo en cualquier caso tomarse en consideración tanto el área como el tipo de tratamientos a que se refiera la certificación.

Las Directrices dedican también parte de su contenido a los métodos de evaluación a aplicar para verificar el cumplimiento de los criterios de certificación definidos, y la documentación de los resultados obtenidos.

En definitiva, en el nuevo modelo de Compliance que impone el GDPR, que gira en torno al principio del cumplimiento proactivo de sus exigencias, las certificaciones de protección de datos van a configurarse como un verdadero e indubitado elemento para demostrar el cumplimiento, resultando en un claro instrumento de transparencia que sin duda servirá a las entidades para facilitar sus relaciones con terceros, con los propios clientes y con la autoridad de control, además de añadir un notable reconocimiento reputacional.