La Agencia Española de Protección de Datos (en adelante la AEPD), en colaboración con la Entidad Nacional de Acreditación (en adelante la ENAC), presentó el pasado 13 de Julio el Esquema de certificación de los Delegados de Protección de Datos, (en adelante DPD), convirtiéndose así en la primera Autoridad Europea de Protección de Datos que confecciona un marco de referencia para esta figura. En la elaboración de este documento ha participado un Comité de 23 Técnicos de Expertos entre los que se encuentran representantes de sectores y asociaciones profesionales, empresariales, universidades y Administraciones Públicas.
Partimos de la base de que, los sistemas de certificación de los DPD, regulados en los artículos 42 y 43 del Reglamento General Europeo de Protección de Datos (en adelante RGPD) y en el artículo 40 del Anteproyecto de Ley Orgánica de Protección de Datos (en adelante Anteproyecto), son una herramienta válida cuyo fin último es ofrecer una seguridad y fiabilidad tanto a los profesionales de la privacidad como a las empresas y entidades que van a incorporar la figura del DPD a sus organizaciones, de que estos reúnen la cualificación profesional necesaria y los conocimientos requeridos para la realización de sus funciones como DPD.
En consecuencia con lo anteriormente indicado, el objeto de este Esquema de Certificación no es otro que el establecimiento de las líneas generales por las que se va a regir este mecanismo de certificación.
En el esquema de certificación intervienen cuatro partes:
1. La AEPD. En su condición de propietaria y responsable del esquema, se responsabiliza de su desarrollo y revisión, implicando de forma activa en ambos procesos, a las diferentes partes interesadas, a través de un comité técnico, Comité del Esquema de certificación DPD (en adelante Comité del Esquema), cuya organización y régimen de funcionamiento se regirá por su propio Reglamento interno.
2. La ENAC. En su condición de organismo único para la acreditación de las entidades de certificación, será la encargada de establecer los requisitos a cumplir por los certificadores, teniendo siempre presente tanto los requisitos de la norma UNE-EN ISO/IEC 17024:2012, como los requisitos específicos definidos por el Esquema.
3. Las Entidades de Certificación. Son las encargadas de ofrecer la certificación para la categoría de DPD. Para poder ofrecer dichas certificaciones han de haber sido, previamente, acreditadas al efecto por la ENAC.
4. Las Entidades de Formación. Son las encargadas de ofertar la formación que satisfaga los requisitos previos a la certificación a este respecto.
La AEPD considera esta división como un factor de calidad para el proceso de certificación, ya que las entidades tienen funciones independientes y complementarias que permiten establecer una relación de confianza y mutua responsabilidad.
Ya en nuestro artículo «Los códigos de conducta y certificación. Parte II« hacíamos un desarrollo del proceso de certificación. Sin embargo, y tras la publicación del Anteproyecto, es necesario indicar que, la entidad encargada de comunicar a la AEPD, y a las autoridades de protección de datos de las Comunidades Autónomas, las concesiones, denegaciones o revocaciones de las acreditaciones de las instituciones de certificación, será la Entidad Nacional de Acreditación (en adelante ENAC) tal y como indica el artículo 40 del Anteproyecto, en relación con el artículo 43.1 del RGPD.
A su vez, estas instituciones de certificación debidamente acreditadas por ENAC, serán las encargadas de emitir las certificaciones correspondientes. Estas certificaciones, según palabras de la directora general de ENAC, aportarán a las organizaciones que requieran los servicios de un DPD una información fiable, transparente y simétrica sobre los profesionales, permitiéndoles así, una elección informada y basada en competencias.
¿Cómo podemos, entonces, identificar a los DPD?
Para que el mercado sea capaz de identificar de manera correcta a los DPD certificados según el Esquema, la AEPD ha creado una Marca de conformidad con el Esquema cuyo derecho de uso podrá ceder, de acuerdo a unas normas específicas, a cualquiera de los agentes del Esquema.
Estos agentes, que se ajustarán en todo momento a las reglas de uso de la Marca que les afecten, podrán hacer uso exclusivamente de la Marca del Esquema para indicar tal condición, una vez recibida la autorización por la AEPD y mientras se mantenga vigente la misma.
Por último, hemos de indicar que si bien la certificación no es la única vía para ser considerado como DPD ni tampoco será obligatorio utilizar un determinado esquema, la AEPD ha considerado necesario ahondar en los contenidos y elementos de este mecanismo en aras de que pueda servir como garantía para acreditar la cualificación y capacidad profesional de los candidatos a DPD.
En un próximo artículo analizaremos, detenidamente, la estructura de este Esquema de certificación de los DPD.