Si a lo largo de nuestro artículo de la semana pasada nos centrábamos en los Códigos de Conducta regulados por el Reglamento Europeo de Protección de Datos, en esta ocasión nos centramos en otra de las figuras que recoge el RGPD, los Códigos de certificación.
¿Qué son y qué suponen?
Como punto de partida diremos, tal y como indicó la Agencia Española de Protección de Datos en su 8ª sesión abierta anual, que si bien la denominación Códigos de certificación es una novedad introducida por el RGPD, esta figura ya existía de manera implícita, como mecanismos de supervisión, en los códigos tipo regulados por Ley Orgánica 15/1999 de 13 de Diciembre de Protección de datos.
Estos códigos de certificación se encuentran regulados en los artículos 42 y 43 del RGPD y son mecanismos en materia de protección de datos cuyo fin es demostrar el adecuado cumplimiento de lo dispuesto en el RGPD, por parte de los responsables y los encargados de tratamiento, así como proporcionar garantías adecuadas para las Transferencias Internacionales de Datos teniendo en cuenta las características y necesidades específicas de los distintos sectores de tratamiento y ámbitos sectoriales.
El RGPD, en su artículo 42.1, establece que Los Estados Miembros, las autoridades de control, el Comité y la Comisión promoverán la creación de mecanismos de certificación en materia de protección de datos a fin de demostrar el cumplimiento de lo dispuesto en el RGPD en las operaciones de tratamiento de los responsables y encargados. Estos mecanismos no serán otros que unas certificaciones que se otorgaran a aquellos responsables y encargados de tratamiento que cumplan de manera correcta con el RGPD. Estas certificaciones tendrán una validez de 3 años pasados los cuales podrá ser renovada en las mismas condiciones siempre y cuando se sigan cumpliendo los requisitos pertinentes para su expedición.
En cualquier caso, hemos de tener en cuenta que, al igual que ocurría con los Códigos de Conducta, los Códigos de certificación tienen un carácter voluntario.
Y, ¿Quiénes son los encargados de expedir esas certificaciones?
El RGPD indica en el artículo 43 que, sin perjuicio de las funciones y poderes de la autoridad de control competente, los organismos de certificación, que tengan un nivel de pericia adecuada en materia de protección de datos expedirán y renovaran las certificaciones una vez informada la autoridad de control.
Sin embargo, a su vez, y para poder desempeñar estas funciones, estos organismos deberán ser acreditados como tal por las autoridades de control competentes o por los organismos nacionales de acreditación siempre y cuando se cumplan los requisitos establecidos en el artículo 43.2 del RGPD.
Esta acreditación se expedirá por un periodo máximo de 5 años, transcurridos los cuales podrá ser renovada siempre y cuando se sigan cumpliendo los requisitos establecidos para tal fin. Si los mismos no se cumplen o dejan de cumplirse en el transcurso de ese período, la autoridad de control competente o el organismo nacional de acreditación podrá revocar la acreditación tal como indica el artículo 43 del RGPD en su apartado número 7.
Los organismos de certificación serán responsables de la correcta evaluación de la certificación a efectos de concederla o retirarla, sin perjuicio de la responsabilidad del responsable o del encargado del tratamiento en cuanto al cumplimiento del RGPD. Estos organismos, habrán de comunicar a las autoridades de control competentes las razones de la expedición de la certificación solicitada o de su retirada.
El Comité archivará en un registro todos los mecanismos de certificación y sellos de protección de datos y los pondrá a disposición pública por cualquier medio apropiado. Por su parte, la Comisión podrá adoptar actos de ejecución que establezcan normas técnicas para los mecanismos de certificación y los sellos y marcas de protección de datos, y mecanismos para promover y reconocer dichos mecanismos de certificación, sellos y marcas.
Actualmente, tras la publicación del RGPD, España trabaja para la adaptación de los Códigos de Certificación a la nueva normativa europea. Así, la AEPD está impulsando junto con la Entidad Nacional de Acreditación (ENAC), los trabajos para desarrollar un modelo de certificación como Delegado de Protección de Datos, que será utilizado por aquellas entidades que deseen realizar certificaciones de este tipo.
Asimismo, y con la finalidad de que todos los implicados puedan participar en este modelo, la AEPD también ha impulsado la creación del Comité de Expertos del Esquema de Certificación de Delegados de Protección de Datos, del que forman parte asociaciones y entidades representativas de varios sectores, así como las Autoridades de Protección de Datos de Cataluña y País Vasco.