Mecanismos de certificación en el RGPD

Mecanismos de certificación en el RGPD
abril 15, 2020| Protección de datos

✔​ El principio de responsabilidad proactiva, señalado en el artículo 5.2 del Reglamento General de Protección de Datos, en adelante RGPD, comporta que el responsable del tratamiento será responsable del cumplimiento de la normativa sobre protección de datos y capaz de demostrarlo. Una de las formas más rápidas de poder demostrar el cumplimiento de esta normativa es mediante Mecanismos de certificación en el RGPD.

Mecanismos de certificación en el RGPD y en la LOPDGDD

Los mecanismos de certificación en el RGPD se encuentran regulados en sus artículos 42 y 43. El RGPD señala que los Estados miembros, las autoridades de control, el Comité y la Comisión promoverán, en particular a nivel de la Unión, la creación de mecanismos de certificación en materia de protección de datos y de sellos y marcas de protección de datos a fin de demostrar el cumplimiento de lo dispuesto en el RGPD en las operaciones de tratamiento de los responsables y los encargados.  Esta certificación será voluntaria y estará disponible a través de un proceso transparente, ofrecido por organismos de certificación autorizados por la Agencia Española de Protección de Datos – en el caso de España.

La certificación a que se refiere el presente artículo no limitará la responsabilidad del responsable o encargado del tratamiento en cuanto al cumplimiento del RGPD, sino que esta se empleará para demostrar el cumplimiento de una forma fácil, rápida y sencilla.

Los responsables o encargados que sometan su tratamiento al mecanismo de certificación dará al organismo de certificación, o en su caso a la autoridad de control competente, toda la información y acceso a sus actividades de tratamiento que necesite para llevar a cabo el procedimiento de certificación.

La certificación se expedirá a un responsable o encargado de tratamiento por un período máximo de tres años y podrá ser renovada en las mismas condiciones, siempre y cuando se sigan cumpliendo los requisitos pertinentes. La certificación será retirada, cuando proceda, por los organismos de certificación, o en su caso por la autoridad de control competente, cuando no se cumplan o se hayan dejado de cumplir los requisitos para la certificación.

✔️ ¡No se preocupe!, el «GRUPO ADAPTALIA» le resuelve cualquier interrogante en el cumplimiento normativo legal, tecnológico y de organización de su compañía.

Consultoría en Protección de Datos

✔️ Nuestra «CONSULTORÍA EN PROTECCIÓN DE DATOS» es la solución perfecta para que nada le inquiete. Nuestras soluciones están personalizadas para cada tipo de aspecto a tratar y sector empresarial.

Usos de los Mecanismos de certificación en el RGPD

  • Responsable del tratamiento. El artículo 24.3 del RGPD señala, dentro de las obligaciones relativas a la Responsabilidad del responsable, que la adhesión a códigos de conducta aprobados a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrán ser utilizados como elementos para demostrar el cumplimiento de las obligaciones por parte del responsable del tratamiento. También se señala esta obligación en el artículo 25.3, relativo a la protección de datos desde el diseño y por defecto: Podrá utilizarse un mecanismo de certificación aprobado con arreglo al artículo 42 como elemento que acredite el cumplimiento de las obligaciones establecidas en los apartados 1 y 2 del presente artículo.

 

  • Encargado del Tratamiento. El artículo 28.1 del RGPD señala que cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del RGPD y garantice la protección de los derechos del interesado. En el apartado 5 del mismo artículo se señala La adhesión del encargado del tratamiento a un código de conducta aprobado a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrá utilizarse como elemento para demostrar la existencia de las garantías suficientes. Así pues, un Encargado del tratamiento que preste servicios a un responsable, este último puede exigirle evidencias de cumplimento. Una de las formas más sencillas y rápidas para ello es mostrarle el certificado.

 

  • Transferencias internacionales. La adhesión de los responsables o encargados del tratamiento sujetos al RGPD, podrán establecerse mecanismos de certificación, sellos o marcas de protección de datos aprobados, con objeto de demostrar la existencia de garantías adecuadas ofrecidas por los responsables o encargados no sujetos al RGPD con arreglo al marco de transferencias de datos personales a terceros países u organizaciones internacionales. Dichos responsables o encargados deberán asumir compromisos vinculantes y exigibles, por vía contractual o mediante otros instrumentos jurídicamente vinculantes, para aplicar dichas garantías adecuadas, incluidas las relativas a los derechos de los interesados.

Ello se encuentra regulado en el artículo 46.2.f del RGPD: Las garantías adecuadas con arreglo al apartado 1 – cuando se carezca de una decisión de adecuación de la Comisión Europea – podrán ser aportadas, sin que se requiera ninguna autorización expresa de una autoridad de control, por un mecanismo de certificación aprobado con arreglo al artículo 42, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas la relativas a los derechos de los interesados.

 

▸Estimado lector, ¡¡gracias por su tiempo!!

Suscribete a nuestra Newsletter