¡Pide presupuesto en 2 min! ✓
Empresa

¿Cómo certificar el cumplimiento del RGPD? Certificado, códigos y documentación necesaria

6 Mins read

El certificado RGPD es un distintivo que permite a las empresas demostrar a los organismos y autoridades de control, que cumplen con todas las exigencias de la ley de protección de datos. Solicitar la certificación RGPD es voluntario, pero también muy recomendable, pues funciona como una especie de garantía o salvaguardia del cumplimiento normativo.

¿A qué empresas interesa certificar el cumplimiento del RGPD?

El artículo 42 del RGPD indica que la certificación RGPD es totalmente voluntaria. Aunque las más interesadas puedan ser las grandes empresas, la normativa también señala que a la hora de expedir los certificados “se tendrán en cuenta las necesidades específicas de las microempresas y las pequeñas y medianas empresas“. Por tanto, el certificado de protección de datos le puede interesar a cualquier empresa que desee obtener una garantía extra que demuestre su cumplimiento del RGPD.

¿Cómo puedo certificar que mi empresa cumple con todas las exigencias del RGPD?

Los principales mecanismos para demostrar el cumplimiento del RGPD son:

  • Documentación justificativa de las medidas adoptadas.
  • Códigos de conducta.
  • Mecanismos de certificación.
  • Declaración responsable.

Documentación que necesito aportar para poder acreditar el cumplimento del RGPD

El certificado de cumplimiento RGPD se puede obtener entregando la documentación generada para establecer las medidas destinadas a cumplir con las obligaciones del Reglamento, así como las evidencias del correcto funcionamiento de las mismas.

Esta forma de  acreditar el cumplimiento en base a la documentación interna no será muy complicada. Por que tenemos la obligación de guardar las pruebas que demuestren, por ejemplo, que hemos informado correctamente o que establecemos unas determinadas medidas técnicas u organizativas para cumplir con el principio de seguridad.

Así tendremos mucha documentación sobre el Reglamento como:

  • Procedimientos internos,
  • Cláusulas de información,
  • Contratos con encargado del tratamiento,
  • Registro de actividades del tratamiento,
  • Evaluaciones de impacto sobre la protección de datos,
  • Análisis de riesgo, etc.

Por tanto, entregando toda esta documentación se demostraría que nuestra empresa cumple con el Reglamento.

En caso de estar ante una auditoría RGPD, el hecho de no proporcionar cierta documentación al equipo auditor nos perjudicaría.

Pero, si queremos justificar ante un tercero que en nuestra empresa el tratamiento de datos se realiza conforme al Reglamento para que contrate nuestros servicios, debemos tener en cuenta que en esa documentación puede haber mucha información sensible sobre nuestra organización, como:

  • Información sobre los Sistemas Informáticos que usamos, lo que podría afectar a la seguridad de los mismos
  • Contrato con uno de nuestro proveedores. Al acceder a ese contrato también accedería a todas las condiciones económicas que pueden ser confidenciales.

Es decir, muchos de los documentos que acrediten el cumplimiento también contendrán información que no debemos compartir a la ligera porque pueden ser datos de carácter personal, puede ser información confidencial o información comercial que no queramos que pueda ser utilizada por los competidores.

Dentro de la documentación con la que podemos garantizar el cumplimiento está:

  • Registro de Actividades del Tratamiento,
  • Análisis de riesgos,
  • Evaluaciones de Impacto sobre la Protección de Datos,
  • contratos, medidas, controles, etc, se podrían utilizar, aunque restringiendo cierta información

Por ejemplo, si queremos demostrar que tenemos regulada la relación con un tercero podremos remitir la cláusula de encargado del tratamiento que tenemos firmada sin que se envíe la información sobre el precio o condiciones del servicio, que no aportan nada al fin que perseguimos.

tarifas proteccion datos autonomos

Los códigos de conducta

Los códigos de conducta son mecanismos a adoptar de forma voluntaria que garantizan el cumplimiento de la nueva normativa.

El propio Reglamento establece que podrá usarse como elemento de justificación del cumplimiento la adhesión a Códigos de Conducta. Siempre que se hayan aprobado según las exigencias del art. 40 del RGPD.

Conforme al RGPD, las asociaciones y otros organismos podrán elaborar códigos de conducta y también existe la posibilidad de que se adhieran a códigos de conducta ya existentes.

El objetivo de estos códigos de conducta es contribuir a la correcta aplicación de la normativa teniendo en cuenta las características y necesidades de los distintos sectores de tratamiento.

Por un lado, existen los códigos de ámbito nacional y, por otro lado, los códigos de conducta en los tratamientos de datos que se realicen en más de un Estado Miembro.

Los códigos de certificación

Se trata de un concepto nuevo en el RGPD cuya finalidad es demostrar el adecuado cumplimiento de lo dispuesto en esta normativa, por parte de los responsables y de los encargados del tratamiento.

Estas certificaciones serán válidas durante un periodo de 3 años pasados los cuales podrá ser renovada en las mismas condiciones siempre que se sigan cumpliendo los requisitos necesarios para su expedición.

Los organismos de certificación, como ENAC, que tengan un nivel de conocimiento adecuado en materia de protección de datos gestionarán y renovarán las certificaciones previa información a la autoridad de control.

Una declaración responsable

La declaración responsable es un documento cuyo objetivo es aligerar los procesos administrativos. En esa declaración el interesado manifiesta que cumple con unos requisitos normativos y que tiene la documentación que demuestra ese cumplimiento. Está regulado en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.

En el sector público la acreditación del cumplimiento LOPD se podrá realizar mediante una declaración responsable. Aunque posteriormente se tendrá que acreditar que efectivamente se cumplen con los requisitos. Por lo tanto también tendremos que guardar pruebas que justifiquen la conformidad de nuestros tratamientos con el nuevo Reglamento.

En el ámbito privado el documento tendrá el mismo valor que los certificados privados, es decir, aquellos que no se realicen de forma oficial, no se considerarían válidos como justificantes de cumplimiento.

El certificado de cumplimiento RGPD

El artículo 42.7 del RGPD señala que “La certificación se expedirá a un responsable o encargado de tratamiento por un período máximo de tres años y podrá ser renovada en las mismas condiciones, siempre y cuando se sigan cumpliendo los requisitos pertinentes (…) La certificación será retirada cuando no se cumplan o se hayan dejado de cumplir los requisitos para la certificación“.

¿Quién puede certificar que mi empresa cumple con todos los requisitos del RGPD?

El artículo 43 del RGPD afirma que estos certificados serán expedidos por aquellos organismos de certificación que cuenten con la aprobación de los organismos o autoridades de control de los países miembros, en el caso de España la AEPD (Agencia Española de Protección de Datos).

Para ello, estos organismos de certificación deben haber demostrado su independencia y eficacia frente a la autoridad de control, además de otra serie de requisitos incluidos en este artículo 43. La acreditación como organismos certificador se otorga durante cinco años renovables.

Auditores externos

Todas las auditorías y las certificaciones cuando no sean oficiales, es decir, no hayan sido aprobadas conforme al RGPD, no valdrán como justificación del cumplimiento. Pero sí nos servirá para demostrar nuestra diligencia en el cumplimiento. Además si podemos defender dicha información con evidencias nos servirá para justificar el cumplimiento.

¿Qué sucede si no acredito correctamente que cumplo con la normativa de protección de datos?

Los ciudadanos de la UE tienen derecho a reclamar ante las autoridades de control si consideran que el tratamiento de sus datos personales infringe el RGPD.

Al ser la privacidad un derecho fundamental, también tienen derecho a la tutela judicial efectiva. Así mismo, tienen derecho a indemnización por el responsable o el encargado del tratamiento por los daños y perjuicios sufridos a consecuencia de una infracción del Reglamento europeo para la protección de los datos.

Estos derechos podrán ser ejercidos de forma individual o colectiva, a través de organizaciones o asociaciones sin ánimo de lucro constituidas para la protección de estos derechos y libertades.

Por otra parte, las autoridades de control pueden investigar y corregir las infracciones.

Para las investigaciones podrán:

  • Ordenar al responsable o al encargado que facilite información,
  • Llevar a cabo auditorías y
  • Obtener acceso a los datos, locales y equipos.

Para corregir las infracciones podrán imponerse sanciones APED:

  • Sancionar con advertencias si consideran que la infracción es posible,
  • Sancionar con apercibimientos si se ha infringido el RGPD,
  • Limitar temporalmente o prohibir el tratamiento,
  • Ordenar supresión de datos
  • Imponer multas.

¿Necesitas certificar que tu empresa cumple con la protección de datos? Te podemos ayudar

Si todavía sigues sin tener claro cómo acreditar que tu empresa cumple el RGPD, ponte en contacto con nosotros. Conocemos a todos los organismos de certificación acreditados de España y sabemos los pasos que hay que seguir para obtener el certificado RGPD.

Nuestros profesionales se encargarán de todo lo necesario para que tu empresa obtenga este certificado, y te ahorramos tiempo y preocupaciones. No olvides que este certificado RGPD LOPD es una garantía que demuestra que tu empresa cumple con todas las exigencias de la normativa.

No esperes más, ponte en contacto con nosotros y demuestra que tu empresa está comprometida con el cumplimiento de la ley.

About author
Licenciada en derecho por la Universidad de Oviedo, Máster de Propiedad Industrial, Propiedad Intelectual, Competencia y Nuevas Tecnologías por la Fundación PONS y la Universidad Rey Juan Carlos. Experiencia en la gestión y tramitación de Patente, Modelos de Utilidad y Diseños industriales a nivel Internacional. Abogada especializada en materia de protección de datos, realizando adaptación, seguimiento y auditorías, así como desempeñando la función de Delegado de Protección de Datos. Experta en el registro de Marcas a nivel nacional y europeo.
Articles
Related posts
EmpresaLOPDGDD & RGPD

Evaluación de Impacto en la Protección de Datos

7 Mins read
Guía con ejemplos para realizar una ✅ Evaluación de Impacto en la protección de datos personales (EIPD). ¡Entra ahora para cumplir la legalidad!
EmpresaIgualdad

El lenguaje no sexista e inclusivo en el ámbito laboral

9 Mins read
Una de las formas en que las empresas pueden mostrar su compromiso con la igualdad de oportunidades entre mujeres y hombres, es…
EmpresaTeletrabajo

Smart Working o cómo cambiar el teletrabajo en tu empresa

8 Mins read
A estas alturas, todos estamos familiarizados en mayor o menor medida con el teletrabajo, en España incluso se creó la Ley del…

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio está protegido por reCAPTCHA y se aplican la política de privacidad y los términos de servicio de Google.

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.