En ocasiones puede ser necesario acreditar que nuestra empresa o negocio cumple con el RGPD y la LOPD, pero ¿cómo podemos hacerlo? La respuesta está en el certificado RGPD o certificado de protección de datos. En este artículo explicamos todo lo que necesitáis saber sobre esta certificación del cumplimiento de la normativa de protección de datos.
En este artículo hablamos de:
- ¿Qué es el certificado de protección de datos?
- ¿A qué empresas interesa la certificación en protección de datos?
- ¿Cómo puedo certificar que mi empresa cumple con todas las exigencias del RGPD?
- Certificado LOPD y RGPD
- ¿Quién puede certificar que mi empresa cumple con todos los requisitos del RGPD?
- ¿Qué sucede si no acredito correctamente que cumplo con la normativa de protección de datos?
- ¿Necesitas la certificación en protección de datos para tu empresa? Te podemos ayudar
¿Qué es el certificado de protección de datos?
El certificado de protección de datos es un distintivo que permite a las empresas demostrar a los organismos y autoridades de control que cumplen con todas las exigencias de la ley de protección de datos.
La certificación en protección de datos está regulada en los artículos 42 y 43 del RGPD y el artículo 39 de la LOPD.
Solicitar un certificado en protección de datos, o certificado LOPD o RGDP, es voluntario, pero también muy recomendable, puesto que funciona como una suerte de garantía o salvaguardia del cumplimiento de la normativa de protección de datos.
¿A qué empresas interesa la certificación en protección de datos?
El artículo 42 del RGPD indica que la certificación RGPD es totalmente voluntaria, por lo que ni grandes ni mediana y pequeñas empresas están obligadas a obtener un certificado RGPD o LOPD. Sin embargo, como hemos dicho más arriba, obtener una certificación en protección de datos es muy recomendable, especialmente de cara demostrar ante la AEPD que las empresas cumplen con las obligaciones de la normativa.
Aunque parece evidente que las más interesadas en obtener un certificado de protección de datos puedan ser las grandes empresas, cabe señalar que la normativa establece que a la hora de expedir estos certificados de protección de datos «se tendrán en cuenta las necesidades específicas de las microempresas y las pequeñas y medianas empresas».
¿Cómo puedo certificar que mi empresa cumple con todas las exigencias del RGPD?
Para certificar que mi empresa cumple con todas las exigencias del RGPD y poder así obtener un certificado en protección de datos, se puede recurrir a uno (o varios) de los siguientes mecanismos para demostrar el cumplimiento del RGPD:
- Documentación justificativa de las medidas adoptadas
- Códigos de conducta
- Mecanismos de certificación
- Declaración responsable
Documentación que necesito aportar para poder acreditar el cumplimiento del RGPD
El certificado de cumplimiento RGPD se puede obtener entregando la documentación generada para establecer las medidas destinadas a cumplir con las obligaciones del Reglamento, así como las evidencias del correcto funcionamiento de las mismas.
Esta forma de acreditar el cumplimiento en base a la documentación interna no será muy complicada. Porque tenemos la obligación de guardar las pruebas que demuestren, por ejemplo, que hemos informado correctamente o que establecemos unas determinadas medidas técnicas u organizativas para cumplir con el principio de seguridad.
Así tendremos mucha documentación sobre el Reglamento como:
- Procedimientos internos
- Cláusulas de información
- Contratos con encargado del tratamiento
- Registro de actividades del tratamiento
- Evaluaciones de impacto sobre la protección de datos
- Análisis de riesgo, etc.
Por tanto, entregando toda esta documentación se demostraría que nuestra empresa cumple con el Reglamento.
En caso de estar ante una auditoría RGPD, el hecho de no proporcionar cierta documentación al equipo auditor nos perjudicaría.
Pero si queremos justificar ante un tercero que en nuestra empresa el tratamiento de datos se realiza conforme al Reglamento para que contrate nuestros servicios, debemos tener en cuenta que en esa documentación puede haber mucha información sensible sobre nuestra organización, como:
- Información sobre los Sistemas Informáticos que usamos, lo que podría afectar a la seguridad de los mismos
- Contrato con uno de nuestros proveedores. Al acceder a ese contrato también accedería a todas las condiciones económicas que pueden ser confidenciales
Es decir, muchos de los documentos que acrediten el cumplimiento también contendrán información que no debemos compartir a la ligera, porque pueden ser datos de carácter personal, puede ser información confidencial o información comercial que no queramos que pueda ser utilizada por los competidores. Por ello debemos adoptar las medidas necesarias para que esos terceros no puedan ver dicha información, por ejemplo, ocultándola mediante mecanismos de censura o redacción.
Dentro de la documentación con la que podemos garantizar el cumplimiento está:
- Registro de Actividades del Tratamiento
- El informe de análisis de riesgos,
- Evaluaciones de Impacto sobre la Protección de Datos
- Contratos, medidas, controles, etc., se podrían utilizar, aunque restringiendo cierta información
Por ejemplo, si queremos demostrar que tenemos regulada la relación con un tercero, podremos remitir la cláusula de encargado del tratamiento que tenemos firmada sin que se envíe la información sobre el precio o condiciones del servicio, que no aportan nada al fin que perseguimos.
Los códigos de conducta
Los códigos de conducta son mecanismos a adoptar de forma voluntaria que garantizan el cumplimiento de la normativa de protección de datos.
El propio Reglamento establece que podrá usarse como elemento de justificación del cumplimiento la adhesión a Códigos de Conducta, siempre que se hayan aprobado según las exigencias del art. 40 del RGPD.
Conforme al RGPD, las asociaciones y otros organismos podrán elaborar códigos de conducta y también existe la posibilidad de que se adhieran a códigos de conducta ya existentes.
El objetivo de estos códigos de conducta es contribuir a la correcta aplicación de la normativa teniendo en cuenta las características y necesidades de los distintos sectores de tratamiento.
Por un lado, existen los códigos de ámbito nacional y, por otro lado, los códigos de conducta en los tratamientos de datos que se realicen en más de un Estado Miembro.
Los códigos de certificación
Se trata de un concepto nuevo en el RGPD cuya finalidad es demostrar el adecuado cumplimiento de lo dispuesto en esta normativa, por parte de los responsables y de los encargados del tratamiento.
Estas certificaciones serán válidas durante un periodo de 3 años, una vez finalizado, podrá ser renovada en las mismas condiciones siempre que se sigan cumpliendo los requisitos necesarios para su expedición.
Los organismos de certificación, como ENAC, que tengan un nivel de conocimiento adecuado en materia de protección de datos, gestionarán y renovarán las certificaciones previa información a la autoridad de control.
Una declaración responsable
La declaración responsable es un documento cuyo objetivo es aligerar los procesos administrativos. En esa declaración el interesado manifiesta que cumple con unos requisitos normativos y que tiene la documentación que demuestra ese cumplimiento. Está regulado en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
En el sector público la acreditación del cumplimiento LOPD se podrá realizar mediante una declaración responsable. Aunque posteriormente se tendrá que acreditar que efectivamente se cumple con los requisitos. Por lo tanto, también tendremos que guardar pruebas que justifiquen la conformidad de nuestros tratamientos con el nuevo Reglamento.
En el ámbito privado, el documento tendrá el mismo valor que los certificados privados, es decir, aquellos que no se realicen de forma oficial, no se considerarían válidos como justificantes de cumplimiento.
Certificado LOPD y RGPD
El artículo 42.7 del RGPD señala que “La certificación se expedirá a un responsable o encargado de tratamiento por un periodo máximo de tres años y podrá ser renovada en las mismas condiciones, siempre y cuando se sigan cumpliendo los requisitos pertinentes (…) La certificación será retirada cuando no se cumplan o se hayan dejado de cumplir los requisitos para la certificación“.
¿Quién puede certificar que mi empresa cumple con todos los requisitos del RGPD?
El artículo 43 del RGPD afirma que el certificado de protección de datos será expedido por aquellos organismos de certificación que cuenten con la aprobación de los organismos o autoridades de control de los países miembros; en el caso de España, la AEPD (Agencia Española de Protección de Datos).
Para ello, estos organismos de certificación deben haber demostrado su independencia y eficacia frente a la autoridad de control, además de otra serie de requisitos incluidos en este artículo 43. La acreditación como organismo certificador se otorga durante cinco años renovables.
Auditores externos
Todas las auditorías y las certificaciones que no sean oficiales, es decir, no hayan sido aprobadas conforme al RGPD, no valdrán como justificación del cumplimiento. Pero sí nos servirán para demostrar nuestra diligencia en el cumplimiento de la normativa de protección de datos. Aunque cabe señalar que si podemos defender dicha información con evidencias,sí nos servirá para justificar el cumplimiento.
¿Qué sucede si no acredito correctamente que cumplo con la normativa de protección de datos?
Los ciudadanos de la UE tienen derecho a reclamar ante las autoridades de control si consideran que el tratamiento de sus datos personales infringe el RGPD.
Al ser la privacidad un derecho fundamental, también tienen derecho a la tutela judicial efectiva. Así mismo, tienen derecho a indemnización por el responsable o el encargado del tratamiento por los daños y perjuicios sufridos a consecuencia de una infracción del Reglamento europeo para la protección de los datos.
Estos derechos podrán ser ejercidos de forma individual o colectiva, a través de organizaciones o asociaciones sin ánimo de lucro constituidas para la protección de estos derechos y libertades.
Por otra parte, las autoridades de control pueden investigar y corregir las infracciones.
Para las investigaciones podrán:
- Ordenar al responsable o al encargado que facilite información
- Llevar a cabo auditorías
- Obtener acceso a los datos, locales y equipos
Para corregir las infracciones podrán imponerse sanciones APED:
- Sancionar con advertencias si consideran que la infracción es posible
- Sancionar con apercibimientos si se ha infringido el RGPD
- Limitar temporalmente o prohibir el tratamiento
- Ordenar supresión de datos
- Imponer multas
¿Necesitas la certificación en protección de datos para tu empresa? Te podemos ayudar
Si todavía sigues sin tener claro cómo acreditar que tu empresa cumple el RGPD, ponte en contacto con nosotros. Conocemos todos los organismos de certificación de protección de datos acreditados de España y sabemos los pasos que hay que seguir para obtener el certificado de protección de datos.
Nuestros profesionales se encargarán de todo lo necesario para que tu empresa obtenga la certificación en protección de datos, y te ahorramos tiempo y preocupaciones. No olvides que este certificado RGPD y LOPD es una garantía que demuestra que tu empresa cumple con todas las exigencias de la normativa.
No esperes más, ponte en contacto con nosotros y demuestra que tu empresa está comprometida con el cumplimiento de la ley.