El certificado de protección de datos es una de las formas en las que una empresa o autónomo puede acreditar el cumplimiento de la normativa de protección de datos. En este artículo explicamos qué es el certificado RGPD y LOPD, su utilidad y cómo conseguir esta certificación.
En este artículo hablamos de:
- ¿Qué es el certificado de protección de datos?
- ¿A qué empresas interesa la certificación en protección de datos?
- ¿Cómo puedo certificar que mi empresa cumple con todas las exigencias de la normativa de protección de datos?
- Certificado LOPD y RGPD
- ¿Quién puede certificar que mi empresa cumple con todos los requisitos del RGPD?
- ¿Qué sucede si no acredito correctamente que cumplo con la normativa de protección de datos?
- ¿Necesitas la certificación en protección de datos para tu empresa? Te podemos ayudar
¿Qué es el certificado de protección de datos?
El certificado de protección de datos es un distintivo que permite a las empresas demostrar a los organismos y autoridades de control que cumplen con todas las exigencias de la ley de protección de datos.
El certificado en protección de datos está regulado en los artículos 42 y 43 del RGPD y el artículo 49 de la LOPD.
La solicitud de la certificación RGPD y LOPD es voluntaria, ya que la normativa no obliga a obtener una certificación en protección de datos, sin embargo, es muy recomendable tenerlo, puesto que funciona como garantía del cumplimiento de la ley ante las autoridades de control, así como ante clientes y otros terceros interesados.
¿A qué empresas interesa la certificación en protección de datos?
Tener la certificación en protección de datos interesa a cualquier tipo de empresa, especialmente si, como parte de su actividad, trata con grandes volúmenes de datos personales o con datos de categorías especiales, ya que está más expuesta a riesgos de incumplimiento.
Sin embargo, cualquier empresa, grande o pequeña, con independencia de su actividad o número de trabajadores, puede beneficiarse de contar con un certificado de cumplimiento de la LOPD y el RGPD, ya que de cara a posibles inspecciones de la AEPD, contará con una herramienta que acredite que cumple con las obligaciones derivadas de la normativa de forma proactiva.
Aunque parece evidente que las más interesadas en obtener un certificado de protección de datos puedan ser las grandes empresas, cabe señalar que la normativa establece que a la hora de expedir estos certificados de protección de datos «se tendrán en cuenta las necesidades específicas de las microempresas y las pequeñas y medianas empresas».
¿Cómo puedo certificar que mi empresa cumple con todas las exigencias de la normativa de protección de datos?
Para certificar que mi empresa cumple con todas las exigencias de la normativa de protección de datos, se puede recurrir a uno (o varios) de los siguientes mecanismos para demostrar el cumplimiento del RGPD:
- Documentación justificativa de las medidas adoptadas
- Códigos de conducta
- Mecanismos de certificación
- Declaración responsable
Documentación que necesito aportar para poder acreditar el cumplimiento del RGPD
La documentación necesaria para acreditar que estamos cumpliendo con la LOPD y el RGPD es aquella que se genera al cumplir con las obligaciones de la normativa, así como las evidencias del correcto funcionamiento de las medidas de protección de datos implementadas en la empresa.
El cumplimiento del RGPD requiere ser proactivos en la protección de datos, lo que implica llevar un registro y documentación de todas las medidas técnicas y organizativas adoptadas e implantadas en la empresa, para poder demostrar que se cumple con la normativa. Por ejemplo, tenemos que guardar prueba de que hemos informado a los interesados sobre el tratamiento de sus datos o de que tenemos su consentimiento para tratar sus datos.
Así tendremos mucha documentación sobre el cumplimiento de la normativa, como:
- Procedimientos internos
- Cláusulas de información
- Contratos con encargado del tratamiento
- Registro de actividades del tratamiento
- Evaluaciones de impacto sobre la protección de datos
- Análisis de riesgo, etc.
Por tanto, entregando esta documentación se demostraría que nuestra empresa cumple con la normativa.
En caso de estar ante una auditoría RGPD, el hecho de no proporcionar cierta documentación al equipo auditor nos perjudicaría.
Pero si queremos justificar ante un tercero que en nuestra empresa el tratamiento de datos se realiza conforme a la normativa para que contrate nuestros servicios, debemos tener en cuenta que en esa documentación puede haber mucha información sensible sobre nuestra organización, como:
- Información sobre los Sistemas Informáticos que usamos, lo que podría afectar a la seguridad de los mismos
- Contrato con uno de nuestros proveedores. Al acceder a ese contrato también accedería a todas las condiciones económicas que pueden ser confidenciales
Es decir, muchos de los documentos que acreditan el cumplimiento de la normativa, también contienen información que no debemos compartir a la ligera, porque pueden ser datos de carácter personal, puede ser información confidencial o información comercial que no queramos que pueda ser utilizada por los competidores. Por ello debemos adoptar las medidas necesarias para que esos terceros no puedan ver dicha información, por ejemplo, ocultándola mediante mecanismos de censura o redacción.
Por ejemplo, si queremos demostrar que tenemos regulada la relación con un tercero, podremos remitir la cláusula de encargado del tratamiento que tenemos firmada sin que se envíe la información sobre el precio o condiciones del servicio, que no aportan nada al fin que perseguimos.
Los códigos de conducta
Los códigos de conducta son mecanismos a adoptar de forma voluntaria por empresas de un mismo sector, que garantizan el cumplimiento de la normativa de protección de datos.
El RGPD establece que podrá usarse como elemento de justificación del cumplimiento la adhesión a códigos de conducta, siempre que se hayan aprobado según las exigencias del artículo 40.
Los códigos de conducta pueden elaborarlos asociaciones y otros organismos y cualquier empresa del sector puede solicitar la adhesión al correspondiente código. Tienen como objetivo contribuir a la correcta aplicación de la normativa, teniendo en cuenta las características y necesidades de los distintos sectores de tratamiento. Y pueden ser tanto de ámbito nacional como internacional.
Los códigos de certificación
Los códigos de certificación tienen como finalidad demostrar el adecuado cumplimiento de lo dispuesto en esta normativa, por parte de los responsables y de los encargados del tratamiento.
Estas certificaciones serán válidas durante un periodo de 3 años, una vez finalizado, podrá ser renovada en las mismas condiciones siempre que se sigan cumpliendo los requisitos necesarios para su expedición.
Los organismos de certificación, como ENAC, que tengan un nivel de conocimiento adecuado en materia de protección de datos, gestionarán y renovarán las certificaciones previa información a la autoridad de control.
Una declaración responsable
La declaración responsable es un documento cuyo objetivo es aligerar los procesos administrativos. En esa declaración el interesado manifiesta que cumple con unos requisitos normativos y que tiene la documentación que demuestra ese cumplimiento. Está regulado en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
En el sector público la acreditación del cumplimiento LOPD se podrá realizar mediante una declaración responsable. Aunque posteriormente se tendrá que acreditar que efectivamente se cumple con los requisitos. Por lo tanto, también tendremos que guardar pruebas que justifiquen la conformidad de nuestros tratamientos con la normativa de protección de datos.
En el ámbito privado, el documento tendrá el mismo valor que los certificados privados, es decir, aquellos que no se realicen de forma oficial, no se considerarían válidos como justificantes de cumplimiento.
Certificado LOPD y RGPD
El artículo 42.7 del RGPD señala que «La certificación se expedirá a un responsable o encargado de tratamiento por un periodo máximo de tres años y podrá ser renovada en las mismas condiciones, siempre y cuando se sigan cumpliendo los requisitos pertinentes (…) La certificación será retirada cuando no se cumplan o se hayan dejado de cumplir los requisitos para la certificación».
Por lo tanto, el certificado LOPD y RGPD es temporal y mantenerlo en sucesivas renovaciones, requiere de seguir acreditando que se han implantado las medidas necesarias para cumplir con las obligaciones de la normativa.
Así mismo, solo son válidos los certificados en protección de datos emitidos por organismos acreditados y reconocidos.
¿Quién puede certificar que mi empresa cumple con todos los requisitos del RGPD?
El artículo 43 del RGPD afirma que el certificado de protección de datos será expedido por aquellos organismos de certificación que cuenten con la aprobación de los organismos o autoridades de control de los países miembros; en el caso de España, la AEPD (Agencia Española de Protección de Datos).
Para ello, estos organismos de certificación deben haber demostrado su independencia y eficacia frente a la autoridad de control, además de otra serie de requisitos incluidos en este artículo 43. La acreditación como organismo certificador se otorga durante cinco años renovables.
Todas las auditorías y las certificaciones que no sean oficiales, es decir, no hayan sido aprobadas conforme al RGPD, no valdrán como justificación del cumplimiento. Pero sí nos servirán para demostrar nuestra diligencia en el cumplimiento de la normativa de protección de datos. Aunque cabe señalar que si podemos defender dicha información con evidencias, sí nos servirá para justificar el cumplimiento.
¿Qué sucede si no acredito correctamente que cumplo con la normativa de protección de datos?
No acreditar correctamente el cumplimiento de la normativa de protección de datos puede tener como consecuencia, en caso de investigación de la AEPD, bien un apercibimiento o bien una de las sanciones contempladas en la normativa, cuya cuantía dependerá de la gravedad de la infracción y el número de interesados afectados (la horquilla alcanza los 20 millones de euros o el 4% del volumen de facturación anual para las infracciones más graves).
Contar con un certificado RGPD y LOPD puede ayudar a la empresa en un proceso de investigación a acreditar que cumple con la normativa, evitando las posibles sanciones de la AEPD.
Cabe recordar que los ciudadanos de la UE tienen derecho a reclamar ante las autoridades de control si consideran que el tratamiento de sus datos personales infringe el RGPD. Así mismo, las autoridades de control pueden investigar y castigar las infracciones.
¿Necesitas la certificación en protección de datos para tu empresa? Te podemos ayudar
Si todavía sigues sin tener claro cómo acreditar que tu empresa cumple el RGPD, ponte en contacto con nosotros. Conocemos todos los organismos de certificación de protección de datos acreditados de España y sabemos los pasos que hay que seguir para obtener el certificado de protección de datos.
Nuestros profesionales se encargarán de todo lo necesario para que tu empresa obtenga la certificación en protección de datos, y te ahorramos tiempo y preocupaciones. No olvides que este certificado RGPD y LOPD es una garantía que demuestra que tu empresa cumple con todas las exigencias de la normativa.
No esperes más, ponte en contacto con nosotros y demuestra que tu empresa está comprometida con el cumplimiento de la ley.