Este artículo profundiza en el papel de las certificaciones, sellos y marcas en el ámbito de la protección de datos, complementando el análisis previo sobre códigos de conducta, que dejo enlazado aquí.
El artículo 42 del RGPD establece que los Estados miembros, las autoridades de control, el Comité Europeo de Protección de Datos y la Comisión Europea promoverán la creación de mecanismos de certificación, sellos y marcas en protección de datos, con el fin de demostrar el cumplimiento de la normativa por parte de responsables y encargados del tratamiento.
Este planteamiento no es novedoso, ya que el modelo de certificaciones se aplica con éxito en otros ámbitos, como los sistemas de gestión de calidad (ISO 9001) o de seguridad de la información (ISO 27001). Las certificaciones, sellos o marcas en protección de datos busca generar confianza entre los interesados, posicionándose como elementos de valor añadido para las organizaciones que los obtienen, al evidenciar un compromiso proactivo con la privacidad y el cumplimiento normativo.
El propósito de la certificación es verificar que los tratamientos de datos personales se realizan de acuerdo con la normativa aplicable. En particular, se centra en el cumplimiento de las obligaciones previstas para responsables y encargados del tratamiento, la atención a los derechos de los interesados, el respeto a los principios generales relativos al tratamiento de datos personales y la aplicación de medidas de protección de datos desde el diseño y por defecto, así como en la seguridad de la información.
Al igual que ocurre con la adhesión a los códigos de conducta, las certificaciones, sellos y marcas de protección de datos son de carácter voluntario. En España, la competencia para expedir este tipo de certificaciones recae en la ENAC (Entidad Nacional de Acreditación) y en aquellas entidades que cuenten con su autorización y la aprobación de la AEPD como autoridad de control.
Un ejemplo consolidado de certificación es el de Certificación de Delegados de Protección de Datos, con siete entidades acreditadas por ENAC: IVAC Instituto de Certificación, SL; Asociación para el Fomento de la Seguridad de la Información (ISMS Forum); Centro de Registro y Certificación de Personas (CERPER); ANF Autoridad de Certificación Asociación (ANF AC); ADOK Certificación Internacional, SL; Bureau Veritas Iberia, S.L.; e Itansa Certificaciones, S.L..
Para certificaciones generales de tratamientos de datos, la adopción sigue siendo limitada, aunque a nivel europeo destaca el sello Europrivacy.
La certificación, sello o marca tiene una vigencia máxima de tres años, de acuerdo con el artículo 42.7 del RGPD, aunque puede renovarse siempre que se acredite el cumplimiento de los mismos requisitos que motivaron la concesión inicial.
Conclusión
Las organizaciones que obtengan estos reconocimientos no solo demostrarán su compromiso con la privacidad, sino que también ganarán en reputación, lo que puede traducirse en ventajas competitivas, mayor confianza de los consumidores y una posición fortalecida en el mercado.
A medida que los procesos de certificación se consoliden, es previsible que su implantación se generalice y llegue a convertirse en un estándar de excelencia en la gestión de datos personales, aunque por el momento todavía se encuentra en una fase incipiente.
