El 10 de octubre de 2022, el Consejo Europeo de Protección de Datos ( EDPB ) aprobó Europrivacy, el primer y actualmente único Sello Europeo de Protección de Datos bajo el Reglamento General de Protección de Datos (GDPR).
En esta publicación de blog, cubriremos algunos temas importantes relacionados con la certificación Europrivacy GDPR como qué es, cómo podemos certificarnos, qué se certifica y los beneficios de esta certificación.
Indice
¿Qué es la certificación Europrivacy GDPR?
Europrivacy es un sistema de certificación, aprobado por el EDPB, lo que significa que es un sistema de certificación oficial según lo dispuesto en el artículo 42 del RGPD. Los esquemas de certificación bajo el RGPD son un mecanismo de responsabilidad opcional, que los controladores y procesadores pueden usar para demostrar el cumplimiento de la regulación por medio de una evaluación independiente de terceros de sus esfuerzos de cumplimiento.
Si bien la certificación no puede garantizar el pleno cumplimiento ni excluir la posibilidad de que las autoridades de control tomen medidas coercitivas, puede ser una herramienta muy sólida para que los controladores y procesadores demuestren tanto su compromiso con el cumplimiento en general, como las medidas específicas de cumplimiento que se han tomado para ese objetivo y crear una fuerte imagen de confianza y confiabilidad.
Europrivacy es un esquema de toda la UE, lo que significa que cubre todos los países de la UE y tiene en cuenta tanto el RGPD como los requisitos nacionales de protección de datos en sus criterios. Europrivacy es un esquema de certificación híbrido, lo que significa que combina las ventajas de un esquema de certificación universal con las fortalezas de un esquema específico. Universal porque se puede aplicar a cualquier tratamiento de datos, es decir, que puede añadir criterios contextuales complementarios específicos a situaciones de procesamiento de datos que desencadenan requisitos adicionales de GDPR debido al tipo de procesamiento de datos (sensibles), las tecnologías involucradas o el dominio en el que se lleva a cabo el procesamiento.
Europrivacy puede, por ejemplo, cubrir también tecnologías emergentes como IA, ciudades inteligentes, IoT y blockchain. Además, el mecanismo de certificación puede ampliarse para incluir normas y requisitos complementarios, por ejemplo, normas sectoriales o normas de fuera de la UE sobre protección de datos.
La certificación se obtiene por cumplir con todos los criterios de Europrivacy, que traducen los requisitos del RGPD, los requisitos nacionales de protección de datos y cualquier requisito legal adicional definido por la situación específica en criterios específicos que debe demostrar que cumple el solicitante que desea obtener la certificación. El esquema de certificación Europrivacy y sus criterios han sido aprobados por el EDPB y son mantenidos y actualizados por el Centro Europeo para la Certificación y la Privacidad (ECCP) y su junta internacional de expertos.
El cumplimiento de esos criterios es verificado por una parte imparcial, el auditor. La certificación la entrega una parte independiente e imparcial, el organismo de certificación, que a su vez ha sido acreditado por el organismo nacional de acreditación o la autoridad de control para emitir dichas decisiones de certificación.
¿Qué se puede certificar?
El RGPD solo permite certificar actividades de tratamiento de datos, no organizaciones, productos o servicios. Por esa razón, Europrivacy como esquema permite a los controladores y procesadores certificar que una serie de actividades de procesamiento de datos seleccionadas cumplen con el RGPD.
Las actividades de procesamiento que se seleccionan para la certificación se denominan Objetivo de evaluación o «ToE». Europrivacy recomienda comenzar con solo unas pocas actividades de procesamiento clave y expandirlas gradualmente. Una vez que se ha completado el proceso, se vuelve más eficiente y más fácil certificar las actividades de procesamiento posteriores, ya que muchos elementos se pueden reutilizar.
A pesar de que los servicios no pueden certificarse como tales, los controladores o procesadores pueden desear certificar todas las actividades de procesamiento de datos que constituyen un servicio determinado, especialmente cuando este servicio es el núcleo de su negocio.
A nivel de organización, los controladores y procesadores pueden optar por certificar todas las actividades de procesamiento de una función comercial determinada, un departamento o unidad determinada o, de lo contrario, pueden decidir certificar algunas actividades de procesamiento y no otras, por ejemplo, en función de cuán visibles son, cuántos datos están involucrados, ya sea que involucren categorías especiales de datos o datos confidenciales, ya sea que se trate de B2C o B2B, ya sea que involucren transferencias internacionales de datos, ya sea que involucren a muchos terceros, etc.
Hay más de 70 referencias a la certificación en el RGPD, incluso para evaluar el cumplimiento de los procesadores de datos (Art. 28.5 RGPD), para transferencias de datos transfronterizas (Art. 42.2, 46.2.f RGPD) o para evaluar la idoneidad de los servicios técnicos y medidas organizativas establecidas (art. 32.3 RGPD). Como se establece en el Reglamento, el propósito de la certificación es “demostrar el cumplimiento de este reglamento de las operaciones de procesamiento por parte de los controladores y procesadores” (Art. 42 GDPR) y “permitir a los interesados evaluar rápidamente el nivel de protección de datos de productos y servicios relevantes .” (Considerando 100 RGPD).
Como consecuencia, la certificación bajo el RGPD está sujeta a requisitos muy específicos. Por ejemplo, debe alinearse con la evolución de la regulación, su jurisprudencia relacionada y el derecho indicativo, incluidas las publicaciones del EDPB. Es por eso que Europrivacy cuenta con el apoyo de una Junta Internacional de Expertos a cargo del monitoreo continuo de la evolución de las obligaciones relacionadas con la protección de datos para actualizar el esquema en consecuencia. En otras palabras, Europrivacy es un esquema vivo en ósmosis con el entorno regulatorio.
Otro requisito es centrarse específicamente en la certificación de las actividades de procesamiento de datos. En consecuencia, la certificación de sistemas de gestión, como ISO/IEC 27001 y 27701, no es elegible en virtud del art. 42 RGPD.
¿Cómo se certifica?
La obtención de la certificación Europrivacy implica los siguientes pasos:
Etapa preparatoria
Para obtener la certificación, debes:
- Aplicar al esquema y mostrar tu compromiso con la privacidad y la protección de datos;
- Asegurarte de que las actividades de protección de datos cumplan con la normativa de protección de datos.
- Rene todos los documentos y materiales necesarios relacionados con el objetivo de evaluación (ToE) para demostrar que cumples con los criterios de Europrivacy, que traducen las reglas del RGPD en requisitos medibles.
- Definir un alcance de la certificación (objetivo de evaluación o ToE) y celebrar un contrato con un organismo de certificación para el proceso de certificación, estableciendo un plan de certificación;
Todas las actividades de procesamiento deben cumplir con los criterios básicos del RGPD de Europrivacy (incluidas, por ejemplo, las transferencias, la relación con terceros, el cumplimiento de los principios relacionados con el procesamiento de datos personales, etc.). Esto incluye evaluar si todos los documentos de cumplimiento están presentes y cumplen con los estándares del RGPD. En esta etapa se identifican los requisitos nacionales y se evalúa su cumplimiento en un Informe Nacional de Evaluación de la Conformidad de Obligaciones (NOCAR).
Dependiendo de la situación, por ejemplo, para actividades de procesamiento en ciertos dominios, que involucren el procesamiento de categorías especiales o datos confidenciales o que involucren tecnologías emergentes, se aplicarán criterios adicionales. Además, esta etapa puede implicar regulaciones y requisitos complementarios, por ejemplo, regulación sectorial o normas extracomunitarias sobre protección de datos. Durante este proceso, las no conformidades con los criterios de Europrivacy deben identificarse y remediarse.
Es muy recomendable que un tercero experto te ayude en el proceso de preparación. Esto tiene muchos beneficios, pero en particular ayuda a garantizar que tengas acceso a asesoramiento experto tanto en relación con el cumplimiento del RGPD como tal, como en relación con la implementación de los criterios específicos de Europrivacy.
Evaluación y certificación independiente
Durante esta etapa, el organismo de certificación evaluará el cumplimiento del Objetivo de Evaluación con todos los criterios, verificaciones y controles aplicables. Esto ocurrirá después de que el auditor haya evaluado el trabajo realizado en la fase preparatoria. Si el auditor identifica no conformidades, habrá la oportunidad de modificar la documentación para abordar estas no conformidades antes de que la solicitud pase al organismo de certificación. Una vez tomada la decisión, el certificado de conformidad se comunica y se publica en línea en el registro oficial de certificados de Europrivacy.
Seguimiento
Los certificados de Europrivacy tienen una validez de tres años y se controlan mediante auditorías de vigilancia anuales, es decir, una auditoría dentro de los 12 meses y otra dentro de los 24 meses posteriores a la emisión del certificado. Al final del período de validez (36 meses), es posible recertificarse para obtener un nuevo certificado por otros tres años, etc. Una vez certificado, debes mantener y mejorar su cumplimiento y abordar todos los cambios regulatorios que puedan ocurrir.
¿Cuáles son los beneficios de la certificación?
A continuación, te contamos los principales beneficios de obtener la certificación Europrivacy.
Cumplimiento mejorado y reducción de riesgos
En primer lugar, la certificación Europrivacy brindará a los solicitantes la oportunidad de fortalecer su cumplimiento real de GDPR e identificar y reducir los riesgos legales y financieros existentes relacionados con las brechas de cumplimiento existentes. Este es el caso porque tanto la etapa preparatoria como la etapa de evaluación independiente brindan la oportunidad de reevaluar su posición de cumplimiento y de actualizar y adaptar cualquier documento, política o práctica que pueda haberse quedado obsoleta o que no esté de acuerdo con el RGPD y las mejores prácticas. práctica.
Para aprovechar al máximo este ejercicio, es importante que un experto externo te ayude como implementador. En particular, esto puede fortalecer su cumplimiento con respecto a:
- Transparencia e información;
- Contar con medidas técnicas y organizativas apropiadas para la rendición de cuentas y la seguridad;
- Cumplir con la protección de datos desde el diseño y por defecto;
- Demostrar que tienes suficientes garantías y documentos contractuales apropiados en relación con terceros, como procesadores, subprocesadores o cocontroladores:
- Demostrar que tienes implementadas las medidas apropiadas para las transferencias de datos personales a terceros países.
Transparencia y Confianza
Dado que Europrivacy implica la evaluación por parte de un tercero independiente de criterios rigurosos confirmados por el EDPB como apropiados para medir el cumplimiento del RGPD, la obtención de la certificación Europrivacy no solo creará transparencia, sino que también generará confianza con las personas como sujetos de datos, clientes (potenciales) o consumidores (potenciales) y con socios comerciales, gobiernos y autoridades supervisoras. Además, la certificación Europrivacy también cubre los requisitos nacionales y puede utilizarse para crear transparencia y generar confianza también en relación con normas y reglamentos adicionales.
Crear transparencia y generar confianza puede ofrecer una ventaja competitiva en el mercado al mejorar tu reputación con clientes potenciales, clientes y socios comerciales. Las personas tienden a considerar los aspectos de privacidad y protección de datos más que nunca, al igual que las empresas, en particular cuando seleccionan procesadores de datos o socios que pueden actuar como controladores conjuntos con ellos. Por lo tanto, la certificación puede ser de particular importancia para mostrar a los socios comerciales potenciales que estás comprometido y que has implementado las medidas adecuadas para cumplir con el RGPD.
Además, la certificación te permite demostrar un compromiso concreto con la protección de datos y el respeto por la privacidad, y te permite distinguirte de la competencia, generar confianza e inspirar a los clientes potenciales y a los clientes a tratar contigo en confianza.
Comodidad adicional con respecto a las transferencias de datos a terceros países
Un tercer beneficio principal de la certificación es que puede facilitar las transferencias de datos transfronterizas y brindar comodidad adicional en este sentido, fortaleciendo su evaluación. La certificación de las operaciones de procesamiento que incluyen una transferencia de datos fortalecerá la posición de cumplimiento de las partes involucradas al aprovechar la fortaleza de una evaluación independiente de la transferencia por parte de un tercero contra los criterios aprobados por EDPB.
Esta certificación de Europrivacy no pretende legalizar una transferencia que de otro modo sería inaceptable según el RGPD, pero puede ayudar a demostrar que existen las garantías adecuadas, teniendo en cuenta la resolución Schrems II y la orientación existente del EDPB sobre el asunto.
Obtener esta certificación no solo puede ayudar a los exportadores de datos del EEE, sino que la certificación del importador de datos en un tercer país también puede ser un elemento adicional para el cumplimiento, lo que demuestra que el importador respeta el nivel de protección de datos requerido por el RGPD. En este caso, la obtención de la certificación puede proporcionar una ventaja competitiva en el mercado europeo, donde las empresas pueden considerar si sus respectivos socios comerciales tienen un certificado GDPR para sus operaciones de procesamiento, como parte del cumplimiento de los requisitos de diligencia debida en virtud del GDPR, por ejemplo, al seleccionar procesadores.
De manera similar, las personas pueden tener en cuenta la certificación al elegir en qué productos o servicios pueden confiar sus datos personales.
Conclusión
Europrivacy aprovechó los fundamentos de los principios ISO para investigar y ofrecer un esquema de certificación altamente innovador y eficiente con un nuevo modelo de certificación nacida en formato digital. Proporciona un esquema de certificación ágil y vivo, capaz de abordar las tecnologías emergentes y un entorno regulatorio en rápida evolución. Permite evaluar de manera eficiente el cumplimiento de todo tipo de actividades de procesamiento de datos, desde las regulares hasta las altamente innovadoras.
La tecnología es un habilitador importante, pero es solo un medio, no un fin. Si bien nuestra ambición es aprovechar la tecnología para brindar una nueva experiencia de usuario de cumplimiento como un servicio para todas las partes interesadas, nuestra prioridad es construir una comunidad de expertos y socios con una verdadera pasión por la protección de datos y el cumplimiento.