El GDPR dispone de varias opciones para que el Responsable o el Encargado del tratamiento puedan demostrar la existencia de garantías adecuadas de protección de datos y acreditar el cumplimiento de las obligaciones establecidas en el Reglamento (artículos 24.3 y 28.5), inclusive la protección de datos desde el diseño y por defecto (artículo 25.3) y la seguridad del tratamiento (artículo 32.3).
Con la expedición de dichas acreditaciones se pretende incrementar la confianza y la transparencia de las actuaciones llevadas a cabo por los Responsables o Encargados del tratamiento, siendo de vital importancia para suponerles unas buenas prácticas en relación con la protección efectiva de los datos personales que tratan.
Las empresas podrán adherirse a los siguientes procedimientos para acreditar el cumplimiento del Reglamento:
Los Responsables o Encargados del tratamientos podrán garantizar el cumplimiento del Reglamento mediante mecanismos de certificación, sellos y marcas de protección de datos expedidos por las Autoridades de control o el Comité Europeo de Protección de Datos, según sea su ámbito territorial.
La certificación será voluntaria y no limitará la responsabilidad del Responsable o Encargado del tratamiento en cuanto al cumplimiento del Reglamento.
La certificación será expedida por organismos certificadores acreditados por las Autoridades competentes en protección de datos por un período máximo de 3 años y podrá ser renovada si se siguen cumpliendo los requisitos de certificación, o podrá ser retirada si no da lugar a ello.
Organismos de certificación
Los organismos de certificación deberán ser acreditados por la Autoridad de control competente o por el Comité por un periodo máximo de 5 años y podrán ser renovados si se siguen cumpliendo los criterios establecidos por la Autoridad expendedora.
El Comité pondrá a disposición pública un registro de todos los mecanismos de certificación y sellos de protección de datos acreditados.
Las asociaciones u organismos que representen a categorías de Responsables o Encargados del tratamiento podrán elaborar códigos de conducta con el objeto de especificar la aplicación del Reglamento, debiendo presentarlos para su aprobación a la Autoridad de control o a la Comisión de la UE, según sea su ámbito territorial.
Los códigos de conducta tendrán en cuenta:
En transferencias internacionales a terceros países u organizaciones internacionales, los Responsables o Encargados del tratamiento adheridos a códigos de conducta deberán ofrecer garantías adecuadas de protección de datos, asumiendo compromisos vinculantes y de obligado cumplimiento mediante instrumentos jurídicamente vinculantes.
Al evaluar las repercusiones de las operaciones de tratamiento en la elaboración de una evaluación de impacto se tendrá en cuenta el cumplimiento del código de conducta a que esté adherido el Responsable o Encargado del tratamiento afectado (artículo 35, apartado 8).
Las Autoridades de control u otros organismos acreditados por estas, podrán supervisar el cumplimiento de los códigos de conducta, excepto en tratamientos realizados por Autoridades y Organismos públicos.
Las normas corporativas vinculantes se definen en el artículo 4, apartado 20 del GDPR como políticas de protección de datos asumidas por un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta, en adelante GRUPO, con el fin de ofrecer garantías adecuadas para las transferencias internacionales de datos.
Un grupo empresarial se define en el artículo 4, apartado 19 como un grupo que comprende una empresa que ejerce el control y sus empresas controladas.
Un GRUPO podrá solicitar a la Autoridad de control la aprobación de normas corporativas vinculantes cuando:
Las normas corporativas vinculantes especificarán, como mínimo:
Tema anterior: 17. El Delegado de Protección de datos (DPO) Tema siguiente: 19. La Autoridad de control