Certificación de privacidad

Descripción y objetivo

El objetivo de este elemento es establecer los requerimientos mínimos necesarios para acometer, individual y voluntariamente, en cada Responsable del Tratamiento (RT) un proceso de certificación en privacidad que atienda a los estándares internacionales reconocidos, como medida adicional para acreditar el cumplimiento normativo. Todo ello, alineado al soporte prestado desde el Servicio centralizado.

Buena práctica

Al igual que los códigos de conducta, la certificación en privacidad es un proceso voluntario, aunque altamente recomendable para demostrar el compromiso y cumplimiento de las medidas de seguridad y privacidad en los tratamientos de datos de carácter personal. Para acometer un proceso de certificación de privacidad, sería necesario tener en cuenta los siguientes requisitos:

  • Definir adecuadamente el alcance de certificación, y asegurar que es relevante acorde a los tratamientos que se desean cubrir, los sistemas técnicos implicados y los procesos y procedimientos relacionados con la operativa.
  • Seleccionar un mecanismo de certificación acorde a estándares internacionalmente reconocidos y avalados por las autoridades de control.
  • Definir un conjunto de recursos estandarizados y disponibles para que el RT pueda acometer con garantías el proceso de certificación.
  • Asegurar que el soporte prestado por el Servicio centralizado se encuentre alineado con los recursos puestos a disposición del RT y los objetivos de la certificación.
  • Asegurar que los procedimientos, normativa interna y procesos de supervisión estén alineados con los requisitos de la certificación.

Ejemplos de implantación

La implementación de esta buena práctica varía en función de los alcances y objetivos de la certificación, si bien se podría plantear de la siguiente forma:

  • Desde el Servicio centralizado: Realizar propuestas de objetivos y alcances de certificación. Analizar los mecanismos de certificación que mejor se ajusten a los requisitos normativos y a las capacidades de los RT. Elaborar un catálogo de entidades de certificación acreditadas y, en lo posible, tasar con ellas el servicio de certificación en base a los objetivos y alcances propuestos. Elaborar hojas de ruta para los RT que deseen certificarse, con las tareas a realizar antes y después de la certificación. Elaborar materiales adicionales para los RT que deseen certificarse, o bien alinear la Normativa Interna, recursos y Herramientas para que estén preparados para las tareas derivadas de la certificación. Establecer los servicios de soporte necesarios para el proceso de implantación previo a la certificación, y su posterior mantenimiento.
  • Desde los Responsables de Tratamiento: Que se implanten los requisitos establecidos en la hoja de ruta para optar a la certificación. Contratar la entidad de certificación deseada. Obtener el certificado y realizar los procesos necesarios posteriores que permitan mantener la certificación.

Guías, herramientas, enlaces, documentación

  • Directrices 1/2018 sobre la certificación y la determinación de los criterios de certificación de conformidad con los artículos 42 y 43 del Reglamento (CEPD)

    Descargar archivo

  • Directrices 4/2018 relativas a la acreditación de los organismos de certificación conforme a lo dispuesto en el artículo 43 del RGPD (CEPD)

    Descargar archivo

  • Directrices 1/2018 sobre la certificación y la determinación de los criterios de certificación de conformidad con los artículos 42 y 43 del Reglamento (CEPD)

    Visitar web