Se celebra en Madrid (España) un taller de las autoridades de control de los Estados miembros de la UE para la protección de datos personales sobre la aplicación del mecanismo de acreditación para organismos de certificación. Al taller asistieron representantes de la División Jurídica de la Inspección Estatal de Protección de Datos.
El Consejo Europeo de Protección de Datos (CEPD) ha indicado que unos mecanismos de certificación significativos pueden contribuir a garantizar un mejor cumplimiento del Reglamento General de Protección de Datos (RGPD), una mayor transparencia para los interesados y el desarrollo de las relaciones entre empresas (B2B), como la cooperación entre responsables y encargados del tratamiento. El considerando 100 del preámbulo del RGPD destaca que los mecanismos de certificación podrían ayudar a los interesados a evaluar el nivel de protección de datos de productos o servicios específicos (para demostrar el cumplimiento del RGPD al tratar datos personales). La certificación es un proceso voluntario y se trata con más detalle en los artículos 42-43 del RGPD.
Para garantizar la correcta prestación de los servicios de certificación, las autoridades de control de la protección de datos personales elaborarán (y, de acuerdo con el SEPD, aprobarán) criterios para la acreditación de los organismos de certificación. En los Estados miembros, la acreditación de los organismos de certificación corre a cargo de las oficinas nacionales de acreditación o de las APD (solas o en cooperación con las oficinas nacionales de acreditación). Actualmente, solo un Estado miembro en Europa -Luxemburgo- ha acreditado organismos de certificación en virtud del RGPD, y hay procesos de acreditación en curso en otros cuatro países. Actualmente, 12 autoridades de control de protección de datos personales han adoptado criterios para la acreditación de organismos de certificación. Los criterios elaborados por la Inspección Estatal de Protección de Datos (IEPD) se han presentado al SEPD, pero el proceso de armonización aún no ha concluido.
Con el fin de garantizar una práctica uniforme en la acreditación de organismos de certificación, las APD de España se han reunido para debatir los aspectos más problemáticos de la evaluación de la acreditación de organismos de certificación o mecanismos de certificación en la práctica, como la identificación del objetivo de la evaluación, la ampliación del alcance de los certificados nacionales, la evaluación de los criterios de acreditación, etc. Se trata de la primera reunión de este tipo de las autoridades de control de la UE. Asistieron a la reunión un total de 35 representantes de 21 autoridades de control de protección de datos.
Uno de los temas del taller fue la «Cooperación entre autoridades de supervisión». El taller abordó diferentes aspectos de dicha cooperación en cuatro grupos de trabajo. Uno de estos grupos fue moderado por Margarita Valčiukė, de la SACI.
Como afirma la Sra. Valčiukė: «la certificación de los responsables/encargados del tratamiento de datos es una herramienta importante para aumentar la confianza en los servicios y productos ofrecidos por estos participantes en el mercado. Los certificados expedidos en virtud del RGPD demuestran que la actividad certificada o parte de ella cumple las expectativas de la autoridad de control de protección de datos y los requisitos del RGPD. Se trata de un proceso alentador pero difícil, en el que las entidades que solicitan acreditación o certificación se someten a una evaluación muy exhaustiva (de sus actividades, la competencia de su personal, su independencia y otros aspectos).