Certificaciones: un ángulo del Reglamento Europeo 2016/679 (desde ahora también solo GDPR) se ha quedado a media luz, discreto (cuando se trata de una significativa novedad de la nueva disciplina sobre la protección de datos) sobre cual la Autoridad ha sentido la necesidad, mediante las preguntas frecuentes realizadas en cooperación con Accredia y publicadas por poco días (a las cuales se referirán las citas, donde no diferentemente especificado) de comunicar algunos conceptos básicos tanto a los ciudadanos que a los empleados.
Antes todo (aquí se permite) “acreditación & certificación” es un binomio indisoluble: si un organismo de certificación no fuera acreditado, no podría certificar nada, y la acreditación (como “forma independiente y autoritario de atestación de conformidad” FAQ n. 2) por sí sola no tendría sentido, porque su función es, por esto, proporcionar garantía al mercado de la compliancia de los organismos de certificación a los requisitos solicitados.
Se trata de la creación de un verdadero sistema de confianza, una certificación “acreditada” en la medida en la cual – se explica en la FAQ n. 1 – se da una demonstración, por parte del ente único nacional de acreditación, “de la imparcialidad, competencia y adecuación” de un organismo de certificación.
En el ordenamiento jurídico italiano con el artículo 2 del Decreto Legislativo 193/2003 (como modificado desde el Decreto Legislativo n. 101/2018) se ha establecido que “la organización nacional de acreditación de cual al artículo 43, apartado 1, letra b) del Reglamento es el Ente Único Nacional de Acreditación, instituido con arreglo al Reglamento (CE) 765/2008, del Parlamento Europeo y el Consejo, del 9 julio de 2008, excepto el poder de la Autoridad de asumir directamente, con deliberación publicada en el Diario Oficial de la Republica Italiana y en caso de grave incumplimiento de sus papeles por parte del Ente Único Nacional de Acreditación, el ejercicio de estas funciones, también con referencia a una o más categorías de tratamientos”.
Se ha adoptado una elección de continuidad respeto al pasado, frente a la posibilidad – concedida desde el artículo 43, apartado 1, del GDPR – que los organismos de certificación fueran acreditados “desde uno o ambos los organismos”: desde la autoridad y control y/o el organismo nacional de acreditación. Italia ha elegido Accredia como ente único de acreditación (FAQ n. 5, excepto el recurrir de una situación de tipo excepcional, como visto).
Por esto, la Autoridad de Control Italiana no acredita los organismos de certificación (como la Autoridad especifica en la introducción al documento), pero, a bien ver (y también esto es especificado desde la Autoridad, FAQ n. 8), ni tampoco le corresponde (también si seria permitido desde el artículo 42, apartado 5, del GDPR) el poder de certificación, es decir de desarrollar la función de organismo de certificación.
Si en general, la certificación es una atestación dejada desde una tercera parte (organismo de certificación) relativa a un objeto (producto, procedimiento, servicio, persona o sistema) sometido a evaluación de la conformidad respeto a requisitos incluidos en una legislación técnica (estándar) o en un disciplinar especifico, pues bien, el objeto de la certificación del ex artículo 42 del GDPR es un tratamiento o más tratamiento de datos personales (FAQ. N. 6).
Como explica la Autoridad, dado que la definición de “tratamiento” de datos personales es muy amplia, “también el objeto de la certificación puede variar en medida considerable y puede incluir una sola operación de tratamiento (por ejemplo: la conservación de datos personales) es decir más operaciones de tratamiento (por ejemplo: recogida, conservación, puesta a disposición) realizadas desde el responsable y el encargado del tratamiento”, y en la medida en la cual uno o más tratamientos configuran un “servicio” o un “producto”, la “certificación puede tener como objeto de este servicio o producto (por ejemplo: el servicio de gestión del personal de una empresa)”.
Lo que es cierto es que la certificación en ámbito del GDPR no se refiere/cubre un sistema de gestión: la elección es incontrovertible, justa la previsión del artículo 43, apartado 1, letra b), que llama la norma ISO 17065:2012.
No se tiene que hacer confusión con los estándares con los cuales se certifican los sistemas de gestión (como ISO 27001, que se basa sobre la legislación ISO 17021-1), así como son otra cosa los para la certificación del personal (como la UNI 11697/2017, llamada en la FAQ n. 12, que se basa sobre la ISO 17024), asimismo no siendo parte de las certificaciones disciplinadas desde al artículo 42 del GDPR. La Autoridad puntualiza que la certificación con arreglo al estándar UNI 11697/2017 “puede representar, al igual que otros títulos, un valido instrumento a fin de demonstración de la posesión, y del mantenimiento, de las conciencias habilidades y competencias por parte de los profesionales”.
La empresa/ente que elige de certificarse tiene que definir el objeto especifico de la certificación que tendrá que solicitar: la autoridad recuerda que la relativa indicación será mencionada en el certificado dejado al organismo de certificación (FAQ n. 6) tendrá que ser indicada con aclaración y es (aquí se añade) interés principal del solicitante que la dirección sea coherente con la decisión estratégica (es el caso de mencionarlo) asumida.
Cuanto a las ventajas de una certificación (FAQ n. 4), esta “representa un instrumento útil para los responsables y encargados del tratamiento a demonstrar el respeto a de las obligaciones, las garantías suficientes y la conformidad a los requisitos de protección de datos.” Tratándose de obligaciones y requisitos establecidos desde la ley, la certificación procura a la organización una infraestructura inmaterial, designada desde el esquema, que rende efectivamente vinculante y operativo el conjunto poderoso de incumplimientos/medidas de seguridad la cual obligatoriedad de ley, no pocas veces en la práctica, se ha revelado no bastante “convincente”.
El enfoque fundamental es un constante análisis y evaluación de los riesgos, el arquitrabe es la responsabilidad del responsable (o del encargado), el fin de proteger los derechos y las libertades de las personas físicas, la filosofía es la del mejoramiento continuo. Con esto la “certificación GDPR” podrá resultar de particular interés para las organizaciones que desean concretizar y demonstrar la propria compliancia para consolidar/desarrollar las propias actividades y/o crecer la transparencia y reputación/confianza, como, por ejemplo: empresas que operan en los sectores del marketing, del ITC, de los servicios socio-sanitarios, proveedores de servicios establecidos en Países Terceros, no pocos entes y organismos públicos.
Reafirmado con la FAQ n. 5 que la certificación con arreglo al GDPR tiene que ser dejada en base a esquemas de certificación aprobados desde la Autoridad de Control Competente, hoy existen dos esquemas específicos (es decir alineados/basados sobre el GDPR), el esquema ISDP 10003 y Europrise (el primero italiano y el segundo alemán), que intentan de ser aprobados desde las respectivas autoridades de control.
¿Qué significa todo esto? Que, mientras, las certificaciones expedidas tendrán plena validez en el sistema de la normativa técnica y voluntaria, y no en el de la normativa legal.
Sin embargo, esto no significa que en este segundo sistema no tendrán ningún valor o significado, no sería razonable ni justo, siendo/resultando (con mayor razón, quiero decir) evidencias de la solicitud, de la responsabilidad de las organizaciones certificadas, y una empresa certificada, sin perjuicio de todas las ventajas intrínsecas a la certificación, podrá, no obstante, invocar (con el fin de atenuar una posible sanción administrativa) la disposición del art. 83, apartado 2, letra k) (o letra d), si se considera la certificación como una macro medida de seguridad ex artículo 32), aunque no sea la letra j. del artículo 83, apartado 2.
Un esquema de certificación «desarrollado para ser utilizado en todos los Estados miembros de la Unión Europea» es el que se denomina «sello europeo» (FAQ n. 7): a tal efecto «se tendrá en cuenta el ámbito de aplicación de los criterios del sistema de certificación y, de manera más general, su idoneidad para actuar como certificado común europeo».
La aclaración adicional de que «el esquema y sus criterios deben ser adaptables para tener en cuenta, en su caso, las diferentes reglamentaciones sectoriales nacionales aplicables a los tratamientos de datos que son objeto de la certificación» puede sonar redundante: las normas técnicas están diseñadas y redactadas para responder a criterios de abstracción y generalidad (a menudo deficientes, más bien, en las legislaciones públicas/estatales), de modo que se puedan adaptar estructuralmente a los contextos más dispares, porque esta es (desde siempre) su misión.
Con la FAQ n. 11 el Garante explica cómo una certificación está sujeta a tropiezos, incluso mucho antes de su vencimiento (art. 42, apartado 7 GDPR). De este modo, si se detectan incumplimientos en relación con los requisitos de certificación, como resultado del seguimiento (anual) o por cualquier otro motivo, el organismo de certificación deberá examinar la no conformidad y decidir las medidas adecuadas, que pueden consistir en el mantenimiento de la certificación en condiciones precisas, la suspensión de la certificación a la espera de medidas correctoras, la reducción del ámbito de aplicación de la certificación o su revocación.
Esta última es ordenada por el organismo que la expidió «si no se cumplen o han dejado de cumplirse los requisitos de certificación», pero no impide a la autoridad de control, lo que justifica la previsión del artículo 58, apartado 2, letra h), GDPR.
FUENTE: FEDERPRIVACY