GDPR 18. Garantías de cumplimiento


Josep Aragonés Salvat     20/09/2016

Garantías para acreditar el cumplimiento del Reglamento

 
El GDPR dispone de varias opciones para que el Responsable o el Encargado del tratamiento puedan demostrar la existencia de garantías adecuadas de protección de datos y acreditar el cumplimiento de las obligaciones establecidas en el Reglamento (artículos 24.3 y 28.5), inclusive la protección de datos desde el diseño y por defecto (artículo 25.3) y la seguridad del tratamiento (artículo 32.3).
 
Con la expedición de dichas acreditaciones se pretende incrementar la confianza y la transparencia de las actuaciones llevadas a cabo por los Responsables o Encargados del tratamiento, siendo de vital importancia para suponerles unas buenas prácticas en relación con la protección efectiva de los datos personales que tratan.
 
Las empresas podrán adherirse a los siguientes procedimientos para acreditar el cumplimiento del Reglamento:
 
  • Mecanismos de certificación: Para Responsables o Encargados del tratamiento a título individual (Certificados, Sellos y Marcas de protección de datos).
  • Códigos de conducta: Para asociaciones u organismos que representen categorías de Responsables o Encargados del tratamiento.
  • Normas corporativas vinculantes: Para grupos empresariales o unión de empresas dedicadas a una actividad económica conjunta que realicen transferencias internacionales de datos.
 


Mecanismos de certificación (artículo 42)


Los Responsables o Encargados del tratamientos podrán garantizar el cumplimiento del Reglamento mediante mecanismos de certificación, sellos y marcas de protección de datos expedidos por las Autoridades de control o el Comité Europeo de Protección de Datos, según sea su ámbito territorial.
 
La certificación será voluntaria y no limitará la responsabilidad del Responsable o Encargado del tratamiento en cuanto al cumplimiento del Reglamento.
 
La certificación será expedida por organismos certificadores acreditados por las Autoridades competentes en protección de datos por un período máximo de 3 años y podrá ser renovada si se siguen cumpliendo los requisitos de certificación, o podrá ser retirada si no da lugar a ello.
 
Organismos de certificación

Los organismos de certificación deberán ser acreditados por la Autoridad  de control competente o por el Comité por un periodo máximo de 5 años y podrán ser renovados si se siguen cumpliendo los criterios establecidos por la Autoridad expendedora.

El Comité pondrá a disposición pública un registro de  todos los mecanismos de certificación y sellos de protección de datos acreditados.
 
 

Códigos de conducta (artículo 40)


Las asociaciones u organismos que representen a categorías de Responsables o Encargados del tratamiento podrán elaborar códigos de conducta con el objeto de especificar la aplicación del Reglamento, debiendo presentarlos para su aprobación a la Autoridad de control o a la Comisión de la UE, según sea su ámbito territorial.
 
Los códigos de conducta tendrán en cuenta:
 
  • El tratamiento leal y transparente de los datos personales.
  • Los intereses legítimos del Responsable del tratamiento en contextos específicos.
  • La recogida de datos.
  • La seudonimización de datos personales.
  • La información proporcionada a los niños, la protección de sus datos y la manera de recabar el consentimiento a sus representantes legales.
  • La información proporcionada al público y a los interesados.
  • El ejercicio de los derechos de los interesados.
  • Las medidas y procedimientos usados por el Responsable del tratamiento desde el diseño y por defecto para garantizar la seguridad del tratamiento.
  • La notificación de las violaciones de seguridad a la Autoridad de control y su comunicación a los interesados.
  • Los procedimientos extrajudiciales para resolver las controversias que pudiera haber entre el Responsable del tratamiento y los interesados.
  • Las transferencias internacionales de datos.
 
En transferencias internacionales a terceros países u organizaciones internacionales, los Responsables o Encargados del tratamiento adheridos a códigos de conducta deberán ofrecer garantías adecuadas de protección de datos, asumiendo compromisos vinculantes y de obligado cumplimiento mediante instrumentos jurídicamente vinculantes.

Al evaluar las repercusiones de las operaciones de tratamiento en la elaboración de una evaluación de impacto se tendrá en cuenta el cumplimiento del código de conducta a que esté adherido el Responsable o Encargado del tratamiento afectado (artículo 35, apartado 8).
 
Las Autoridades de control u otros organismos acreditados por estas, podrán supervisar el cumplimiento de los códigos de conducta, excepto en tratamientos realizados por Autoridades y Organismos públicos.
 
 

Normas corporativas vinculantes (artículo 47)


Las normas corporativas vinculantes se definen en el artículo 4, apartado 20 del GDPR como políticas de protección de datos asumidas por un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta, en adelante GRUPO, con el fin de ofrecer garantías adecuadas para las transferencias internacionales de datos.

Un grupo empresarial se define en el artículo 4, apartado 19 como un grupo que comprende una empresa que ejerce el control y sus empresas controladas.
 
Un GRUPO podrá solicitar a la Autoridad de control la aprobación de normas corporativas vinculantes cuando:
 
  • Sean jurídicamente vinculantes y se apliquen a todas las empresas afectadas del GRUPO.
  • Confieran expresamente a los interesados derechos exigibles en relación con el tratamiento de sus datos.

Las normas corporativas vinculantes especificarán, como mínimo:
 
  • La estructura y los datos de contacto del GRUPO y de cada uno de sus miembros.
  • Su carácter jurídicamente vinculante, tanto a nivel interno como externo.
  • Los países destinatarios de las transferencias internacionales, las categorías de datos, el tipo de tratamientos, los fines del mismo y el tipo de interesados afectados.
  • La aplicación de los principios generales en materia de protección de datos:
    • Base jurídica del tratamiento.
    • Limitación de la finalidad.
    • Minimización de los datos.
    • Periodos de conservación limitados.
    • Calidad de los datos.
    • Protección de datos desde el diseño y por defecto.
    • Tratamiento de categorías especiales de datos.
    • Medidas para garantizar la seguridad de los datos.
    • Requisitos relativos a comunicaciones posteriores de datos a otras organizaciones que no estén vinculadas por las normas corporativas vinculantes.
  • La forma en que se facilitará a los interesados la información sobre las normas corporativas vinculantes.
  • Los derechos de los interesados y los medios para ejercerlos.
  • El derecho a presentar una reclamación ante la Autoridad de control y órganos jurisdiccionales competentes de la UE.
  • El derecho a obtener una reparación y, si procede, una indemnización por la violación de las normas corporativas vinculantes.
  • Los procedimientos de reclamación.
  • La aceptación de la responsabilidad por cualquier violación de las normas corporativas vinculantes por parte de cualquier miembro del GRUPO no establecido en la Unión.
  • Las funciones del DPO encargado de la supervisión del cumplimiento de las normas corporativas vinculantes y la tramitación de reclamaciones.
  • Los mecanismos establecidos dentro del GRUPO para:
    • Garantizar el cumplimiento de las normas corporativas vinculantes.
    • Comunicar y registrar las modificaciones de las normas corporativas vinculantes y su notificación a la Autoridad de control.
    • Informar a la Autoridad de control de cualquier requisito jurídico al que esté sometido un miembro del GRUPO en un tercer país cuando sea probable que tenga un efecto adverso sobre las garantías establecidas en las normas corporativas vinculantes.
    • Formar al personal autorizado en materia de protección de datos.
 
 

Seguimiento del curso Experto en el GDPR


Tema anterior: 17. El Delegado de Protección de datos (DPO)     Tema siguiente: 19. La Autoridad de control



Información relacionada