TRANSFERENCIA A UN TERCER PAÍS

Mecanismos de certificación y certificación

Los mecanismos de certificación y certificación son un tipo de salvaguardia adicional en virtud del RGPD. El uso de la certificación es una forma de herramienta para contribuir a un alto nivel de protección de datos. También se puede utilizar para demostrar que el procesamiento de datos personales está de acuerdo con el RGPD. La certificación como herramienta puede ser utilizada tanto por los controladores como por los procesadores.

Los criterios de certificación se establecen en el sistema de certificación

Hay algunos criterios específicos para obtener la certificación, y estos se reúnen en un llamado esquema de certificación. El agente que posee y es responsable del desarrollo del sistema de certificación puede ser, por ejemplo, una autoridad, una institución académica o una empresa privada.

Por ejemplo, los criterios de un sistema de certificación pueden referirse a las medidas de seguridad organizativas y técnicas aplicadas por el agente certificado. La certificación es una herramienta que sustenta el principio de rendición de cuentas.

Organismo de certificación acreditado e independiente

Uno de los requisitos para ser certificado y obtener un certificado es que una solicitud a un organismo de certificación acreditado e independiente debe ser realizada por la empresa que desea ser certificada. El objetivo de dicho organismo de certificación es examinar si el solicitante cumple los criterios del régimen de certificación. Podrá hacerlo, entre otras cosas, el organismo de certificación que revise los documentos de control, elabore informes o celebre entrevistas con el personal autorizado del operador solicitante.

Organismo nacional de acreditación

Cada Estado miembro de la UE puede tener un organismo nacional de acreditación, que puede acreditar a los organismos de certificación en el país. Además, las autoridades de protección de datos de los Estados miembros pueden determinar los requisitos para dicha acreditación de los organismos de certificación.

Si se pretende que los criterios se utilicen en todo el EEE, corresponde al Comité Europeo de Protección de Datos (CEPD) aprobarlos.

El CEPD ha publicado las directrices 4/2018 sobre la acreditación de organismos de certificación con arreglo al artículo 43 del Reglamento general de protección de datos (2016/679).

Sello europeo de protección de datos

La empresa que obtiene una certificación aprobada recibe un sello europeo de protección de datos. Este sello de protección de datos se puede aplicar al tratamiento de datos personales en toda la UE/EEE. Es beneficioso para las empresas que operan en varios Estados miembros.

Además, es una ventaja competitiva contar con dicho certificado para los procesadores de datos. Esto se debe a que el certificado confirma que el encargado del tratamiento ha proporcionado garantías suficientes de conformidad con el artículo 28, apartado 1, del RGPD. De conformidad con dicha cláusula, los responsables del tratamiento solo contratarán a encargados del tratamiento que hayan ofrecido garantías suficientes para aplicar las medidas técnicas y organizativas adecuadas, de modo que el tratamiento cumpla los requisitos del RGPD y garantice la protección de los derechos del interesado.

La importancia jurídica de un certificado

Un certificado significa que el procesamiento cumple con los criterios de un esquema de certificación. Se evidencia por las evaluaciones y la documentación en la que se basa la certificación. Sin embargo, no demuestra que un tratamiento individual de datos personales cumpla realmente los requisitos del RGPD.

Por otro lado, debe haber un alto nivel de protección de datos para el procesamiento de datos personales que esté cubierto por una certificación. Esto es algo a lo que las autoridades de protección de datos prestan especial atención, en caso de que un tratamiento certificado esté sujeto a supervisión, multas u otras medidas correctoras.

Transferencia de datos personales a terceros países con certificación como herramienta de transferencia

Un destinatario de datos personales en un tercer país puede haberse adherido a un sistema de certificación aprobado. En tales casos, puede permitirse la transferencia de datos personales al destinatario en ese tercer país. Esto presupone que el certificado impone obligaciones exigibles y jurídicamente vinculantes al operador que recibe los datos personales.

El CEPD ha elaborado directrices sobre la certificación como base para la transferencia de datos personales a terceros países. Proporcionan más orientación e información sobre los requisitos para un sistema de certificación como herramienta de transferencia. Además, las directrices también proporcionan información sobre cómo obtener la aprobación de un régimen de certificación. Aquí puede leer las Directrices 07/2022 del CEPD sobre la certificación como herramienta para las transferencias).

APRENDE MÁS SOBRE RGPD

Las normas corporativas vinculantes son otra salvaguardia para las transferencias a terceros países

Un grupo de empresas podrá establecer normas corporativas vinculantes como salvaguardia adicional para las transferencias de datos personales a terceros países. Después de eso, las reglas deben ser aprobadas por la autoridad de protección de datos responsable. Otras autoridades de protección de datos en el ámbito de la UE/EEE tendrán la oportunidad de dar su opinión sobre las disposiciones. Lo mismo se aplica al Comité Europeo de Protección de Datos. Si es aprobado por la autoridad responsable de la protección de datos, la empresa puede transferir los datos personales con el apoyo de las normas corporativas vinculantes.