«Las nuevas certificaciones oficiales a la luz del RGPD», artículo de Jesús Yáñez, socio de ECIJA, para Actualidad Jurídica Aranzadi.

Este año 2017 está siendo marcado por la preocupación de las empresas sobre si llegarán a tiempo o no a estar adaptadas de forma adecuada al Reglamento General de Protección de Datos Europeo que entró en vigor el pasado 27 de Abril de 2016 y cuyas disposiciones serán obligatorias el próximo 25 de mayo de 2018. Efectivamente, no queda mucho tiempo, y las acciones a realizar para estar correctamente adaptados, que no son pocas, en multitud de ocasiones son complejas.

¿Hay luz al final de túnel? Por supuesto que sí, casi siempre la hay y esta vez no va a ser una excepción, de hecho esa luz tendrá recompensa: la certificación oficial que garantice que nuestros productos y servicios cumplen con lo más altos estándares en materia de protección de datos y privacidad.

No cabe duda que la ley es ley, y este Reglamento al ser directamente aplicable ha de cumplirse a no ser que queramos vernos expuestos a sanciones de hasta 20 millones de euros o hasta el 4% de la facturación global de nuestra compañía.

Si hay algo que está gustando a las empresas sobre este Reglamento es la novedad que incluye por la que se  podrá certificar en un futuro cercano que nuestros productos y servicios cumplen con el mismo.

No cabe duda que anteriormente han existido certificaciones similares, pero en el caso de España, siempre de ámbito privado, por lo que su utilidad o validez era directamente proporcional a la reputación que tenía la entidad que emitía el certificado.

Actualmente la Agencia Española de Protección de Datos ha dado luz verde al proceso de certificación de profesionales del ámbito de la privacidad que quieran certificar sus conocimientos y ser Delegados de Protección de Datos (DPO), de hecho podemos consultar en su web el esquema de certificación, no así al proceso de certificación de productos y servicios de las empresas, sin embargo se espera que este nuevo esquema esté publicado en los próximos meses. De hecho, el Reglamento incluye un mandato a todas las Autoridades de Control europeas en materia de protección de datos para que promuevan estas certificaciones y sellos de privacidad al igual que los códigos de conducta (artículos 42 y 43 del Reglamento).

¿Qué me aporta disponer de mis productos certificados en privacidad? Cuatro ventajas indiscutibles:

Por un lado estar relativamente seguro de que nuestros tratamientos y procesos se adecúan a la normativa, y por tanto evitemos disgustos y sanciones no deseados.

En segundo lugar, teniendo en cuenta que cuando una empresa implementa medidas de seguridad para el cumplimiento de la normativa de protección de datos, hace extensivas estas medidas a otras áreas de la empresa más relacionadas con los datos del negocio. Si un tercero certifica que estas medidas son correctas, podemos estar más tranquilos ya que nuestra información “crítica” está gestionada, aspecto vital para la continuidad del negocio.

En tercer lugar, sin duda la percepción que los consumidores tendrán de nuestros productos y servicios. El tener un sello que certifica que nuestro producto o servicio cumple a rajatabla la normativa más garante a nivel mundial de cara a la privacidad de las personas ha de ser incuestionablemente un elemento muy apreciado por parte de nuestros consumidores finales.

En cuarto lugar y no por ello menos importante, hay que tener en cuenta que el nuevo reglamento establece un deber de diligencia en la elección y supervisión de nuestros proveedores cuando estos traten datos de carácter personal. Esto podría suponer que nuestro cliente nos audite como proveedores para verificar que cumplimos con la normativa. ¿Y si con un sello conseguimos pasar por este tedioso proceso una única vez, y este sello nos permite garantizar a todas las empresas de las que seamos proveedores que efectivamente cumplimos la normativa? Sin duda nos supondría un ahorro de costes y tiempo.

Existen esquemas muy avanzados que están siendo presentados a las autoridades de control de los países de la Unión, por lo que la llegada de estos sellos no debería demorarse tampoco en nuestro país.  Presumiblemente ENAC (Empresa Nacional de Certificación) presentará en los próximos meses junto a la Agencia Española de Protección de Datos el esquema aplicable a nuestro país, el cuál muy probablemente permita certificar productos y servicios en 2018. Este esquema no debería ser muy diferente a otras certificaciones a las que podamos estar acostumbrados (normas ISO, etc).

Deberemos adaptar nuestros productos y servicios con las obligaciones que se establezcan en la normativa y estas entidades de certificación procederán a verificar si cumplimos o no. Si cumplimos conseguiremos la tan ansiada certificación, que tendrá una validez máxima de 3 años.

Habrá competencia para las entidades de certificación, lo que supondrá que los precios en este proceso sean contenidos. No olvidemos que un sello obtenido bajo una autoridad alemana será presumiblemente tan válido como el obtenido en España, la normativa es prácticamente la misma.