Introducción a Europrivacy

Desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD), el cumplimiento en materia de protección de datos personales se ha convertido en un requisito central para empresas y administraciones públicas que operan en el territorio de la Unión Europea (UE). Supone riesgos legales y financieros que no pueden ser ignorados por los responsables del tratamiento y los encargados del tratamiento de datos.

Europrivacy es un esquema de certificación desarrollado a través del Programa Europeo de Investigación para evaluar, documentar, certificar y valorar el cumplimiento del RGPD y de normativas complementarias de protección de datos. Está gestionado por el Centro Europeo de Certificación y Privacidad (ECCP) en Luxemburgo, bajo la supervisión de un Consejo Internacional de Expertos en protección de datos.

Europrivacy ha sido desarrollado sobre la base de la norma ISO/IEC 17065 y el artículo 42 del RGPD, con el objetivo de "demostrar el cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de tratamiento de los responsables y los encargados".

Europrivacy es mucho más que un simple esquema de certificación. Ofrece un conjunto integral de recursos y servicios en línea para implementar, mejorar y demostrar de manera efectiva el cumplimiento con la protección de datos. Está respaldado por una comunidad de socios cualificados, una academia en línea, un sitio web comunitario y herramientas en línea. Presenta numerosos beneficios y ventajas. 

Ámbito y Aplicabilidad

Objetivo: Europrivacy permite evaluar, documentar, certificar y valorar el cumplimiento del RGPD y de normativas complementarias de protección de datos. En particular, ayuda a empresas y organizaciones a:

1. Reducir riesgos legales y financieros verificando y documentando el cumplimiento;
2. Comunicar y valorar el cumplimiento, convirtiéndolo en un activo y fuente de creación de valor;
3. Disfrutar y mantener el cumplimiento a través de la certificación Europrivacy y los recursos en línea;  
4. Servir como mecanismo para la transferencia internacional de datos.

¿Qué? Gracias a su modelo híbrido, Europrivacy es aplicable a casi todas las actividades de tratamiento de datos, incluyendo tecnologías innovadoras como inteligencia artificial, blockchain, e-salud e Internet de las cosas. Sin embargo, existen algunas exclusiones específicas, como los datos biomédicos.

Aunque la metodología de Europrivacy puede aplicarse a diversos objetivos de evaluación, según el artículo 42 del RGPD, solo pueden certificarse las actividades de tratamiento de datos. Como consecuencia, en las jurisdicciones de la UE, no es posible certificar una empresa en su totalidad ni su sistema de gestión completo bajo el RGPD. El lado positivo de este enfoque es que el cumplimiento puede certificarse de manera progresiva, comenzando con las actividades prioritarias de tratamiento de datos y extendiendo la certificación paso a paso a más actividades de tratamiento de datos.

¿Quién? Europrivacy es aplicable tanto a responsables del tratamiento como a encargados del tratamiento de datos. 

¿Dónde? Europrivacy puede utilizarse en cualquier lugar para evaluar el cumplimiento con el RGPD. Sin embargo, la emisión de certificados no es aplicable a jurisdicciones que no ofrezcan garantías adecuadas y suficientes para los derechos y libertades de los interesados.

Extensibilidad: Europrivacy ha sido desarrollado y diseñado para ser fácilmente ampliable a normativas nacionales complementarias de protección de datos, incluyendo regulaciones fuera de la UE, así como a normativas específicas de sector y tecnología.

Validez: Los certificados tienen una validez renovable de tres años.

Qué versión de la certificación Europrivacy elegir

Europrivacy está disponible en dos versiones de criterios:

Para la certificación RGPD estándar en virtud del Art. 42 RGPDPara la certificación de importadores de datos, utilizada como mecanismo para las transferencias internacionales de datos en virtud del Art. 46 RGPD.

La elección de la versión de los criterios de certificación es sencilla: si está establecido en la UE/EEE o sujeto al RGPD en virtud del Art. 3(2) RGPD porque recopila datos directamente en Europa, deberá utilizar los criterios de certificación estándar. Si está establecido fuera de la UE/EEE y no está sujeto al RGPD en virtud del Art. 3(2) RGPD, pero trata datos personales europeos recibidos de otra entidad, deberá utilizar la certificación para importadores de datos. La siguiente tabla resume las opciones disponibles.

Por último, si está establecido fuera de la UE/EEE y no trata activamente datos personales europeos, debería considerar la certificación Interprivacy.

Proceso de Certificación 

El proceso de certificación se puede dividir en los siguientes pasos principales:

1. Preparar y documentar tu cumplimiento con los criterios de Europrivacy, con el apoyo del Paquete de Bienvenida de recursos y herramientas de Europrivacy y socios cualificados para reducir tus riesgos. También puedes utilizar Extensiones de criterios para certificar el cumplimiento con normativas adicionales de la UE o nacionales.
2. Certificar el cumplimiento de tu tratamiento de datos con un Organismo de Certificación cualificado para valorar y comunicar tus esfuerzos de cumplimiento. El organismo de certificación debe estar autorizado por ECCP y contar con una acreditación válida por una autoridad nacional competente. El certificado se publica en el Registro Oficial de Certificados de Europrivacy para permitir su autenticación por terceros y prevenir fraudes.
3. Mantener, comunicar y valorar tu cumplimiento gracias a los recursos y herramientas en línea, incluyendo directrices de comunicación y plantillas, actualizaciones continuas sobre los requisitos de cumplimiento, y auditorías de supervisión anuales.

Modelo Innovador de Certificación Europrivacy 

Europrivacy ofrece un modelo de certificación híbrido innovador, que combina las ventajas de un esquema de certificación universal con criterios específicos según el sector y la tecnología, en función de la naturaleza del Objetivo de Evaluación.

Criterios fundamentales del RGPD (G/GI): El proceso de certificación siempre comienza con la lista Europrivacy de Criterios Fundamentales del RGPD, que abarca las diversas obligaciones del RGPD, tal y como se explica a continuación: 

C - Controles y Verificaciones Complementarias (C): Los Criterios Fundamentales se completan con Controles y Verificaciones Complementarias, para evaluar el cumplimiento de las obligaciones específicas de dominio y tecnología que puedan aplicarse al Objetivo de Evaluación.

T - Medidas Técnicas y Organizativas: Los Controles y Verificaciones de Medidas Técnicas y Organizativas tienen como objetivo evaluar la adecuación de las medidas implementadas para asegurar los datos procesados. Excepto en el caso de tratamientos de datos de alto riesgo, este requisito puede ser sustituido por un certificado ISO/IEC 27001 válido que abarque el Objetivo de Evaluación. 

S - Lista de Verificación para Auditorías de Supervisión: Se especifican algunos criterios adicionales para las auditorías de supervisión con el fin de evaluar y garantizar el cumplimiento continuo a lo largo del tiempo.

N - Obligaciones Nacionales: Europrivacy apoya la evaluación del cumplimiento con las obligaciones nacionales complementarias a través de diversos instrumentos:

• Perfiles de obligaciones nacionales para cada uno de los Estados miembros del Espacio Económico Europeo. Estos recursos pueden ser utilizados para preparar un informe de evaluación de cumplimiento de obligaciones nacionales (NOCAR).
• Extensión de Criterios Nacionales Europrivacy para evaluar y certificar el cumplimiento de un Objetivo de Evaluación con las normativas nacionales complementarias sobre protección de datos. Estas extensiones son opcionales y se utilizan de manera voluntaria para extender una certificación Europrivacy hacia las jurisdicciones no pertenecientes a la UE correspondientes.
• Análisis de posibles conflictos de leyes para evaluar si la legislación nacional aplicable al solicitante en terceros países le impediría cumplir con el RGPD y los requisitos de certificación.