Certificado LOPD

¿Existe un certificado oficial de cumplimiento del RGPD y LOPD?

Son alguna de las cuestiones más frecuentes que recibimos de nuestros clientes:

“Me han llamado diciendo que si no tengo un certificado LOPD me pueden sancionar”

«¿Podéis emitirnos un certificado RGPD de cumplimiento de protección de datos?»

Recordemos que el actual marco normativo en materia de Protección de Datos, está regulado por el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos (LOPD).

Sin embargo, numerosas empresas ofrecen supuestos «certificados RGPD» o «sellos de cumplimiento» que pueden generar confusión, por lo que en este artículo explicamos qué dice realmente la normativa y cómo debe acreditarse el cumplimiento de las obligaciones en materia de protección de datos.

El RGPD no exige disponer de un certificado

Ni el RGPD ni la LOPD establecen la obligación de que una empresa disponga de un certificado de cumplimiento en materia de protección de datos.

De hecho, el modelo europeo de protección de datos se basa en el principio de responsabilidad proactiva (accountability).

Esto significa que las organizaciones deben ser capaces de demostrar en cualquier momento que cumplen la normativa mediante:

  • Políticas y procedimientos internos.
  • Registros de actividades de tratamiento (RAT).
  • Contratos con Encargados del Tratamiento (ET).
  • Análisis de riesgos.
  • Evaluaciones de impacto cuando procedan (EIPD).
  • Medidas técnicas y organizativas de seguridad.
  • Formación y concienciación del personal.
  • Evidencias documentales de cumplimiento.

Por tanto, el cumplimiento no se acredita mediante la posesión de un certificado, sino mediante la implantación efectiva de medidas y la documentación correspondiente.

Entonces, ¿qué dicen los artículos 42 y 43 del RGPD?

Los artículos 42 y 43 del RGPD contemplan la posibilidad de establecer mecanismos de certificación en materia de protección de datos.

Sin embargo, estos mecanismos tienen varias características importantes:

  • Son completamente voluntarios.
  • No son obligatorios para cumplir el RGPD.
  • Deben ser emitidos por organismos acreditados.
  • Deben ajustarse a procedimientos específicos aprobados por las autoridades competentes.

Además, el propio RGPD aclara que la obtención de una certificación no reduce ni sustituye las responsabilidades del Responsable del Tratamiento (RT).

En otras palabras, incluso si una organización dispusiera de una certificación válida, seguiría siendo plenamente responsable de cumplir la normativa.

¿Existen actualmente certificaciones oficiales de cumplimiento RGPD en España?

A día de hoy, no existe en España un sistema generalizado y operativo que permita a cualquier empresa obtener una certificación oficial que acredite el cumplimiento integral del RGPD o la LOPD.

Por ello, cuando una organización solicita a otra un «certificado RGPD», en la práctica suele estar solicitando un documento que la normativa no exige y cuya existencia no constituye prueba definitiva de cumplimiento.

¿Puede cualquier consultora emitir un certificado RGPD?

Aquí es donde surge la principal confusión.

Algunas empresas entregan a sus clientes documentos denominados:

  • Certificado de cumplimiento RGPD.
  • Certificado de adecuación RGPD.
  • Certificado de protección de datos.
  • Sello de cumplimiento RGPD.

Sin embargo, la denominación de un documento no le otorga validez jurídica ni lo convierte en una certificación reconocida por la normativa.

En muchos casos se trata simplemente de documentos privados emitidos por la propia consultora, sin respaldo en ningún mecanismo oficial de certificación previsto por los artículos 42 y 43 del RGPD.

Lo que dice la LOPDGDD

La Ley Orgánica 3/2018 regula expresamente los mecanismos de certificación y establece un régimen sancionador vinculado a los mismos.

En particular, el artículo 73.x) considera infracción grave el incumplimiento de las obligaciones establecidas en relación con los organismos de certificación y los procedimientos de certificación previstos por la normativa.

Por ello, resulta especialmente importante evitar generar la impresión de que una empresa dispone de una certificación oficial de cumplimiento cuando realmente no existe una certificación reconocida emitida conforme al marco previsto por el RGPD.

Business Adapter a su servicio

En Business Adapter apostamos por un modelo de cumplimiento real y verificable, basado en la responsabilidad proactiva y en la generación de evidencias objetivas de cumplimiento, evitando crear falsas expectativas sobre supuestos certificados que la normativa no exige ni reconoce como prueba definitiva de adecuación al RGPD.

Si realmente pretende cumplir con la normativa de Protección de Datos (RGPD y LOPD), póngase en manos de expertos consultores. Contáctenos en el teléfono 961318804, en el email: info@businessadapter.es

Consúltanos, estaremos encantados de ayudarte
error: Content is protected !!