EDPB Dictamen 25/2022 sobre el Sello Europeo de Privacidad (EuroPriSe) criterios de certificación

By: admin Encendido: 24 septiembre, 2022 In: RGPD

EDPB Dictamen 25/2022 sobre el Sello Europeo de Privacidad (EuroPriSe) criterios de certificación

El Consejo Europeo de Protección de Datos

El pasado 13 de septiembre el EDPB realizó el Dictamen 25/2022 sobre el Sello Europeo de Privacidad (EuroPriSe) criterios de certificación.

Visto el artículo 63, el artículo 64, apartado 1, letra c), y el artículo 42 del Reglamento 2016/679/UE de la ParlamentoEuropeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga Directiva 95/46/CE (enadelante, “GDPR”),

Teniendo en cuenta el Acuerdo sobre el Espacio Económico Europeo (en adelante, «EEE») y, en particular,

Anexo XI y Protocolo 37 del mismo, modificado por la Decisión del Comité Mixto del EEE n.º 154/2018 de 6 de julio de 2018

Visto el artículo 64, apartado 1, letra c), del RGPD y los artículos 10 y 22 de su Reglamento.

Mientras:

  • Los Estados miembros, las autoridades de control, el Consejo Europeo de Protección de Datos (en adelante, «el CEPD») y la Comisión Europea fomentarán, en particular a nivel de la Unión, el establecimiento de mecanismos de certificación de protección de datos (en adelante, «mecanismos de certificación») y de sellos y marcas de protección de datos, con la finalidad de demostrar el cumplimiento del RGPD de las operaciones de tratamiento por parte de losresponsables y encargados del tratamiento, teniendo en cuenta las necesidades específicas de las micro, pequeñas ymedianas empresas. El establecimiento de certificaciones puede mejorar la transparencia y permitir que los interesados evalúen el nivel de protección de datos de productos y servicios relevantes .
  • Los criterios de certificación forman parte integral de cualquier mecanismo de certificación. En consecuencia, el RGPD exige la aprobación de los criterios nacionales de certificación de un mecanismo de certificación por parte de la autoridad de control competente (artículos 42(5) y 43(2)(b) del RGPD), o en el caso de un Sello Europeo de Protecciónde Datos, por el EDPB (Artículos 42(5) y 70(1)(o) del RGPD).
  • Cuando una autoridad de control (en adelante, «SA») tiene la intención de aprobar una certificación de conformidad con el artículo 42 (5) del RGPD, el rol principal del EDPB es garantizar la aplicación consistente del RGPD, a travésdel mecanismo de consistencia a los artículos 63, 64 y 65 del RGPD. En este marco, de acuerdo con el artículo 64(1)(c) del RGPD, el EDPB está obligado a emitir un dictamen sobre el proyecto de decisión de la autoridad de control por laque se aprueban los criterios de certificación.
  • Esta Opinión tiene como objetivo garantizar la aplicación coherente del RGPD, incluso por parte de las autoridad de control, los controladores y los procesadores a la luz de los elementos centrales que deben desarrollar los mecanismos de certificación. En particular, la evaluación del EDPB se realiza sobre la base de las “Directrices 1/2018 sobre certificación e identificación de criterios de certificación de conformidad con los artículos 42 y 43 del Reglamento” (en adelante, las“Directrices”) y su Anexo que proporciona “Orientación sobre criterios de certificación evaluación” (en adelante, el “Adenda”), cuyo plazo de consulta pública venció el 26 de mayo de 2021
  • En consecuencia, el CEPD reconoce que cada mecanismo de certificación debe abordarse individualmente y sinperjuicio de la evaluación de cualquier otro mecanismo de certificación.
  • Los mecanismos de certificación deberían permitir a los controladores y procesadores demostrar el cumplimiento del RGPD; por tanto, los criterios de certificación deben reflejar adecuadamente los requisitos y principios relativos a laprotección de datos personales establecidos en el RGPD y contribuir a su aplicación
  • Al mismo tiempo, los criterios de certificación deben tener en cuenta y, en su caso, ser interoperables con otrasnormas, como las normas ISO, y las prácticas de certificación.
  • Como resultado, las certificaciones deben agregar valor a una organización al ayudar a implementar medidas organizativas y técnicas estandarizadas y especificadas que faciliten y mejoren de manera demostrable el cumplimiento de las operaciones de procesamiento, teniendo en cuenta los requisitos específicos del
  • El EDPB acoge con satisfacción los esfuerzos realizados por los propietarios de esquemas para elaborar mecanismos de certificación, que son herramientas prácticas y potencialmente rentables para garantizar una mayor coherencia con el RGPD y fomentar el derecho a la privacidad y la protección de datos de los interesados mediante el aumento de la transparencia.
  • El EDPB recuerda que las certificaciones son herramientas voluntarias de rendición de cuentas, y que la adhesión a unmecanismo de certificación no reduce la responsabilidad de los controladores o procesadores en el

cumplimiento del RGPD ni impide que las SA ejerzan sus funciones y poderes de conformidad con el RGPD y las  leyesnacionales pertinentes.

  • El Dictamen del EDPB se adoptará, de conformidad con el artículo 64, apartado 1, letra c), del RGPD, en conjunción con el artículo 10, apartado 2, del Reglamento interno del EDPB, en el plazo de ocho semanas a partir del primer día laborable posterior el Presidente y la autoridad de control competente han decidido que el expediente está completo. Por decisión del Presidente, este plazo podrá prorrogarse otras seis semanas, teniendo en cuenta la complejidad del tema.
  • El dictamen del EDBP se centra en los criterios de certificación. En caso de que el EDPB requiera información de altonivel sobre los métodos de evaluación para poder evaluar exhaustivamente la auditabilidad del proyecto de criterios de certificación en el contexto de su Dictamen al respecto, este último no incluye ningún tipo de aprobación dedichos métodos de evaluación.

Ha optado por la siguiente opinión

Resumen de los hechos

    De conformidad con el artículo 42, apartado 5, del RGPD y las Directrices, se redactó el “Criterio de certificación del Sello Europeo de Privacidad (EuroPriSe) para la certificación de las operaciones de tratamiento por parte de los encargados” (en adelante, el “proyecto de criterios de certificación” o “criterios de certificación”). por EuroPriSe Cert GmbH (en adelante, «EuroPriSe»), una entidad legal en Alemania y presentado a Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, la autoridad supervisora alemana competente en Renania del Norte-Westfalia (en adelante, «la Autoridad de Control Alemana (NRW) ”)

La Autoridad de Control Alemana (NRW) presentó el proyecto de criterios de un esquema de certificación nacional al EDPB y solicitó una opinión de la Junta de conformidad con el artículo 64 (1) (c) GDPR el 2 de junio de 2022. La decisión sobre la integridad del archivo fue tomada el 7 de julio de 2022

Evaluación

La Junta ha realizado su evaluación de acuerdo con la estructura prevista en el Anexo 2 de las Directrices (en adelante, el “Anexo”) y su Addendum. Cuando esta Opinión no se pronuncia sobre una sección específica del borrador de los criterios de certificación, debe interpretarse como que la Junta no tiene ningún comentario y no pide a la Autoridad de Control Alemana (NRW) que tome medidas adicionales

En opinión de la Junta, el alcance del esquema de certificación no está suficientemente claro. A pesar de que el alcance del sistema se indica entre paréntesis («(alcance: Alemán)») en la portada del documento, esta página también contiene el texto («Sello europeo de privacidad») que aún puede dar la impresión de que el régimen tiene alcance europeo. Por lo tanto, la Junta alienta a aclarar el alcance del esquema de certificación en el texto introductorio del documento.

La presente certificación no es una certificación según el artículo 46 (2) (f) del RGPD destinada a transferenciasinternacionales de datos personales. No prevé las garantías adecuadas en el marco de las transferencias de datos personales a terceros países u organizaciones internacionales en los términos a que se refiere la letra f) del artículo 46, apartado 2. De hecho, cualquier transferencia de datos personales a un tercer país o a una organización internacional solo tendrá lugar si se respetan las disposiciones del Capítulo V del RGPD

En opinión de la Junta, la evaluación de si el solicitante es un encargado es parte de la revisión de la solicitud (y no de los criterios de conformidad con el Artículo 42(5) del RGPD). El organismo de certificación debe evaluar el papel en función de la información y los documentos proporcionados por el solicitante al solicitar una certificación. Por lo tanto, la Junta recomienda dejar la sección 1 fuera de los criterios de conformidad con el Artículo 42(5) del RGPD e incorporarla al proceso de solicitud.

La Junta también observa que el esquema actual prevé que se cumplan los criterios de conformidad con el artículo 28 del RGPD en la relación del responsable con el encargado (en la sección 2.2 del esquema) y en la relación del encargado con otros encargados (subencargados) (en el apartado 2.3.3 del esquema). Para dejar claro que esto no implica que dicho subencargado pueda ser certificado bajo este esquema y que solo las operaciones de tratamiento realizadas en nombre del solicitante están sujetas a certificación, el EDPB recomienda aclarar también en la introducción que los subencargados no puede ser certificado bajo el esquema de certificación EuroPriSe.

El requisito de mantener un registro de las actividades de tratamiento de conformidad con el artículo 30 (2) del RGPD se estipula en la sección 2.1.1. de los criterios de certificación. Según EuroPriSe, este requisito “será aplicable como norma”. Sin embargo, la Junta alienta a aclarar si las exenciones del Artículo 30 (5) del RGPD aún podrían aplicarse en casos individuales o si, para cumplir con los criterios del esquema EuroPriSe, dicho registro de actividades detratamiento siempre debe ser mantenido por un cliente de certificación independientemente de las exenciones.

La Junta señala que de acuerdo con la sección 2.1.3., los encargados que no tengan un establecimiento en la UniónEuropea (UE) o en el Espacio Económico Europeo (EEE) deberán designar un representante de conformidad con elartículo 27 del RGPD. En consecuencia, la Junta entiende que el esquema de certificación EuroPriSe es aplicable para los clientes de certificación que están establecidos fuera de la UE o el EEE.

Dado que esto podría implicar que dicho encargado establecido fuera de la UE/EEE también podría tratar datos personales fuera de la UE/EEE, la Junta recomienda aclarar en la sección 2.1.3. que siempre que tenga lugar una “transferencia” en el sentido del artículo 44 del RGPD a un encargado establecido fuera de la UE o del EEE, se deben respetar plenamente las obligaciones estipuladas en el Capítulo V del RGPD. Además, la Junta recomiendaaclarar en la sección 2.1.3. que el presente régimen no es un régimen conforme al artículo 46 (2)(f) del RGPD. LaJunta recomienda aclarar en la sección 2.1.3. que el solicitante no tiene derecho a hacer uso de la certificación de unamanera que pueda dar la impresión de que la certificación en sí misma es una herramienta de transferencia deconformidad con el Artículo 46 (2) (f) del RGPD. Los responsables de datos deben, independientemente de lapresencia del sello de certificación, realizar una evaluación de la legislación del país anfitrión antes de transferir datosal encargado certificado GDPR fuera de la UE. En caso de que la legislación no prevea el nivel adecuado deprotección, medidas complementarias debe ponerse en marcha.

Un encargado de tratamiento de datos debe abstenerse de solicitar la certificación si es consciente de que su legislación le impediría cumplir con los principios del RGPD consagrados en el esquema de certificación.

El Consejo observa que, en las secciones 2.2 y 2.3 de los criterios de certificación de EuroPriSe, se hace referencia alos requisitos con respecto al artículo 28 del RGPD. El apartado 2.2.1 de los criterios de  certificación trata sobre la existencia de cláusulas contractuales que cumplen todos los requisitos del artículo 28 del RGPD. En este sentido, la Guía establece que el encargado elabora una plantilla de Acuerdo de tratamiento de datos (DPA) que cumple con todos los requisitos del Artículo 28 GDPR. A pesar del hecho de que la guía también menciona que no es necesario usar la plantilla, la      Junta alienta a proporcionar una redacción adicional en esta guía para aclarar que dicha plantilla de Acuerdo de tratamiento de datos es sin perjuicio del derecho del responsable para proporcionar o negociar las cláusulas del Artículo 28 GDPR con el encargado de datos  sin consecuencias en la certificación.

Además, la sección 2.2.1 menciona que este requisito “debe modificarse si el tratamiento respectivo por parte de un encargado en nombre del responsable no se basa en un contrato sino en otro instrumento legal bajo la legislación de la Unión o del Estado miembro”. Sin embargo, cuando existen otros instrumentos legales, el requisito de la sección 2.2.1 no es aplicable. En estos casos no se requieren tales cláusulas contractuales. La Junta recomienda modificar la redacción en consecuencia.

La Sección 2.2.1 instruye al Organismo de Certificación a examinar “si el instrumento legal relevante cumple con los requisitos del art. 28 del RGPD”, acompañado de una nota a pie de página que explica que “esta constelación no seconsidera con más detalle en esta v2.1 del catálogo de criterios por falta de relevancia práctica”. Cuando ciertos criterios carezcan de relevancia práctica, no deberían formar parte del catálogo de criterios. Por lo tanto, la Junta recomienda eliminar estas frases de la sección 2.2.1.

El requisito en la sección 2.2.1, punto 2 e) de los criterios en detalle no debería simplemente repetir el texto del Artículo 28, sino que la Junta recomienda especificar más la asistencia que el encargado debería o podría ofrecer para el cumplimiento de los requisitos del responsable. Obligación de responder a las solicitudes de ejercicio de los derechos de los interesados. Esto, con el fin de reflejar las opciones operativas reales que tienen el encargado y el responsable, es decir, en qué medida el responsable depende prácticamente de la asistencia del encargado para el ejercicio de los derechos del titular de los datos (el apoyo es imperativo) o el responsable simplemente prefiere ( algún tipo de) apoyo del encargado sobre este tema (el apoyo es electivo). El requisito también debe estipular que tales cláusulas deben estar en línea con la responsabilidad del GDPR del responsable con respecto a los derechos de los interesados y no transferir indebidamente esta responsabilidad al encargado. El EDPB recomienda modificar el requisito 2.2.1 para que se tenga en cuenta. en qué medida el responsable depende realmente del encargado para la asistencia del responsable con respecto a los derechos del usuario.

La sección 2.2.2 (punto 8 de los criterios en detalle) establece que el encargado  proporciona toda la «información necesaria» para demostrar el cumplimiento del artículo 28 del RGPD. No está completamente claro a qué documentos se refiere específicamente este requisito, ya que la lista de documentos es abierta y el término «información necesaria» es bastante vago. Por lo tanto, la Junta recomienda identificar una lista exhaustiva de documentos/información que debe ser verificada por el Organismo de Certificación para verificar si este criterio se cumple o no. Además, este criterio debe aclarar que esta documentación/ información deberá ser proporcionada al Organismo de Certificación.

La sección 2.3.2 establece que “el encargado deberá haber celebrado contratos con todos los demás encargados que impongan las mismas obligaciones de protección de datos que se establecen en los contratos entre el (los) responsable(es) y el encargado sobre ese otro encargado”. Para mejorar la legibilidad, la Junta alienta a modificar ligeramente la última parte de la frase. Por ejemplo, «en ese otro encargado» podría cambiarse por «subencargado».

El apartado 2.3.2 (punto 1a del requisito en detalle) establece que se especificará el plazo exacto o los criterios según los cuales se determina. Por razones de claridad, la Junta recomienda incluir en este requisito que estas especificaciones sobre la duración del tratamiento se realizará de conformidad con las disposiciones pertinentes del acuerdo de tratamiento de datos entre el responsable y el encargado.

La Junta toma nota de que se cumple el requisito previsto en el apartado 2.4.1. “solo es aplicable si las operaciones de tratamiento a certificar, mientras sean usadas exclusivamente por responsables que están sujetos a obligaciones especiales de confidencialidad/secreto”. En opinión de la Junta, no está claro si este requisito se aplica en caso de que solo «pocos» responsables que estén sujetos a obligaciones especiales utilicen las operaciones de tratamiento del encargado certificado. Además, no está claro en qué circunstancias se cumple el término “principalmente”. Por lo tanto, la Junta recomienda aclarar la sección 2.4.1 en consecuencia.

Además de la nota a pie de página 63 del esquema de certificación EuroPriSe, la Junta alienta a proporcionar más ejemplos en la «Orientación» de la sección 2.4.1. con respecto a cómo una plantilla del contrato para un acuerdo de tratamiento de datos podría abordar obligaciones específicas de confidencialidad bajo la ley de la UE o la ley de losEstados miembros.

La Junta observa que la sección 2.4.2 estipula requisitos con respecto al Capítulo V del RGPD. Sin embargo, la certificación EuroPriSe no es en sí misma un instrumento de transferencia para la transferencias de datos personales a terceros países u organizaciones internacionales de conformidad con el Artículo 46(2)(f) del RGPD. En este contexto, la Junta recomienda aclarar en la sección 2.4.2 que el esquema de certificación EuroPriSe en sí mismo no es un instrumento de transferencia de acuerdo con el artículo 46 (2) (f) del RGPD, ya que no proporciona garantías adecuadas en el marco de transferencias de datos personales a terceros países u organizaciones internacionales en los términos a que se refiere la letra f) del artículo 46, apartado 2. Además, la Junta recomienda incluir la obligación del solicitante de la certificación de informar al responsable sobre el hecho de que el esquema de certificación EuroPriSe en sí mismo no es un instrumento de transferencia de acuerdo con el Artículo 46(2)(f) del RGPD.

Además, la Junta recomienda aclarar en la sección 2.4.2 que estos requisitos específicos solo son aplicables cuando el solicitante de la certificación (como encargado) está transfiriendo datos personales a un importador de datos en un tercer país y estipular un requisito para que los solicitantes de la certificación justifiquen y documentar su elección de una herramienta de transferencia particular de conformidad con el Capítulo V del RGPD.

La Sección 2.4.2.1 estipula los requisitos generales con respecto a las herramientas de transferencia del Capítulo V del RGPD. En opinión de la Junta, dichos requisitos generales no son auditables y podrían generar inconsistencias en la aplicación del esquema de certificación EuroPriSe. Mientras que hay «casos de uso» para dar ejemplos sobre la aplicación del esquema de certificación EuroPriSe, la Junta señala que, según EuroPriSe, tales «casos de uso» y «orientación» no forman parte de los criterios normativos. Por tanto, esta Opinión no contiene conclusiones sobre la correcta aplicación del RGPD en los “casos de uso” que se prevén en el apartado 2.4.2.

Como resultado, dado que los casos de uso abordan medidas complementarias, la Junta recomienda incluir más especificaciones con respecto a la evaluación del cumplimiento de las obligaciones del exportador de datos estipuladas en el Capítulo V. En particular, con respecto a la implementación de medidas complementarias, las Recomendaciones del EDPB sobre medidas que en los criterios se hará referencia a las herramientas de transferencia complementaria.

Finalmente, el Consejo observa que el apartado 2.4.2.1. estipula requisitos en relación con el artículo 49 del RGPD. Eneste contexto, la Junta recomienda incluir un requisito para que el solicitante proporcione información específica al organismo de certificación sobre qué situaciones y bajo qué condiciones el solicitante se basaría en la exención del artículo 49 del RGPD.

La Sección 2.5.3 establece que este requisito no se aplica a las operaciones de tratamiento por parte de los encargados que utilizan los principales (responsables) para muchos propósitos diferentes. El término ‘muchos’ es demasiado abierto para ser utilizado por un organismo de certificación para verificar la conformidad. Por lo tanto, la Junta recomienda dar una indicación más precisa de cuándo es aplicable este requisito y cuándo no, por ejemplo, cuantificando la cantidad de propósitos que hacen imposible aplicar este requisito (por ejemplo: “tres o más propósitos”).

En la subsección 2.5.3.1, el responsable está obligado a utilizar un folleto que contiene información sobre aspectos relevantes de protección de datos. En el punto 2, se establece que el prospecto contendrá información sobre la designación de las posibles bases jurídicas en las que pueda confiar el responsable del tratamiento, según sea el caso. La Junta recomienda eliminar este punto del catálogo de criterios, ya que interfiere con la responsabilidad del responsable de definir la base legal adecuada y garantizar que se cumplan todas las condiciones para esta base legal. Ello se entiende sin perjuicio de la obligación del encargado del tratamiento de informar inmediatamente al responsable del tratamiento si, en su opinión, una instrucción infringe el presente Reglamento u otras disposiciones de protección de datos de la Unión o de los Estados miembros, de conformidad con el artículo 28, apartado 3, del RGPD.

El apartado 2.5.3.1 contiene la obligación para el encargado del tratamiento de haber designado en el folleto los servicios de apoyo en relación con la respuesta a las solicitudes para el ejercicio de los derechos de los interesados. Por razones de aclaración, y para alinearse con el Artículo 28 (3) (e) GDPR, la Junta alienta a modificar esta frase de la siguiente manera: “Designación de los servicios del encargado con respecto a asistir al responsable en responder a las solicitudes para el ejercicio de derechos de los interesados…”.

La subsección 2.5.3.2 contiene la obligación de elaborar un modelo de formulario para una declaración de consentimiento o liberarse de la confidencialidad si el consentimiento es la única base legal para certificar el uso de las operaciones de tratamiento. La misma obligación se aplica si las operaciones de tratamiento a certificar implican una transferencia de datos personales a terceros países y si el consentimiento sirve como legitimación para dicha transferencia. Aunque tal modelo podría ser útil para algunos responsables, en pequeñas y medianas empresas en particular, la Junta recomienda eliminar este requisito específico, ya que obtener el consentimiento no es responsabilidad del encargado sino del responsable y, por lo tanto, no puede servir como criterio para que el encargado demuestre el cumplimiento del RGPD, que, al final, es el propósito de la certificación GDPR

El Consejo observa que en referencia al análisis de riesgos del apartado 3.1.1.1. y 3.1.5.1, no está del todo claro qué riesgos se están abordando (por ejemplo, los de los interesados). Por lo tanto, la Junta recomienda especificar que se aborden los riesgos para los derechos y libertades de los interesados. Además, el documento hace referencia en los alineamientos de varios requisitos a una clasificación de riesgos, sin embargo, en ninguno de los requisitos se ha hecho una aclaración de esta clasificación. En aras de la claridad, la Junta recomienda, por lo tanto, agregar en la Sección 3.1.1.1 y la Sección 3.1.5.1 una referencia a la clasificación de riesgos con respecto a los diferentes tipos de riesgos con respecto a los interesados en cuestión.

En la sección 3.1.1.3, la Junta reconoce la intención de EuroPriSe de resaltar la importancia de implementar mecanismos de control de acceso al interactuar con servicios basados en la web. Sin embargo, la redacción actual “esto se garantiza especialmente cuando se interactúa con servicios basados en la web” podría indicar que estos mecanismos de control no son tan importantes u obligatorios en todos los demás casos. Por lo tanto, la Junta alienta a eliminar esta oración o reformularla en consecuencia.

El requisito del apartado 3.1.2.1. estipula la obligación del encargado de demostrar que “la duración del almacenamiento de los datos de registro se puede configurar la responsabilidad se configura realmente en consideración de la responsabilidad existente. riesgo asumido”. Sin embargo, la Junta señala que, de acuerdo con el Artículo 5 (1) (c) del RGPD, la duración del almacenamiento debe ser adecuada, relevante y limitada a lo necesario en relación con los fines para los que se tratan los datos. Por lo tanto, la Junta recomienda agregar una referencia para considerar no solo los riesgos sino también el propósito del tratamiento.

Además, la Junta observa que el «Requisito en pocas palabras» en la sección 3.1.2.1 y la sección 3.1.2.2. son idénticos, aunque los requisitos “en detalle” tratan aspectos diferentes. En aras de la claridad, la Junta alienta a considerar esta diferenciación también en los «requisitos en pocas palabras»

Como consecuencia de las recomendaciones realizadas por el Consejo en los apartados 2.2.1 y 2.2.2 relativos a las cláusulas contractuales sobre la asistencia que debe prestar el encargado al responsable del tratamiento para facilitar el ejercicio de los derechos de los interesados, el Consejo también recomienda reflexionar y tener en cuenta tales diferencias relevantes en las cláusulas contractuales del Capítulo IV del esquema EuroPriSe. Además, la Junta recomienda modificar el mismo enfoque reflejado en los requisitos (4.1-4.8) para todos los derechos de los interesados (4.2-4.8), generalmente expresado como una obligación para el encargado de implementar ‘medidas técnicas y organizativas’ sin más especificación. de tales medidas. Dichas modificaciones deben reflejar las diferencias significativas en los derechos de los distintos interesados, ya que algunos de esos derechos siempre serán aplicables, algunos dependerán de una evaluación legal posterior de la situación (b) y algunos dependerán de una apreciación sustancial (c). Como consecuencia Las responsabilidades del responsable y del encargado en relación con (b) y (c) deberán aclararse en las cláusulas contractuales.

El requisito de la sección 4.1 no es específico en cuanto a qué información es relevante con respecto a las obligaciones de información de los responsables hacia los interesados’ que debe proporcionar el encargado. La Junta recomienda una especificación adicional que tenga en cuenta los elementos mencionados en los artículos 13 y 14 del GDPR.

En cuanto al requisito del apartado 4.8, la Sala considera que corresponde al responsable decidir los fines y medios del tratamiento, por lo que parecería estar fuera del ámbito de responsabilidad de un encargado. Por lo tanto, la Sala recomienda especificar qué tipo de apoyo debe brindar el encargado con respecto al ejercicio del derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles.

Conclusiones / Recomendaciones EDPB Dictamen 25/2022

A modo de conclusión, el EDPB considera que los criterios de certificación de EuroPriSe pueden dar lugar a una aplicación incoherente del RGPD y es necesario realizar los siguientes cambios para cumplir los requisitos impuestos por el artículo 42 del RGPD a la luz de las Directrices y los Apéndices:

con respecto al “alcance del esquema”, la Junta recomienda:

  • omitir la sección 1 de los criterios de conformidad con el Artículo 42(5) del RGPD y lo incorpora al proceso de solicitud.
  • aclarar en la introducción que los subencargados no pueden ser certificados bajo el Esquema de certificación EuroPriSe.

con respecto a los «solicitantes sujetos al Artículo 3.2 GDPR», la Junta recomienda:

  • para incluir un recordatorio en la sección 2.1.3. que siempre que tenga lugar una “transferencia” en el sentido del artículo 44 del RGPD a un encargado establecido fuera de la UE o del EEE, se deben respetar plenamente las obligaciones estipuladas en el Capítulo V del RGPD.
  • para aclarar en la sección 2.1.3. que el presente régimen no es un régimen conforme al artículo 46 (2)(f) delRGPD RGPD.
  • aclarar en el apartado 2.1.3. que el solicitante no tiene derecho a hacer uso de la certificación de una manera que pueda dar la impresión de que la certificación en sí misma es una herramienta de transferencia de conformidadcon el Artículo 46 (2) (f) del RGPD.

en cuanto a la “relación responsable-encargado”, la Junta recomienda:

  • para ajustar la redacción del requisito de la sección 2.2.1 para que quede claro que cuando existen otros instrumentos legales, el requisito de la Sección 2.2.1 no es aplicable.
  • eliminar oraciones en la sección 2.2.1 con respecto a una “falta de relevancia práctica
  • modificar el requisito 2.2.1 para que se tenga en cuenta en qué medida el responsable depende realmente del encargado para la asistencia del encargado con respecto a los derechos de los interesados
  • identificar una lista exhaustiva de documentos en la sección 2.2 (punto 8 del requisito en detalle) que debe ser verificada por el Organismo de Certificación para verificar si este criterio se cumple o no. Además, este criterio debe aclarar que esta información debe ser proporcionada al Organismo de Certificación.
  • incluir en la sección 3.2 (punto 1a del requisito en detalle) que las especificaciones sobre la duración del tratamiento deben estar de acuerdo con las disposiciones pertinentes del acuerdo de tratamiento de datos entre el responsable y el encargado.

en cuanto a las “obligaciones legales de confidencialidad, secretos profesionales y secretos oficiales especiales no basados en disposiciones legales”, la Junta recomienda:

1) incluir una explicación del término “principalmente utilizado por los responsables” en la sección 2.4.1.

con respecto a la “transferencia de datos personales a terceros países”, la Junta recomienda:

  • incluir un recordatorio en la sección 4.2 de que el sistema de certificación EuroPriSe en sí mismo no es una certificación de acuerdo con el artículo 46 (2) (f) del RGPD destinado a transferencias internacionales de datos personales y, por lo tanto, no proporciona garantías adecuadas dentro del en el marco de las transferencias de datos personales a terceros países u organizaciones internacionales en los términos a que se refiere la letra f) del artículo 46, apartado 2.
  • incluir la obligación del solicitante de la certificación de informar al responsable sobre el hecho de que el sistema de certificación EuroPrise en sí mismo no es un instrumento de transferencia de acuerdo con el Artículo 46(2)(f) del RGPD.
  • aclarar en la sección 2.4.2 que estos requisitos solo son aplicables cuando el solicitante de la certificación (como encargado) está transfiriendo datos personales a un importador de datos en un tercer país y estipular un requisito para que los solicitantes de la certificación justifiquen y documenten su elección de una herramienta de transferencia particular de conformidad con el Capítulo V del RGPD
  • incluir más especificaciones con respecto a la evaluación del cumplimiento de las obligaciones del exportador de datos estipuladas en el Capítulo En particular, con respecto a la implementación de medidas complementarias, se hará referencia en los criterios a las Recomendaciones del EDPB sobre medidas que complementan las herramientas de transferencia.
  • para incluir el requisito en la Sección 4.2 de que el solicitante de la certificación debe proporcionar información específica al organismo de certificación en qué situaciones y bajo qué condiciones confiaría en la exención del Artículo 49 del RGPD.

con respecto a la protección de datos desde el diseño y por defecto, la Junta recomienda:

para dar una indicación más precisa de cuándo se cumple el requisito de la sección 2.5.3. aplicable

  • eliminar del catálogo de criterios en la subsección 2.5.3.1 bajo el punto 2, la parte en la que se establece que el prospecto debe contener información sobre la designación de posibles bases legales en las que el responsable puede
  • eliminar de la subsección 2.5.3.2 la obligación de elaborar un modelo de formulario para una declaración de consentimiento o liberarse de la confidencialidad si el consentimiento es la única base legal para certificar el uso de las operaciones de t

en cuanto a las “medidas técnicas y organizativas”, la Junta recomienda:

  • a especificar en el apartado 1.1.1. y el apartado 3.1.5.1 que los riesgos para los derechos y se abordan las libertades de los interesados.
  • incluir en el apartado 1.1.1 y en el apartado 3.1.5.1 una referencia a la clasificación de riesgos en relación conlos diferentes tipos de riesgos en relación con los interesados afectados.

Con respecto a los derechos de los interesados, la Junta recomienda:

  • reflejar y tener en cuenta tales diferencias relevantes con respecto a la asistencia del encargado (ver recomendaciones en las secciones 2.1 y 2.2.2) en las cláusulas contractuales del Capítulo IV del esquema EuroPriSe.
  • modificar el mismo enfoque reflejado en los requisitos (4.1-4.8) para todos los derechos de los interesados (4.2-4.8), generalmente expresado como una obligación para el encargado de implementar ‘medidas técnicas y organizativas’ sin ninguna especificación adicional de tales medidas.
  • especificar aún más el requisito 1 (derecho a la información) teniendo en cuenta los elementos mencionados en los artículos 13 y 14 del RGPD.
  • para especificar aún más qué tipo de soporte debe proporcionar el encargado en el requisito 4.8.

Esta Opinión está dirigida a la Autoridad de Control Alemana (NRW) y se hará pública de conformidad con el Artículo 64(5)(b) del RGPD.

De acuerdo con el Artículo 64(7) y (8) del RGPD, la Autoridad de Control Alemana (NRW) comunicará su respuesta a esta Opinión al Presidente por medios electrónicos dentro de las dos semanas posteriores a la recepción de la Opinión, ya sea que modifique o mantenga su borrador. decisión. En el mismo plazo, presentará el proyecto de decisión modificado o, cuando no pretenda seguir el dictamen de la Junta, presentará los motivos pertinentes por los cuales no pretende seguir este dictamen, entodo o en parte.

El EDPB recuerda que, de conformidad con el artículo 43, apartado 6, del RGPD, la la Autoridad de Control Alemana (NRW) hará públicos los criterios de certificación en un formato fácilmente accesible y los transmitirá a la Junta para su inclusión en el registro público de mecanismos de certificación y sellos de protección de datos, según el artículo 42(8) del RGPD.