La Autoridad de Control de Luxemburgo «CNPD» adoptó los criterios de certificación RGPD-CARPA el 13 de mayo de 2022. RGPD-CARPA es el primer sistema de certificación bajo el RGPD (Reglamento General de Protección de Datos) a nivel nacional e internacional.

Certificación en la protección de datos personales bajo el RGPD 2016/679

Las empresas, administraciones, asociaciones y otros organismos establecidos en Luxemburgo tienen ahora la oportunidad de demostrar que sus operaciones de tratamiento de datos personales cumplen con el RGPD. Por lo tanto, RGPD-CARPA ofrece a los Responsables y a los Encargados del Tratamiento un alto nivel de cumplimiento del RGPD para sus operaciones de tratamiento certificadas.

El establecimiento de mecanismos de certificación puede promover la transparencia y el cumplimiento del RGPD y permitir a los interesados evaluar mejor el nivel de protección de datos que ofrecen los productos, servicios, procesos o sistemas de las organizaciones que procesan sus datos personales. Una certificación RGPD no certifica una organización, sino las operaciones de tratamiento que son objeto de certificación.

RGPD-CARPA: el primer sistema de certificación bajo el RGPD

La CNPD es hasta la fecha la única autoridad europea de supervisión que ha desarrollado un sistema de certificación en virtud del RGPD. Como entidad que desarrolló los criterios de certificación, el CNPD también es propietario del sistema de certificación.

Los numerosos intercambios del CNPD con las partes interesadas de la auditoría desde que el RGPD entró en vigor en 2018 han ayudado a determinar el interés y el tipo de certificación en virtud del RGPD que podría ser útil para el ecosistema luxemburgués. En consulta con estos actores, ha desarrollado una primera versión de su sistema de certificación. A continuación, los criterios de certificación fueron examinados por sus homólogos europeos en el marco del mecanismo europeo de coherencia y fueron objeto de un dictamen emitido por el Comité Europeo de Protección de Datos (SEPD).

A nivel europeo, el CNPD ha desempeñado un papel de liderazgo en el avance del trabajo del SEPD en el campo de la certificación, en particular como ponente de orientación o para permitir que el SEPD emita estos dictámenes formales sobre este nuevo tema.

Característica única de la certificación RGPD-CARPA

En Luxemburgo, la CNPD también tiene el papel de acreditar a los organismos de certificación del RGPD. Los criterios de acreditación de los organismos de certificación, vinculados a la certificación RGPD-CARPA, desarrollados por la CNPD, se basan en ISAE 3000 (auditoría), ISCQ1 (control de calidad de los organismos de auditoría) e ISO 17065 (acreditación de organismos de certificación). Estos criterios de aprobación rigen el trabajo realizado por el organismo de certificación y el profesional de auditoría.

La singularidad del sistema de certificación CNPD es que se basa en un informe ISAE 3000 Tipo 2 que permite expresar una opinión sobre la correcta implementación del sistema de control a lo largo del tiempo, al tiempo que asume la responsabilidad formal del auditor. Esto garantiza un alto nivel de requisitos, un factor decisivo para que los actores y especialmente las personas afectadas se sientan seguras en el tratamiento de sus datos personales cubiertos por la certificación.

EL SISTEMA DE CERTIFICACIÓN «RGPD CARPA»

Los numerosos intercambios entre la CNPD y las empresas durante la fase de preparación del RGPD han demostrado que tienen un interés particular en la certificación del RGPD.

Convencida del valor añadido que puede ofrecer la certificación, la CNPD ha adoptado un enfoque particularmente proactivo al desarrollar un marco de certificación basado en el marco de evaluación de la conformidad internacional de la Norma Internacional sobre Compromisos de Garantía (ISAE).

Por lo tanto, el CNPD propuso el esquema llamado «RGPD-CARPA«, que se sometió a una primera consulta pública en junio de 2018 y luego, después de incluir los retornos recibidos a nivel nacional y europeo, trabajó en una segunda consulta en mayo de 2021.

El CNPD ha orientado su trabajo de acuerdo con dos pilares:

• El primer pilar se refiere a los criterios de certificación que debe cumplir una organización que quiere que parte de su tratamiento de datos sea certificado.
• El segundo pilar se refiere a los criterios de acreditación que debe cumplir una organización que desee actuar como organismo de certificación.

En este contexto, contribuyó como ponente principal del Comité Europeo de Protección de Datos para

• el establecimiento de procedimientos para la adopción de los criterios de acreditación de los organismos de certificación,
• la adopción de criterios de certificación y
• la adopción de una etiqueta europea para la certificación.

La CNPD es también la primera autoridad de protección de datos en presentar sus criterios de aprobación a la EDPB para que emita un dictamen a finales de 2020. También es la primera autoridad de protección de datos en presentar criterios de certificación (RGPD-CARPA) a la EDPB para que emita su opinión a finales de 2021.

Los criterios de certificación RGPD-CARPA fueron adoptados por el CNPD el 13 de mayo de 2022.

RGPD-CARPA: el primer y único sistema de certificación bajo el RGPD

La CNPD es hasta la fecha la única autoridad europea de supervisión que ha desarrollado un sistema de certificación en virtud del RGPD. Como entidad que desarrolló los criterios de certificación, el CNPD también es propietario del sistema de certificación.

Los numerosos intercambios del CNPD con las partes interesadas de la auditoría desde que el RGPD entró en vigor en 2018 han ayudado a determinar el interés y el tipo de certificación en virtud del RGPD que podría ser útil para el ecosistema luxemburgués. En consulta con estos actores, ha desarrollado una primera versión de su sistema de certificación. A continuación, los criterios de certificación fueron examinados por sus homólogos europeos en el marco del mecanismo europeo de coherencia y fueron objeto de un dictamen emitido por el Comité Europeo de Protección de Datos (SEPD).

A nivel europeo, el CNPD ha desempeñado un papel de liderazgo en el avance del trabajo del SEPD en el campo de la certificación, en particular como ponente de orientación o para permitir que el SEPD emita estos dictámenes formales sobre este nuevo tema.

Característica única de la certificación RGPD-CARPA

En Luxemburgo, la CNPD también tiene el papel de acreditar a los organismos de certificación del RGPD. Los criterios de acreditación de los organismos de certificación, vinculados a la certificación RGPD-CARPA, desarrollados por la CNPD, se basan en ISAE 3000 (auditoría), ISCQ1 (control de calidad de los organismos de auditoría) e ISO 17065 (acreditación de organismos de certificación). Estos criterios de aprobación rigen el trabajo realizado por el organismo de certificación y el profesional de auditoría.

La naturaleza innovadora y única de este sistema de certificación CNPD es que se basa en un informe ISAE 3000 Tipo 2 que permite expresar una opinión sobre la correcta implementación del sistema de control a lo largo del tiempo, al tiempo que asume la responsabilidad formal del auditor. Esto garantiza un alto nivel de requisitos, un factor decisivo para que los actores y especialmente las personas afectadas se sientan seguras en el tratamiento de sus datos personales cubiertos por la certificación.

Alcance de la certificación RGPD-CARPA

La certificación RGPD-CARPA está diseñada para proporcionar a los Responsables y Encargados un alto nivel de cumplimiento del RGPD y la garantía de que aplican medidas técnicas y organizativas para cumplir con sus obligaciones del RGPD para sus operaciones de tratamiento certificadas. Es un elemento que permite a los Responsables y Encargados demostrar el cumplimiento de estas operaciones de tratamiento certificadas con el RGPD.

El objetivo del RGPD-CARPA es apoyar a los Responsables y Encargados en su obligación de implementar las medidas técnicas y organizativas adecuadas para garantizar y poder demostrar que el tratamiento dentro de su alcance se lleva a cabo de acuerdo con su obligación de responsabilidad en virtud del RGPD.

 

Criterios no sectoriales

Los criterios de certificación RGPD-CARPA están diseñados para ser lo suficientemente flexibles como para ser relevantes para una amplia gama de operaciones de tratamiento en varios sectores. Cada entidad puede definir y aplicar las medidas que mejor se adapten a su situación y sector específicos para cumplir con los criterios.

 

Limitación del alcance del sistema de certificación

• Aunque los elementos de seguridad de la información se han integrado en el sistema, no son el centro de este mecanismo de certificación. RGPD-CARPA no certifica la seguridad del tratamiento dentro de su alcance, sino que se centra en la responsabilidad de los Responsables y Encargados que deben implementar un sistema de gobernanza que les permita definir e implementar medidas de gestión de la seguridad de la información para la actividad de tratamiento dentro de su alcance. Para tener garantías sobre las medidas de seguridad de la información implementadas, se deben considerar otras certificaciones y marcos de seguridad de la información adecuados.
• Solo los Responsables y Encargados establecidos en Luxemburgo, bajo la supervisión de la CNPD, pueden solicitar la certificación RGPD-CARPA.

 

Exclusión del ámbito de certificación

RGPD-CARPA no es adecuado:

• certificar el tratamiento de datos personales dirigidos específicamente a menores de 16 años;
• para las certificaciones de las actividades de tratamiento como parte de un control conjunto;
• para las actividades de tratamiento en virtud del artículo 10 del RGPD;
• para las entidades que no han designado un RPD (artículo 37 del RGPD). Cabe señalar que las entidades son libres de designar un RPD, incluso si no están legalmente obligadas a hacerlo.

¿Cuáles son los principales pasos para obtener la certificación RGPD-CARPA?

Criterios de certificación: normas generales que deben seguir las organizaciones que solicitan la certificación RGPD-CARPA

Los criterios de certificación RGPD-CARPA contienen las reglas que deben seguir las entidades que soliciten la certificación CARPA. Estas entidades deben asegurarse de que sus medidas internas se diseñen, implementen y operen de tal manera que les permitan cumplir con los requisitos establecidos en estos criterios de certificación. Durante su auditoría de certificación, los organismos de certificación verificarán si el diseño, la implementación y el funcionamiento de estas medidas cumplen con los requisitos definidos por los criterios de certificación.

El organismo de certificación estructura sus tareas de evaluación de la siguiente manera:

• Diseño e implementación: El auditor revisará el diseño/descripción documentado de una medida (por ejemplo, en forma de procedimiento) y verificará si funcionará en teoría como lo requieren los criterios de certificación: El auditor intentará determinar si está diseñada para cumplir con los criterios de certificación.
• Eficacia operativa: después de revisar el diseño y la implementación de una medida, el auditor probará la eficacia operativa de esta medida verificando si el control o la medición están funcionando en la práctica según corresponda y según lo documentado, a través de la observación, la evaluación, el muestreo, las entrevistas, la interacción, por ejemplo, con una interfaz, etc.

Si un criterio no es aplicable a un contexto específico dentro de la entidad, el organismo de certificación lo documentará indicando las razones por las que no es aplicable.

Además, las directrices oficiales publicadas por la EDPB pueden servir de apoyo para comprender mejor los requisitos del RGPD y proporcionar orientación sobre la implementación de estos requisitos del RGPD. Estas directrices pueden, por ejemplo, apoyar el diseño y la implementación práctica de medidas organizativas y técnicas, pero debe tenerse en cuenta que, como parte de la certificación RGPD-CARPA, las entidades deben cumplir estrictamente con los criterios de certificación para obtener la certificación.

Organización de los criterios de certificación RGPD-CARPA

Los criterios se organizan en 3 secciones:

Sección I:

• Se aplica a las entidades que actúan como Responsables y Encargados
• Contiene criterios relativos a la gobernanza de la protección de datos

Sección II:

• Se aplica a las entidades que actúan como Responsables
• Abarcar los principios de protección de datos, los derechos de los interesados y los criterios de gobernanza relacionados con la seguridad del tratamiento

Sección III:

• Se aplica a las entidades que actúan como subcontratistas
• Contiene principalmente criterios para las obligaciones contractuales (con el Responsable), el tratamiento de la gobernanza de la seguridad, la subcontratación

¿Durante cuánto tiempo es válido un certificado RGPD-CARPA?

El período de validez de un certificado es de 3 años, sujeto a una auditoría anual completa exitosa.

 

¿Qué organismos de certificación pueden emitir una certificación RGPD-CARPA?

La certificación RGPD-CARPA solo puede ser otorgada por organismos de certificación aprobados por la CNPD. La lista de organismos de certificación acreditados se publicará en el sitio web de la CNPD.

 

Responsabilidad de una organización que ha obtenido un certificado RGPD-CARPA

Los criterios de certificación RGPD-CARPA y el informe de seguro ISAE 3000 han sido diseñados para apoyar un sistema de certificación como se describe en el artículo 42 del RGPD. En virtud del RGPD, se establece que las entidades (procesadores y procesadores) pueden confiar en la certificación para demostrar su cumplimiento de ciertos elementos del RGPD. Sin embargo, también se afirma que la certificación en virtud de este artículo (42) no reduce la responsabilidad del responsable o encargado del tratamiento por el cumplimiento del RGPD y se entiende sin perjuicio de las tareas y poderes de las autoridades de supervisión competentes en virtud de los artículos 55 o 56.

Fuente: Autoridad de Control de Luxemburgo.