Saltar al contenido
RGPD

Artículo 42

Certificación

1. Los Estados miembros, las autoridades de control, el Comité y la Comisión promoverán, en particular a nivel de la Unión, la creación de mecanismos de certificación en materia de protección de datos y de sellos y marcas de protección de datos a fin de demostrar el cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de tratamiento de los responsables y los encargados. Se tendrán en cuenta las necesidades específicas de las microempresas y las pequeñas y medianas empresas.

2. Además de la adhesión de los responsables o encargados del tratamiento sujetos al presente Reglamento, podrán establecerse mecanismos de certificación, sellos o marcas de protección de datos aprobados de conformidad con el apartado 5, con objeto de demostrar la existencia de garantías adecuadas ofrecidas por los responsables o encargados no sujetos al presente Reglamento con arreglo al artículo 3 en el marco de transferencias de datos personales a terceros países u organizaciones internacionales a tenor del artículo 46, apartado 2, letra f). Dichos responsables o encargados deberán asumir compromisos vinculantes y exigibles, por vía contractual o mediante otros instrumentos jurídicamente vinculantes, para aplicar dichas garantías adecuadas, incluidas las relativas a los derechos de los interesados.

3. La certificación será voluntaria y estará disponible a través de un proceso transparente.

4. La certificación a que se refiere el presente artículo no limitará la responsabilidad del responsable o encargado del tratamiento en cuanto al cumplimiento del presente Reglamento y se entenderá sin perjuicio de las funciones y los poderes de las autoridades de control que sean competentes en virtud del artículo 55 o 56.

5. La certificación en virtud del presente artículo será expedida por los organismos de certificación a que se refiere el artículo 43 o por la autoridad de control competente, sobre la base de los criterios aprobados por dicha autoridad de conformidad con el artículo 58, apartado 3, o por el Comité de conformidad con el artículo 63. Cuando los criterios sean aprobados por el Comité, esto podrá dar lugar a una certificación común: el Sello Europeo de Protección de Datos.

6. Los responsables o encargados que sometan su tratamiento al mecanismo de certificación dará al organismo de certificación mencionado en el artículo 43, o en su caso a la autoridad de control competente, toda la información y acceso a sus actividades de tratamiento que necesite para llevar a cabo el procedimiento de certificación.

7. La certificación se expedirá a un responsable del tratamiento por un período máximo de tres años y podrá renovarse, en las mismas condiciones, siempre que se sigan cumpliendo los requisitos pertinentes.
La certificación será retirada, según proceda, por los organismos de certificación a que se refiere el artículo 43 o por la autoridad de control competente cuando no se cumplan o hayan dejado de cumplirse los requisitos para la certificación.

8. El Comité archivará en un registro todos los mecanismos de certificación y sellos y marcas de protección de datos y los pondrá a disposición pública por cualquier medio apropiado.

Preguntas habituales

Preguntas frecuentes

¿Es obligatoria la certificación prevista en el RGPD?

No. La certificación es voluntaria y está disponible a través de un proceso transparente. Su finalidad es demostrar el cumplimiento del Reglamento en las operaciones de tratamiento de los responsables y los encargados, y deben tenerse en cuenta las necesidades específicas de las microempresas y las pequeñas y medianas empresas.

Participar sí implica una obligación: el responsable o encargado que somete su tratamiento al mecanismo de certificación debe dar al organismo de certificación, o en su caso a la autoridad de control competente, toda la información y el acceso a sus actividades de tratamiento que necesite para llevar a cabo el procedimiento de certificación.

¿Quién expide la certificación en materia de protección de datos y quién aprueba los criterios?

La certificación es expedida por los organismos de certificación a que se refiere el artículo 43 o por la autoridad de control competente. Los criterios los aprueba dicha autoridad de control de conformidad con el artículo 58, apartado 3, o el Comité de conformidad con el artículo 63; cuando los aprueba el Comité, esto puede dar lugar a una certificación común, el Sello Europeo de Protección de Datos.

El Comité además archiva en un registro todos los mecanismos de certificación y los sellos y marcas de protección de datos, y los pone a disposición pública.

¿Cuánto tiempo es válida la certificación y puede retirarse?

La certificación se expide por un período máximo de tres años y puede renovarse, en las mismas condiciones, siempre que se sigan cumpliendo los requisitos pertinentes.

Será retirada, según proceda, por los organismos de certificación a que se refiere el artículo 43 o por la autoridad de control competente cuando no se cumplan o hayan dejado de cumplirse los requisitos para la certificación.

¿Obtener la certificación limita nuestra responsabilidad en el cumplimiento del RGPD?

No. La certificación no limita la responsabilidad del responsable o encargado del tratamiento en cuanto al cumplimiento del Reglamento.

Además, se entiende sin perjuicio de las funciones y los poderes de las autoridades de control competentes en virtud del artículo 55 o 56, de modo que una organización certificada sigue plenamente sujeta a su supervisión.