1. Os Estados-Membros, as autoridades de controlo, o Comité e a Comissão incentivam, em especial a nível da União, a criação de mecanismos de certificação da proteção de dados e de selos e marcas de proteção de dados, a fim de demonstrar a conformidade das operações de tratamento dos responsáveis pelo tratamento e dos subcontratantes com o presente regulamento.
Devem ser tidas em conta as necessidades específicas das micro, pequenas e médias empresas.

2. Para além da adesão dos responsáveis pelo tratamento ou dos subcontratantes sujeitos ao presente regulamento, podem ser estabelecidos mecanismos de certificação da proteção de dados, selos ou marcas aprovados nos termos do n.º 5 do presente artigo, a fim de demonstrar a existência de garantias adequadas fornecidas por responsáveis pelo tratamento ou subcontratantes que não estejam sujeitos ao presente regulamento nos termos do artigo 3.
Esses responsáveis pelo tratamento ou subcontratantes assumem compromissos vinculativos e executórios, através de instrumentos contratuais ou outros instrumentos juridicamente vinculativos, no sentido de aplicar essas garantias adequadas, nomeadamente no que diz respeito aos direitos das pessoas em causa.

3. A certificação é voluntária e está disponível através de um processo transparente.

4. A certificação prevista no presente artigo não diminui a responsabilidade dos responsáveis pelo tratamento e subcontratantes pelo cumprimento do presente regulamento nem prejudica as funções e competências das autoridades de controlo competentes por força do artigo 55.° ou 56.°.

5. A certificação nos termos do presente artigo é emitida pelos organismos de certificação referidos no artigo 43.º ou pela autoridade de controlo competente, com base em critérios aprovados por essa autoridade de controlo competente nos termos do n.º 3 do artigo 58.
Sempre que os critérios sejam aprovados pelo Comité, tal pode dar origem a uma certificação comum, o selo europeu de proteção de dados.

6. Os responsáveis pelo tratamento ou subcontratantes que submetem o seu tratamento ao procedimento de certificação fornecem ao organismo de certificação a que se refere o artigo 43.°, ou, consoante o caso, à autoridade de controlo competente, todo o acesso às suas atividades de tratamento e toda a informação de que haja necessidade para efetuar o procedimento de certificação.

7. A certificação é emitida a um responsável pelo tratamento ou subcontratante por um período máximo de três anos e pode ser renovada, nas mesmas condições, desde que os requisitos pertinentes continuem a ser cumpridos.
A certificação será retirada, consoante o caso, pelos organismos de certificação referidos no artigo 43º ou pela autoridade de controlo competente, sempre que os requisitos para a certificação não estejam ou tenham deixado de estar preenchidos.

8. O Comité recolhe todos os procedimentos de certificação e todos os selos e marcas de proteção de dados aprovados num registo e disponibiliza-os ao público por todos os meios adequados.