DATA SECURITY
 

Garantías de cumplimiento en el GDPR

 


20/09/2016 | FS Consultores SL | NEWS - GDPR
 

Garantías para acreditar el cumplimiento del Reglamento

 
El GDPR dispone de varias opciones para que el Responsable o el Encargado del tratamiento puedan demostrar la existencia de garantías adecuadas de protección de datos y acreditar el cumplimiento de las obligaciones establecidas en el Reglamento (artículos 24.3 y 28.5), inclusive la protección de datos desde el diseño y por defecto (artículo 25.3) y la seguridad del tratamiento (artículo 32.3).
 
Con la expedición de dichas acreditaciones se pretende incrementar la confianza y la transparencia de las actuaciones llevadas a cabo por los Responsables o Encargados del tratamiento, siendo de vital importancia para suponerles unas buenas prácticas en relación con la protección efectiva de los datos personales que tratan.
 
Las empresas podrán adherirse a los siguientes procedimientos para acreditar el cumplimiento del Reglamento:
   


Mecanismos de certificación (artículo 42)


Los Responsables o Encargados del tratamientos podrán garantizar el cumplimiento del Reglamento mediante mecanismos de certificación, sellos y marcas de protección de datos expedidos por las Autoridades de control o el Comité Europeo de Protección de Datos, según sea su ámbito territorial.
 
La certificación será voluntaria y no limitará la responsabilidad del Responsable o Encargado del tratamiento en cuanto al cumplimiento del Reglamento.
 
La certificación será expedida por organismos certificadores acreditados por las Autoridades competentes en protección de datos por un período máximo de 3 años y podrá ser renovada si se siguen cumpliendo los requisitos de certificación, o podrá ser retirada si no da lugar a ello.
 
Organismos de certificación

Los organismos de certificación deberán ser acreditados por la Autoridad  de control competente o por el Comité por un periodo máximo de 5 años y podrán ser renovados si se siguen cumpliendo los criterios establecidos por la Autoridad expendedora.

El Comité pondrá a disposición pública un registro de  todos los mecanismos de certificación y sellos de protección de datos acreditados.
 

 

Códigos de conducta (artículo 40)


Las asociaciones u organismos que representen a categorías de Responsables o Encargados del tratamiento podrán elaborar códigos de conducta con el objeto de especificar la aplicación del Reglamento, debiendo presentarlos para su aprobación a la Autoridad de control o a la Comisión de la UE, según sea su ámbito territorial.
 
Los códigos de conducta tendrán en cuenta:
   
En transferencias internacionales a terceros países u organizaciones internacionales, los Responsables o Encargados del tratamiento adheridos a códigos de conducta deberán ofrecer garantías adecuadas de protección de datos, asumiendo compromisos vinculantes y de obligado cumplimiento mediante instrumentos jurídicamente vinculantes.

Al evaluar las repercusiones de las operaciones de tratamiento en la elaboración de una evaluación de impacto se tendrá en cuenta el cumplimiento del código de conducta a que esté adherido el Responsable o Encargado del tratamiento afectado (artículo 35, apartado 8).
 
Las Autoridades de control u otros organismos acreditados por estas, podrán supervisar el cumplimiento de los códigos de conducta, excepto en tratamientos realizados por Autoridades y Organismos públicos.
 
 

Normas corporativas vinculantes (artículo 47)


Las normas corporativas vinculantes se definen en el artículo 4, apartado 20 del GDPR como políticas de protección de datos asumidas por un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta, en adelante GRUPO, con el fin de ofrecer garantías adecuadas para las transferencias internacionales de datos.

Un grupo empresarial se define en el artículo 4, apartado 19 como un grupo que comprende una empresa que ejerce el control y sus empresas controladas.
 
Un GRUPO podrá solicitar a la Autoridad de control la aprobación de normas corporativas vinculantes cuando:
 
Las normas corporativas vinculantes especificarán, como mínimo:
 
Josep Aragonés Salvat


Esta web utiliza la cookie _ga propiedad de Google Analytics, persistente durante 2 años, para habilitar la función de control de visitas únicas con el fin de facilitarle su navegación por el sitio web.
Si continúa navegando consideramos que está de acuerdo con su uso. Podrá revocar el consentimiento y obtener más información consultando nuestra Política de cookies

Acepto