Innovación Legal
07 abril 2014
El “Sello Europeo de Protección de Datos”
El pasado 12 de marzo el pleno del Parlamento Europeo aprobó en primera lectura, en el contexto del procedimiento ordinario legislativo por el que se está tramitando, la propuesta de «Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos», también conocido por el sobrenombre de “Reglamento general de protección de datos”.
El texto de la Comisión Europea, con las enmiendas propuestas por la resolución del Parlamento Europeo, se puede consultar en el siguiente enlace http://www.europarl.europa.eu/sides/getDoc.do?type=TA&reference=P7-TA-2014-0212&language=ES&ring=A7-2013-0402, esa aprobación es la posición del Parlamento respecto del texto presentado por la Comisión; una posición que ahora debe de ser valorada tanto por la propia Comisión, como por el Consejo.
En el texto de la Comisión, aprobado a principios del 2012, disponible en el siguiente enlace http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:ES:PDF, en su art. 39 regula las “certificaciones”, en el sentido de que los Estados miembros y la propia Comisión deben promover “la creación de mecanismos de certificación en materia de protección de datos y de sellos y marcados de protección de datos que permitan a los interesados evaluar rápidamente el nivel de protección de datos que ofrecen los responsables y los encargados del tratamiento”.
Pues bien, la posición del Parlamento Europeo ha aportado un mayor detalle regulatorio sobre la conveniencia de disponer de ese tipo de certificaciones, añadiendo elementos de concreción que proporcionan una idea más clara de cómo podrían llegar a ser esos mecanismos de certificación.
Estamos ante un planteamiento que no es novedoso, ya que el modelo de certificaciones se aplica a otros ámbitos, especialmente en cuanto a los sistemas de gestión, aquí la novedad es que una norma que regula el derecho a la protección de los datos de carácter personal lo recoja y lo pretenda incorporar en relación al cumplimiento en la gestión de la información de carácter personal.
El punto de partida conceptual es que el “Sello Europeo de Protección de Datos” tiene un objetivo principal: “crear confianza entre los interesados”, por tanto podemos considerarlo un argumento de valor competitivo, en el contexto del mercado único digital europeo, que no solo interesa a las empresas Europeas, también a las de fuera de Europa, en tanto dirijan su oferta de servicios y productos a los europeos.
En ese sentido, la certificación para la obtención del “sello” es voluntaria, ahora bien, si la conectamos con el régimen sancionador que se prevé veremos que, con independencia de ese valor competitivo, su obtención puede suponer algunas ventajas adicionales, ya que si se dispone del mencionado “sello” la sanción económica por incumplimiento de las obligaciones previstas en el Reglamento (aquí conviene recordar que el Parlamento propone que sean de hasta 100.000.000 de euros o el 5 % de su volumen de negocios anual a escala mundial) solo podrá ser impuesta en los “casos de incumplimiento intencionado o negligente”, por tanto el “sello” puede hasta cierto punto considerarse una cierta “póliza de seguro”, salvando las evidentes distancias.
El “sello” podrá ser obtenido tanto por responsables como por encargados de tratamiento, para ello podrán solicitar a “cualquier autoridad de control de la Unión”, que les certifique que el tratamiento de datos personales que llevan a cabo se realiza de conformidad con lo previsto en el Reglamento, lo que se traduce en que se da libertad a los solicitantes para obtener la certificación de cualquier autoridad de protección de datos Europea, con independencia de las reglas competenciales que puedan ser de aplicación.
Se intuye que ese modelo puede crear ciertas disfunciones o competitividad entre autoridades de protección de datos, en todo caso se ha previsto que las autoridades de control y el “Consejo Europeo de Protección de Datos” cooperen para garantizar mecanismos de certificación armonizados, es decir, sin diferencias sustanciales entre unas y otras autoridades.
Aquí hay un elemento económico a tener en cuenta, ya que se prevé que el proceso de certificación implique el pago de una tasa, que deberá tener en cuenta para su fijación los costes administrativos, una tasa que también deberá estar armonizada entre los diferentes estados miembros. En cualquier caso se utiliza la expresión de “tasa razonable” para referirse a ese coste de certificación.
El objeto de la certificación no es otro que la verificación de que los tratamientos se llevan a cabo según lo previsto en el Reglamento, aunque en particular se hace referencia al cumplimiento de las obligaciones previstas para responsables y encargados de tratamiento, así como a la atención a los derechos de los interesados, junto con el cumplimiento de los principios generales relativos al tratamiento de datos personales, y cuestiones relacionadas con la protección de datos desde el diseño y por defecto, y por descontado hay una especial mención a la seguridad de los tratamientos.
Esa regulación sobre el “sello” también alude al propio proceso de certificación, que deberá ser transparente, por tanto deberán ser conocidos los protocolos que vayan a aplicarse, y además no deberá resultar excesivamente gravoso, y aquí se introduce una cuestión que puede constituir una oportunidad de negocio, ya que se prevé la posibilidad de que la autoridad de control acredite a auditores de terceros para que auditen al responsable o al encargado en su nombre, por tanto por un lado ya establece que el mecanismo de verificación estará basado en procesos de auditoria, con todo lo que implica de independencia y de ausencia de conflicto de intereses, y por otro, que está no tiene que ser llevada a cabo necesariamente por el personal de la autoridad de control.
Por tanto, se podrán acreditar a profesionales (no a las empresas que puedan dedicarse a esas actividades), para que lleven a cabo las tareas relacionadas con el proceso de certificación, obviamente las condiciones de acceso y revocación de esa acreditación serán establecidas por cada autoridad de control, ya que estos actuaran en nombre de la autoridad de control a la que se solicite el certificado, todo y que la Comisión se reserva la facultad de establecer unos criterios comunes de cara a esa acreditación de auditores.
Se abre aquí la incógnita de si cuando se habla de tasas del proceso de certificación incluirán también la actividad de esos auditores, o si será un coste adicional que deberá asumir el solicitante de la certificación, o si, por ejemplo existirán unas tarifas establecidas por la autoridad de control.
En todo caso, la certificación final será expedida por la autoridad de control a la que se solicite, y dará derecho a obtener de esta el “Sello Europeo de Protección de Datos”.
La validez máxima del certificado será de 5 años, todo y que obviamente solo será válido en tanto en cuanto el tratamiento de los datos personales siga realizándose según lo previsto en el Reglamento, por tanto se podrá dar el caso de que la declaración de una infracción lleve aparejada, a parte de la sanción correspondiente, la revocación de la certificación, y por tanto del “sello”.
A los efectos de publicidad del “sello”, a parte de la que pueda hacer el propio responsable o encargado del tratamiento entre su “clientela” y audiencia interesada, el “Consejo Europeo de Protección de Datos” creará un registro público a tal efecto, que permitirá conocer tanto los certificados válidos, como aquellos que hayan sido inválidos, en este caso referentes a cada Estado miembro.
En el ámbito de la certificación de otras cuestiones el “Consejo Europeo de Protección de Datos” se reserva la posibilidad de certificar que ciertas normas técnicas de mejora de la protección de datos cumplen con el Reglamento.
El “Sello Europeo de Protección de Datos” también podrá tener otras utilidades, como por ejemplo las vinculadas a las transferencias internacionales, donde se podrá llegar a considerar como garantía adecuada el hecho de que tanto responsable como destinatario dispongan de ese “sello”, y por tanto podrían no ser necesarias autorizaciones específicas para la transferencia internacional de esos datos.
En definitiva unas novedades que hay que valorar de entrada positivas, ya que pueden crear un clima de mayores garantías de cumplimiento, todo y que por descontado habrá que estar atentos, primero a que realmente se incorporen al Reglamento de manera definitiva, y en ese caso, habrá que prestar atención a la manera en que vayan a ser implementadas, por tanto aún queda un largo camino por recorrer, pero no estaría de más ir preparándose.
Ramón Miralles. Coordinador de Auditoría y Seguridad de la Información de la Autoridad Catalana de Protección de datos.