Las medidas de seguridad en el Reglamento general de protección de datos (II)

Ver GDPR (I)

Códigos de conducta y mecanismos de certificación.

La primera de ellas consiste en considerar la aplicación de mecanismos alternativos a la seguridad “regulada” como los códigos de conducta o los mecanismos de certificación regulados en los artículos 42 y ss.

Los Códigos de conducta constituyen una herramienta de naturaleza transversal similar a los actuales Códigos Tipo. Se han diseñado desde un planteamiento de impulso promocional por parte de los Estados miembros, las autoridades de control, el Comité y la Comisión.

  (98)         Se debe incitar a las asociaciones u otros organismos que representen a categorías de responsables o encargados a que elaboren códigos de conducta, dentro de los límites fijados por el presente Reglamento, con el fin de facilitar su aplicación efectiva, teniendo en cuenta las características específicas del tratamiento llevado a cabo en determinados sectores y las necesidades específicas de las microempresas y las pequeñas y medianas empresas. Dichos códigos de conducta podrían en particular establecer las obligaciones de los responsables y encargados, teniendo en cuenta el riesgo probable para los derechos y libertades de las personas físicas que se derive del tratamiento.

Se basan en un método colaborativo y su elaboración se atribuye a entidades representativas, esto es asociaciones y otros organismos que representan a categorías de responsables o encargados, y deben implicar a todas las partes incluidos los interesados cuando sea posible, «y tener en cuenta las consideraciones transmitidas y las opiniones manifestadas en respuesta a dichas consultas». Por otra parte, el GDPR ordena un enfoque flexible y adaptado a las circunstancias sectoriales al señalar que se impulsen «teniendo en cuenta las características específicas de los distintos sectores de tratamiento y las necesidades específicas de las microempresas y las pequeñas y medianas empresas». Entre otros contenidos podrán referirse a la seudonimización de datos personales, las medidas para garantizar la seguridad del tratamiento y la notificación de violaciones de la seguridad de los datos personales a las autoridades de control y la comunicación de dichas violaciones a los interesados.

Al igual que en el caso de los Códigos Tipo deberán preverse mecanismos de control y se contempla un Registro gestionado por el Comité. Los Códigos pueden ser nacionales, afectar a varios países y la Comisión podrá, mediante actos de ejecución, decidir que un código de conducta tenga validez general dentro de la Unión

También se establece que los Estados miembros, las autoridades de control, el Comité y la Comisión promoverán, en particular a nivel de la Unión, la creación de mecanismos de certificación en materia de protección de datos y de sellos y marcas de protección de datos cuya finalidad es permitir a los interesados evaluar con mayor rapidez el nivel de protección de datos de los productos y servicios correspondientes. Aquí la Comisión podrá adoptar actos delegados en relación con los criterios y requisitos para los mecanismos de certificación.

La otra alternativa es adoptar una certificación. Este método, lógicamente es voluntario, posee una vigencia de tres años y se expide por un organismo habilitado para ello.

Artículo 42

Certificación

  1. Los Estados miembros, las autoridades de control, el Comité y la Comisión promoverán, en particular a nivel de la Unión, la creación de mecanismos de certificación en materia de protección de datos y de sellos y marcas de protección de datos a fin de demostrar el cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de tratamiento de los responsables y los encargados. Se tendrán en cuenta las necesidades específicas de las microempresas y las pequeñas y medianas empresas.
  2. Además de la adhesión de los responsables o encargados del tratamiento sujetos al presente Reglamento, podrán establecerse mecanismos de certificación, sellos o marcas de protección de datos aprobados de conformidad con el apartado 5, con objeto de demostrar la existencia de garantías adecuadas ofrecidas por los responsables o encargados no sujetos al presente Reglamento con arreglo al artículo 3 en el marco de transferencias de datos personales a terceros países u organizaciones internacionales a tenor del artículo 46, apartado 2, letra f). Dichos responsables o encargados deberán asumir compromisos vinculantes y exigibles, por vía contractual o mediante otros instrumentos jurídicamente vinculantes, para aplicar dichas garantías adecuadas, incluidas las relativas a los derechos de los interesados.
  3. La certificación será voluntaria y estará disponible a través de un proceso transparente.
  4. La certificación a que se refiere el presente artículo no limitará la responsabilidad del responsable o encargado del tratamiento en cuanto al cumplimiento del presente Reglamento y se entenderá sin perjuicio de las funciones y los poderes de las autoridades de control que sean competentes en virtud del artículo 55 o 56.
  5. La certificación en virtud del presente artículo será expedida por los organismos de certificación a que se refiere el artículo 43 o por la autoridad de control competente, sobre la base de los criterios aprobados por dicha autoridad de conformidad con el artículo 58, apartado 3, o por el Comité de conformidad con el artículo 63. Cuando los criterios sean aprobados por el Comité, esto podrá dar lugar a una certificación común: el Sello Europeo de Protección de Datos.
  6. Los responsables o encargados que sometan su tratamiento al mecanismo de certificación dará al organismo de certificación mencionado en el artículo 43, o en su caso a la autoridad de control competente, toda la información y acceso a sus actividades de tratamiento que necesite para llevar a cabo el procedimiento de certificación.
  7. La certificación se expedirá a un responsable o encargado de tratamiento por un período máximo de tres años y podrá ser renovada en las mismas condiciones, siempre y cuando se sigan cumpliendo los requisitos pertinentes. La certificación será retirada, cuando proceda, por los organismos de certificación a que se refiere el artículo 43, o en su caso por la autoridad de control competente, cuando no se cumplan o se hayan dejado de cumplir los requisitos para la certificación.
  8. El Comité archivará en un registro todos los mecanismos de certificación y sellos y marcas de protección de datos y los pondrá a disposición pública por cualquier medio apropiado.

La peculiaridad del sistema es que junto al sector privado se atribuye una función de acreditación a las autoridades de control. En primer lugar, conforme al artículo 57 les corresponde una función de impulso consistente en «fomentar la creación de mecanismos de certificación de la protección de datos y de sellos y marcas de protección de datos». Junto a ella asumen competencias en la definición de las propias certificaciones por cuanto tienen la facultad de aprobar los criterios de certificación de conformidad con el artículo 42, apartado 5 del GDPR. Además les compete una función de control ya que deben «llevar a cabo, si procede, una revisión periódica de las certificaciones expedidas». Y este control, no es meramente formal ya que el artículo 58 les atribuye la facultad de «retirar una certificación u ordenar al organismo de certificación que retire una certificación emitida con arreglo a los artículos 42 y 43, u ordenar al organismo de certificación que no se emita una certificación si no se cumplen o dejan de cumplirse los requisitos para la certificación».

En tal sentido, se disciplina el sector introduciendo factores de control en sentido muy fuerte lo que probablemente servirá para evitar el intrusismo y escaso rigor de algunos modelos de certificación. En tal sentido la regulación por el artículo 43 de los llamados organismos de certificación permitirá identificar sujetos reconocibles y confiables que «tengan un nivel adecuado de pericia en materia de protección de datos» y que «expedirán y renovarán las certificaciones una vez informada la autoridad de control». Estos organismos deben ser acreditados por

  1. a) la autoridad de control que sea competente en virtud del artículo 55 o 56;
  2. b) el organismo nacional de acreditación designado de conformidad con el Reglamento (CE) n.o 765/2008 del Parlamento Europeo y del Consejo (20) con arreglo a la norma EN ISO/IEC 17065/2012 y a los requisitos adicionales establecidos por la autoridad de control que sea competente en virtud del artículo 55 o 56.

También es posible obtener ambas acreditaciones.

Pero además, las propias autoridades de protección de datos pueden asumir la función de certificar sobre la base de los criterios aprobados por cada autoridad de conformidad o por el Comité. Este incluso podrá aprobar una certificación común: el Sello Europeo de Protección de Datos.

El resultado práctico es que la adhesión a un código de conducta aprobado a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrá servir de elemento para demostrar confiabilidad en el cumplimiento el deber de seguridad. Obviamente, no impide que responsables o encargados incurran en incumplimientos.

Ello podría abrir por tanto un cuádruple escenario de cumplimiento en función de que el responsable o el encargado:

▪ Mantengan el estándar del Título VIII RLOPD implementando las nuevas prescripciones del GDPR. En el caso de las administraciones públicas dicho estándar incluiría también el llamado Esquema Nacional de Seguridad.

▪ Diseñen un modelo de seguridad propio.

▪ Adopten un código de conducta o una certificación.

▪ Adopten un estándar certificable o no (ISO 27000; Cloud Security Alliance, Eurocloud) acompañado de una metodología como CobiT o sistemas de gestión.

Debe tenerse en cuenta q un repaso histórico nos permite identificar distintos estándares y sistemas de gestión de la seguridad de la información en una lista que no es ni mucho menos extensiva:

▪ TCSEC (Trusted Computer System Evaluation Criteria).

▪ Information Technology Security Evaluation Criteria (ITSEC) implementado con la metodología ITSEM.

▪ Estándar del IEC 17799 de la ISO y sistemas de gestión asociados como ITIL.

▪ COBIT, que se fundamenta en los Objetivos de Control existentes de la Information Systems

Audit and Control Foundation (ISACF),

Por otra parte, el responsable o el encargado pueden inspirarse o implementar recomendaciones o documentos técnicos generales o específicos proporcionados por instituciones públicas como INCIBE, CCN-CERT, ENISA o NIST, entre otros.

Debemos tener en cuenta que los estándares pueden cumplir con finalidades diversas como analizar el riesgo, gestionar la seguridad, evaluar las medidas, definir procesos de diseño de sistemas o aplicaciones y que en muchos casos poseen un carácter muy específico. En todo caso cabe concluir que en el contexto del Reglamento general de protección de datos nada debería impedir tratar el Título VIII como un estándar válido, pero a la vez se liberalizan las opciones del responsable y el encargado que deberán acreditar su “accountability”, que son capaces de haber dimensionado un modelo de seguridad funcional a los tratamientos que desarrollan. No obstante, habrá que verificar hasta qué punto el impulso de códigos de conducta y certificaciones por las autoridades de control puede acabar orientando el mercado introduciendo modelos que tiendan a erigirse en estándares dominantes.