Com ja hem vist, l'RGPD posa a disposició dels responsables i els encarregats de tractaments de dades personals diferents mesures de responsabilitat activa per tal de demostrar el compliment del que disposa el Reglament. Entre aquestes mesures hi ha la certificació.
En els considerants, el Reglament subratlla que perquè aconsegueixi més transparència i compliment cal fomentar l'establiment de mecanismes de certificació i segells i marques de protecció de dades que permetin als interessats avaluar més ràpidament el nivell de protecció de dades dels productes i els serveis corresponents. Per això, insta els estats membres, les autoritats de control, el Comitè i la Comissió a promoure, en particular en l'àmbit de la Unió, la creació de mecanismes de certificació en matèria de protecció de dades i de segells i marques de protecció de dades, per demostrar el compliment del Reglament en les operacions de tractament, i fa una menció especial a tenir en compte les necessitats específiques de les microempreses i les petites i mitjanes empreses.
Per tant, cal distingir entre:
Certificació:
procés metodològic d'avaluació mitjançant el qual una tercera part garanteix la conformitat d'una persona, un producte, un servei o un sistema d'informació amb uns criteris preestablerts.
Esquema de certificació:
estableix les regles i els procediments que han de seguir i les gestions que han de fer les persones i les organitzacions públiques o privades que es volen certificar.
En el cas de l'RGPD, el mecanisme de certificació afecta tant responsables com encarregats del tractament. És important aclarir que el simple fet que un responsable o un encarregat disposi d'una certificació no en limita la responsabilitat pel que fa al compliment. Per això, si escau, davant una irregularitat, l'autoritat de control pot exercir les seves funcions i poders, entre els quals hi ha el sancionador.
En aquest sentit, l'RGPD estableix entre les funcions de les autoritats de protecció de dades algunes relacionades amb les certificacions:
- Fomentar la creació de mecanismes de certificació de la protecció de dades i de segells i marques de protecció de dades i aprovar els criteris de certificació.
- Revisar periòdicament, si escau, les certificacions expedides.
Aquesta certificació és voluntària. És un mecanisme opcional que l'RGPD posa a disposició de responsables i encarregats per facilitar-ne el compliment. A més, la certificació ha d'estar disponible a través d'un procés transparent i ha de ser expedida pels organismes de certificació o per l'autoritat de control competent, sobre la base dels criteris aprovats per aquesta autoritat de control o pel Comitè. Cal tenir en compte que quan els criteris siguin aprovats pel Comitè això podrà donar lloc a una certificació comuna denominada Segell Europeu de Protecció de Dades.
Amb caràcter general, en qualsevol procés de certificació intervenen tres parts clarament diferenciades, que són:
- L'organisme que elabora les normes tècniques que determinen els requisits específics de la certificació (esquema de certificació).
- L'entitat o organisme de certificació, que és la que emet el document oficial que demostra el compliment de les normes tècniques.
- L'entitat o persona certificada.
A més, els organismes de certificació han d'expedir i renovar les certificacions una vegada informada l'autoritat de control, a fi que, si no es compleixen o deixen de complir-se els requisits per a la certificació, l'AEPD pugui retirar una certificació o ordenar a l'organisme de certificació que retiri una certificació emesa o que no s'emeti una certificació.
Per poder expedir, renovar o retirar certificacions, aquests organismes de certificació han de tenir un nivell adequat de perícia. Per això, l'RGPD estableix que els estats membres han de garantir que aquests organismes siguin acreditats per l'autoritat de control o per l'organisme nacional d'acreditació designat de conformitat amb la norma EN ISO/IEC 17065/2012 i amb els requisits addicionals establerts per l'autoritat de control competent (AEPD).
El capítol IV sobre codis de conducta i certificació del títol V de la LOPDGDD regula aquesta qüestió en l'àmbit nacional. A més de les funcions de l'autoritat de protecció de dades, l'article 39 atribueix funcions de certificació a l'Entitat Nacional d'Acreditació (ENAC) al nostre país, la qual ha de comunicar a l'Agència Espanyola de Protecció de Dades i a les autoritats de protecció de dades de les comunitats autònomes les concessions, les denegacions o les revocacions de les acreditacions, així com la seva motivació.
Segons la norma esmentada, el nostre organisme d'acreditació és l'Entitat Nacional de Certificació (ENAC), associació sense ànim de lucre, declarada d'utilitat pública, que va ser designada pel Govern per operar a Espanya com l'únic organisme nacional d'acreditació.